Verwendung von Social Plugins aus datenschutzrechtlicher Sicht – speziell: Facebook Like Button und Google +1 Button
Schon seit Längerem bietet Facebook Webseitenbetreibern die Möglichkeit, Facebook-Elemente in ihre Seiten einzubinden. Insbesondere Unternehmen soll so ermöglicht werden, eine breite Zielgruppe zu erreichen und die Popularität der eigenen Seite durch Empfehlungen unter Facebook-Nutzern zu steigern. Facebook profitiert im Gegenzug vom Wissen um die Surfgewohnheiten seiner Nutzer und kann noch gezielter Werbung adressieren.
Besonders beliebt unter diesen sog. Social Plugins ist der Like Button, der sich einfach auf der eigenen Seite integrieren lässt und Nutzern ermöglicht, ihre Vorliebe für die Seite auf Facebook zu teilen. Auch google bietet mittlerweile mit dem Google +1 Button ein ähnliches Instrument an, um Nutzern das Empfehlen bestimmter Seiten zu ermöglichen. Die Verwendung solcher Social Plugins ist jedoch datenschutzrechtlich nicht unbedenklich. Dieser Beitrag soll Aufschluss über die Funktionsweise von Social Plugins und die nach deutschem Datenschutzrecht bestehenden Probleme anhand des Like Buttons und des +1 Buttons geben.
I. Was sind und wie funktionieren Social Plugins?
1. Begriff und Übersicht über die Social Plugins
Social Plugins ist ein von den Facebook-Entwicklern geprägter Begriff. Gemeint sind damit Erweiterungen für externe (nicht zur Facebook gehörende) Seiten, die ein Teilen der Inhalte mit sozialen Gruppen, insbesondere Freunden bei Facebook, ermöglichen sollen. Facebook bietet mittlerweile eine ganze Reihe solcher Social Plugins an, die unter http://developers.facebook.com/docs/plugins/ zu finden sind.
- Der Like Button gibt Besuchern von Webseiten, auf denen er eingebunden ist, die Möglichkeit, ihre Vorliebe für diese Seite mit einem Klick auf den Button auf ihrem Facebook-Profil zu posten (vorausgesetzt sie sind eingeloggt). Anderen eingeloggten Besuchern der selben Seite kann dann angezeigt werden, welche ihrer Freunde diese Seite mögen.
- Der Send Button funktioniert ähnlich wie der Like Button, erlaubt jedoch, Inhalte nur mit bestimmten Freunden anstatt mit allen zu teilen. Dabei wird an ausgewählte Freunde oder Gruppen entweder eine Facebook-Nachricht, ein Eintrag auf der Gruppenpinnwand oder eine E-Mail geschickt.
- Über die Comments Box können Besucher Kommentare zu bestimmten Inhalten hinterlassen. Diese werden, sofern das entsprechende Häkchen gesetzt ist („Post to Facebook“), auch auf deren Pinnwand angezeigt. Dort kann dann von Freunden auch direkt geantwortet werden, die Kommentare in Facebook und in der Box auf der externen Webseite werden synchronisiert.
- Der Activity Feed zeigt Informationen über die derzeitige Aktivität auf der Seite. Ist der Nutzer eingeloggt, werden beispielsweise Beiträge angezeigt, die von seinen Freunden besonders gemocht werden oder die kommentiert wurden.
- Das Recommendations Plugin zeigt dem Nutzer personalisierte Empfehlungen zu bestimmten Inhalten. Es wertete dabei seine Interaktionen mit der dem Plugin angegebenen URL aus. Dem eingeloggten Nutzer werden bevorzugt Inhalte angezeigte, mit denen Freunde interagiert haben.
- Die Like Box gibt Nutzern die Möglichkeit, auf der externen Seite die jeweilige Facebook-Seite des Unternehmens, Vereins, etc. zu mögen. Sie zeigt an, wie viele Nutzer bereits die Facebook-Seite mögen und welche Freunde des Nutzers darunter sind. Außerdem werden die neuesten Posts angezeigt.
- Der Login Button zeigt die Profilbilder von Freunden an, die sich bereits für die Seite registriert haben. Er ist zusammen mit dem Registration Plugin zu sehen, das Nutzern ermöglicht, sich mittels ihres Facebook-Accounts auf der externen Seite zu registrieren.
- Das Facepile Plugin zeigt die Profilbilder von Nutzern, die die Seite mögen oder sich für die Seite angemeldet haben.
- Schließlich bietet das Live Stream Plugin ähnlich einer Chatbox Nutzern die Möglichkeit, in Echtzeit Kommentare und Aktivitäten zu teilen.
Außerhalb von Facebook ist insbesondere der Google +1 Button interessant. Er funktioniert wie der Like Button von Facebook. Um ihn zu benutzen, benötigt man ein Google-Profil. Dann kann man über den Button seine Vorliebe für bestimmte Inhalte zum Ausdruck bringen. Anderen Nutzern wird dann, sofern sie eingeloggt sind, bei einer Google-Suche angezeigt, dass man einen bestimmten Inhalt mit +1 versehen hat. Insbesondere aufgrund der hohen Nutzung der Google-Suchmaschine könnte der +1 Button ein ernstzunehmender Konkurrent zu Facbooks Like-Button werden. Jedoch hat Google Momentan noch kein eigenes Social Network. Google Profiles bietet noch keine Möglichkeit, sein Profil mit anderen zu vernetzen und Google+ steckt noch in der Testphase. Daher dürfte die Verbreitung des +1 Buttons vorerst begrenzt bleiben.
Am Weitesten verbreitet unter den Social Plugins ist zweifelsohne der Like Button von Facebook. Dessen Funktionsweise soll nun näher beleuchtet werden, um anschließend die damit verbundene Datenschutzrechtlichen Probleme darlegen zu können. Vergleichend soll der google+1 Button betrachtet werden. Vorausgesetzt andere Plugins funktionieren hinsichtlich der Datenübertragung gleich oder sehr ähnlich, lassen sich die Ausführungen auch auf diese übertragen.
2. Funktionsweise des Facebook Like Buttons und des Google +1 Buttons
a) Facebook Like Button
Recherchiert man im Internet zur Funktionsweise des Like Buttons wird schnell eines klar: Wie genau dieser funktioniert, also welche Daten gesammelt, versendet, gespeichert und verwertet werden, ist ziemlich unklar. Und Facebook hält sich diesbezüglich eher bedeckt.
Doch fangen wir vorne an. Die Einbindung des Like Buttons in die eigene Homepage erfolgt über die Implementierung eines kurzen Programmcodes, den man sich auf der Facebook Developers Seite nach eingeben der zu verknüpfenden URL erstellen lassen kann. Zur Einbindung wird JavaScript verwendet. Wählt man den bereitgestellten iframe-Code, wird bei jedem Aufruf der Seite eine Unterseite geöffnet, die den Like Button enthält (wählt man die Einbindung über FBML (Facebook Markup Language) fällt diese Unterseite weg, der Button ist direkt auf der (Ober)Seite enthalten)).
Bereits beim Seitenaufruf (egal ob die Einbindung über iframe oder FBML erfolgt) werden Daten an Facebook gesendet, darunter wohl die IP-Adresse des Nutzers und die URL der besuchten Seite. Und das unabhängig davon, ob der Nutzer auf den Button geklickt hat, ob er bei Facebook eingeloggt oder überhaupt bei Facebook registriert ist (vgl. Ernst, Social Plugins: Der „Like-Button” als datenschutzrechtliches Problem, NJOZ 2010, 1917 ff. )Ebenso wird, sofern vorhanden, ein bereits zu einem früheren Zeitpunkt angelegtes Cookie mitgesendet.
Ist der Nutzer eingeloggt, können diese Daten direkt mit ihm in Verbindung gebracht werden. Klickt er auf den Button, kommt zusätzlich die Information hinzu, dass er einen bestimmten Inhalt gut findet. So lassen sich detaillierte Persönlichkeitsprofile erstellen, mittels derer insbesondere personalisierte Werbung an die Nutzer und deren Freundeskreis adressiert werden kann. Dabei stehen die Daten wohl nicht nur Facebook sondern ggf. auch dem Unternehmen zur Verfügung, das den Like Button verwendet (vgl. Haupt, „Facebooks „Like“-Button – Bringe alle deine Freunde zu uns“, F.A.Z. vom 27.04.2010).
Die von nicht eingeloggten/nicht registrierten Nutzern gesammelten Daten werden laut Facebook nach drei Monaten gelöscht bzw. jedenfalls anonymisiert (vgl. Ernst aaO. bzw. Haupt aaO.).
b) Der Google +1 Button
Der Google +1 Button wird wie auch der Facebook Like Button mittels eines kurzen Programmcodes in die externe Seite eingebunden. Auch hier kommt JavaScript zur Anwendung.
Im Gegensatz zu Facebook hält Google für seinen +1 Button spezielle Datenschutzbestimmungen bereit (http://www.google.de/intl/de/privacy/plusone/). Aus diesen geht hervor, welche Daten beim Benützen des Buttons gespeichert und wie diese verwendet werden. Demnach speichert Google die Information, dass für einen Inhalt +1 gegeben wurde sowie Informationen über die Seite, auf welcher der Button implementiert ist. Die vergebenen +1 können anderen mit Profilname und Foto des Nutzers in Google-Diensten, insbesondere der Suche, und wohl auch auf Drittanbieter-Webseiten (das ist allerdings deaktivierbar) angezeigt werden. Zudem werden Informationen über die +1-Aktivitäten aufgezeichnet. Google behält sich außerdem vor, zusammengefasste Statistiken über die +1-Aktivitäten der Nutzer an die Öffentlichkeit, Nutzer und Partner (z.B. Publisher, Inserenten, verbundene Websites) weiterzugeben (als Beispiel wird genannt: „10 Prozent der Nutzer, die dieser Seite +1 gegeben haben, befinden sich in Tacoma im US-Bundesstaat Washington.“).
Nicht in den Datenschutzbestimmungen jedoch im Supportbereich hält google noch weitere Informationen bereit. So werden beim Betätigen des +1 Buttons Informationen über das Google-Profil des Nutzers, die empfohlene URL, seine IP-Adresse und andere browserbezogene Informationen an Google gesendet. Nimmt man das +1 zurück, würden diese jedoch wieder gelöscht.
An selber Stelle räumt Google ein, dass auch dann Daten erhoben werden, wenn der Button nicht betätigt wird, also bereits beim bloßen Aufruf der Seite, die den Button enthält. Diese würden zur ordnungsgemäßen Verarbeitung der Anforderung durch die Google-Server benötigt und dienten außerdem zur Fehlerbehebung. Sie würden nicht nach individuellen Profilen, Nutzernamen oder URLs strukturiert und normalerweise kürzer als zwei Wochen gespeichert. Welche Daten genau gesendet werden, verrät Google ebenso wie Facebook nicht. Es ist davon auszugehen, dass darunter wohl die IP-Adresse des Nutzers, Informationen über den verwendeten Browser und ggf. das Betriebssystem und die besuchte URL sind (solche Daten werden standardmäßig auch von Statistikprogrammen wie etwas Google Analytics o.ä. erhoben).
Solche Datenerhebungen durch den Facebook Like Button und den Google +1 Button sind datenschutzrechtlich nicht unbedenklich.
II. Datenschutzrechtliche Probleme am Beispiel des Facebook Like Buttons und des Google +1 Buttons
Ausgehend von der Anwendbarkeit deutschen Datenschutzrechts ergeben sich angesichts der geltenden Datenschutzgesetze Probleme beim Einsatz des Like Buttons und/oder des Google +1 Buttons. Zunächst ist dabei zu klären, welche Regelungen anwendbar sind. Anschließend sollen Möglichkeiten aufgezeigt werden, den Button in Übereinstimmung mit diesen Regelungen zu verwenden. Vorweg sei bereits gesagt: Egal welche Regelungen zur Anwendung kommen, eine Datenschutzerklärung bzw. die Anpassung dieser ist in jedem Fall erforderlich, wenn einer der Buttons verwendet wird (Wen die Diskussion um das anwendbare Recht nicht interessiert, kann daher sogleich zum zweiten Punkt springen; dieser sollte allerdings unter keinen Umständen übersprungen werden.).
Da sich Like Button und +1 Button hinsichtlich der Datenerhebung stark ähneln, werden die Probleme nur anhand des Like Buttons erörtert. Die Ausführungen gelten jedoch auch für den +1 Button, sofern kein Funktionsunterschied besteht.
1. Anwendbare Vorschriften: BDSG oder TMG
a) Gemeinsame Voraussetzung: Erhebung/Verarbeitung/Nutzung personenbezogener Daten
Sowohl das BDSG als auch das TMG als infrage kommende Vorschriften setzten für ihre Anwendbarkeit eine Erhebung, Verarbeitung oder Nutzung personenbezogener Daten voraus, vgl. §§ 1 BDSG, 11, 12 TMG. Dass das TMG eine etwas andere Terminologie verwendet als das BDSG, nämlich von Erhebung und Verwendung spricht, bewirkt nach der Intention des Gesetzgebers keinen inhaltlichen Unterschied, gemeint ist auch hier die Erhebung, Verarbeitung und Nutzung.
Personenbezogene Daten sind legaldefiniert als Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, § 3 I BDSG. Unstreitig zählen dazu alle vom Facebook Like Button gesammelten Daten wie verwendeter Browser, IP-Adresse, URL, etc., wenn der Nutzern eingeloggt ist. Dann nämlich lassen sich die Daten problemlos einer natürlichen Person zuordnen.
Bei Nicht eingeloggten oder nicht registrierten Nutzern ist das jedoch weniger klar. Hier könnte lediglich die IP-Adresse zu den personenbezogenen Daten zählen, andere Informationen wie z.B. der verwendete Browser oder die besuchte URL sind für sich genommen nicht einer natürlichen Person zuzuordnen. Ob die IP-Adresse für sich genommen zu den personenbezogene Daten zählt, ist umstritten. LG und AG Berlin bejahen dies mit der Begründung, über die IP-Adresse sei der Nutzer eindeutig bestimmbar (zur Begründung siehe AG Berlin, Beschluss v. 27.03.2007, Az. 5 C 314/06). Dem setzt das AG München entgegen, dass durch den Webseitenbetreiber, der die IP-Adresse speichert, eine Bestimmung der die IP-Adresse verwendenden natürlichen Person gerade nicht ohne weiteres möglich sei, da der Access-Provider mangels Rechtsgrundlage nicht zur Herausgabe dieser Daten befugt sei. Dementsprechend zähle die IP-Adresse nicht zu den personenbezogenen Daten (siehe AG München, Urteil v. 30.09.2008, Az. 133 C 5677/08).
Zwar vermag die Ansicht des AG München zu überzeugen. In der Tat steht weder Facebook (bzw. Google) noch dem Webseitenbetreiber, der den Button verwendet, eine legale Möglichkeit zur Verfügung, den nicht eingeloggten bzw. registrierten Nutzer zu ermitteln. Jedoch gebietet die Vorsicht, die IP-Adresse zu den personenbezogenen Daten zu zählen und die entsprechenden datenschutzrechtlichen Konsequenzen zu berücksichtigen, da es nicht absehbar ist, wie die Gerichte künftig entscheiden werden.
Verarbeitet werden diese Daten unstreitig jedenfalls durch Facebook, da dieses die Daten speichert und das Speichern ein Verarbeiten darstellt, § 3 IV BDSG. Die vorige Erhebung i.S.d. Beschaffens von Daten über den Betroffenen, § 3 III BDSG, wird dabei durch den Webseitenbetreiber, der den Like-Button verwendet, ermöglicht, sodass auch dieser Verpflichteter i.S.d. BDSG bzw. TMG ist (vgl. Ernst aaO.).
Beide sind nicht öffentliche Stellen i.S.d. § 2 IV BDSG bzw. Dienstanbieter i.S.d. § 2 Nr. 1 TMG.
b) Inhaltsdaten oder Nutzungsdaten?
Welches Gesetz auf die Erhebung und Verarbeitung dieser Daten anwendbar ist, bestimmt sich nach der Art der Daten. Grundsätzlich ist das BDSG die allgemeine Regelung, die auf Inhaltsdaten anwendbar ist. Handelt es sich dagegen um spezielle, „onlinespezifische“ Daten, die im Zusammenhang mit der Nutzung von Telemediendiensten erhoben werden, ist als lex specialis das TMG vorrangig anwendbar (siehe Haug, Internetrecht, 2. Auflage 2010, Rn. 385/386).
Soweit es um die Übertragung der Information geht, dass ein Nutzer einen bestimmten Inhalt mag bzw. gut findet, wird vertreten, dass es sich insofern um Inhaltsdaten handelt, deren Erhebung und Verarbeitung sich ausschließlich nach dem BDSG beurteilt (Ernst aaO.). In der Tat kann diese Information wohl nur schwer zu den Nutzungsdaten, also Daten, die erforderlich sind, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen, § 15 I 1 TMG, gezählt werden.
Ebenso verhält es sich mit den IP-Adressen, Browserinformationen, etc. von nicht eingeloggten oder nicht registrierten Nutzern. Diese sind zur Nutzung der Seite nicht erforderlich und der Button wird ja nicht verwendet bzw. kann gar nicht verwendet werden, ohne eingeloggt zu sein (zu einem anderen Schluss käme man nur, wenn man die Seite und den Button als Einheit sieht, zu deren Nutzung, also auch bereits zum bloßen Seitenaufruf, die Datenerhebung notwendig ist, s.u. 2. a)).
Allenfalls hinsichtlich der IP-Adressen, Browserdaten etc. von eingeloggten Nutzern, die dann auch den Button tatsächlich verwenden, könnte es sich um Nutzungsdaten handeln.
Ohne jedoch exakt zu wissen, welche Daten Facebook erhält und wozu diese genau verwendet werden, ist eine abschließende Beurteilung nicht möglich. Das ist aber auch nicht erforderlich, da sich die Voraussetzungen an die Zulässigkeit der Datenerhebung/-verarbeitung in BDSG und TMG weitgehend decken und die allgemeinen Grundsätze des BDSG auch im TMG gelten. Daher wird die Frage der Anwendbarkeit von BDSG oder TMG hier bewusst offengelassen.
2. Zulässigkeit der Datenerhebung durch den Like Button
Sowohl im BDSG als auch im TMG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten grundsätzlich verboten. Zulässig ist sie nur dann, wenn sie durch Gesetz ausdrücklich erlaubt ist oder der Nutzer eingewilligt hat, § 12 I TMG, § 4 I BDSG. Es handelt sich jeweils also um ein Verbot mit Erlaubnisvorbehalt. Der Betroffene ist entsprechend auf die Datenerhebung und -verwendung hinzuweisen, § 13 I TMG, §§ 4 III, 4a I BDSG.
Allgemein gilt das Gebot der Datenvermeidung und Datensparsamkeit, § 3a BDSG. Es sollen so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden. Nach Möglichkeit sind die Daten zu anonymisieren.
a) § 15 TMG als Rechtsgrundlage für die Datenerhebung
Betrachtet man die erhobenen Daten als Nutzungsdaten und geht somit von der Anwendbarkeit des TMG, könnte § 15 I TMG eine Rechtsgrundlage für die Erhebung dieser Daten darstellen. § 15 I TMG erlaubt die Erhebung und Verwendung, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen. Zu den Nutzungsdaten zählen unter anderem Merkmale zur Identifikation des Nutzers, § 15 I Nr. 1.
Qualifiziert man das Angebot des Like Buttons als Telemedium, so kann diese Vorschrift als Grundlage für die Datenerhebung bei den Nutzern des Buttons dienen (vgl. Kraska/Fritz, Datenschutz und der Facebook Like-Button: was Webseiten-Betreiber beachten müssen ). Um die Verknüpfung mit Facebook herzustellen, d.h. das Mögen eines bestimmten Inhalts auf dem Facebook-Profil des Nutzers kundzutun, ist dessen Identifikation und die Information über die URL der besuchten Seite erforderlich. Kritisch wäre dann aber bereits die Übertragung von Informationen über den Verwendeten Browser, das verwendete Betriebssystem etc. Auch eine Verwendung der Daten für andere Zwecke, etwa Werbung, wäre ohne Einwilligung des Nutzers unzulässig, § 12 II TMG.
Für Nutzer, die den Button nicht benützen und ggf. gar nicht bei Facebook eingeloggt oder nicht einmal registriert sind, kann § 15 I TMG dann aber keine Rechtsgrundlage zur Erhebung ihrer Daten darstellen. Sie nutzen den Button nicht, daher dürfen auch keine Nutzungsdaten erhoben werden (vgl. Kraska/Fritz aaO.). Etwas anderes könnte nur gelten, wenn man den Button als Teil der externen Seite und die Datenerhebung zu dessen Implementierung in die Seite als notwendig sieht. Dann könnten die Nutzerdaten der Seitennutzer auf Basis des § 15 I TMG erhoben und übertragen werden (vgl. von dem Bussche, LG Berlin: Rechtliche Zulässigkeit des Like-Buttons von Facebook, MMR-Aktuell 2011, 317457). Dass der Button Teil der externen Seite ist, scheint vertretbar. Jedoch ist es sehr zweifelhaft, ob eine Datenerhebung und -verarbeitung bereits aufgrund dessen bloßer Implementierung in die Seite und damit bei Seitenaufruf erfolgen muss (auch wenn dies wohl von Facebook bzw. Google so vertreten wird).
Auf Grundlage des § 15 I TMG scheint daher allenfalls die Datenerhebung von Nutzern des Buttons zulässig.
b) Einwilligung als Rechtsgrundlage für die Datenerhebung
Geht man davon aus, dass § 15 I TMG auch für eingeloggte Facebooknutzer, die den Button betätigen, keine Rechtsgrundlage zur Datenerhebung darstellt, ist für die Zulässigkeit der Datenerhebung in jedem Fall, egal ob der Button genutzt wird oder nicht, ob man bei Facebook eingeloggt bzw. registriert ist oder nicht, eine Einwilligung erforderlich.
Für Nutzer, die über ein Facebook-Profil verfügen, könnte das Akzeptieren der Facebook-AGB und Facebook-Datenschutzerklärung eine Einwilligung darstellen. Diese nehmen jedoch keinen direkten Bezug auf Social Plugins und ist sehr allgemein gehalten. Daher ist äußerst zweifelhaft, ob sie eine wirksame Einwilligung in die Datenerhebung, -verarbeitung und nutzung bei der Verwendung von Social Plugins darstellen können (vgl. Ernst aaO.). Die Google Datenschutzbestimmungen und spezielle die Google +1 Datenschutzbestimmungen sind da schon präziser. Ihr Akzeptieren scheint als Einwilligung durchaus geeignet.
Für Nutzer, die den Button betätigen, könnte ferner im Betätigen eine konkludente Einwilligung gesehen werden (von dem Bussche aaO.). Dazu müsste nach der Verkehrsanschauung davon ausgegangen werden können, der Nutzer erkläre sich schlüssig mit der Datenerhebung einverstanden, indem er den Button betätigt. Das erscheint jedoch zweifelhaft, dürften die meisten Nutzer sich einer solchen Datenerhebung nämlich nicht einmal bewusst sein.
Selbst wenn man in den Facebook-AGB bzw. im Betätigen des Buttons eine Einwilligung sieht, müssten jedenfalls alle anderen Nutzer, die nicht über ein Facebook-Profil verfügen und den Button nicht betätigen, um ihre Einwilligung ersucht werden, bevor die Webseite den Like Button lädt. Das ist aber praktisch nicht durchführbar, ohne den Nutzen des Like Buttons stark einzuschränken. Dieser dürfte dann nicht unmittelbar bei dem Inhalt, mit dem er verknüpft ist, angebracht werden, sondern müsste über einen Link, der zunächst zur Datenschutzerklärung und zur Einwilligungsmöglichkeit und sodann zum Button führt, zugänglich sein. Dann aber wäre die Nutzung des Like Buttons so umständlich und abschreckend, dass wohl nur noch wenige Nutzer gewillt wären, ihr Gefallen für einen Inhalt auszudrücken.
Geht man allerdings davon aus, dass eine solche Einwilligung für die Zulässigkeit der Verwendung des Buttons zwingend erforderlich ist, weil keine andere Rechtsgrundlage die Verwendung gestattet, ist dies wohl die einzig rechtskonforme Möglichkeit zur Nutzung des Buttons.
c) Erfordernis einer Datenschutzerklärung
Egal auf welcher Grundlage man den Like-Button für zulässig hält, in jedem Fall ist eine Datenschutzerklärung bzw. die Anpassung dieser erforderlich, um den Nutzer über die Datenerhebung, - verarbeitung und -nutzung aufzuklären. Diese sollte durch maximal zwei Klicks vom Like Button erreichbar sein.
Update vom 10.03.2016: Leider hat das LG Düsseldorf nunmehr festgestellt, dass die Verwendung des "Like"-Buttons nicht mehr ohne Weiteres verwendbar ist, ohne einen datenschutzrechtlichen bzw. wettbewerbsrechtlichen Verstoß zu begehen! Lesen Sie mehr zu dieser Entscheidung in unserem weiterführenden Beitrag. Sie können ebenfalls in diesem Beitrag erfahren, ob und wie der Einsatz des Facebook-"Like"-Buttons "sicherer" eingebunden werden kann.
III. Konsequenzen bei Missachtung des Datenschutzes und praktische Hinweise
Zuletzt sollen noch die Konsequenzen aufgezeigt werden, die bei Missachtung der datenschutzrechtlichen Bestimmungen zu befürchten sind. Außerdem sollen noch praktische Hinweise zur Umsetzung gegeben werden.
1. Konsequenzen bei Missachtung des Datenschutzes
Aus § 16 II Nr. 2-5 TMG ergibt sich, dass derjenige, der personenbezogene Daten erhebt, ohne den Nutzer darüber zu informieren und derjenige, der Nutzungsdaten erhebt, ohne dazu berechtigt zu sein, eine Ordnungswidrigkeit begeht. Diese kann mit Geldbuße bis zu 50000 Euro geahndet werden, § 16 III TMG.
Nach § 43 II Nr. 1 BDSG stellt das unbefugte Erheben oder Verarbeiten personenbezogener Daten eine Ordnungswidrigkeit dar und kann gemäß § 43 III 1 BDSG mit einer Geldbuße bis zu 300000 Euro geahndet werden. Die Geldbuße soll dabei den wirtschaftlichen Vorteil, den der Täter aus der Erhebung bzw. Verarbeitung gezogen hat, übersteigen und kann ggf. über die 300000 Euro hinaus erhöht werden, § 43 III 1 und 2 BDSG.
Aufgrund der rechtlich unklaren Lage ist jedoch wohl allenfalls ein Bußgeld wegen Verletzung der Informationspflichten zu befürchten.
Gefährlicher dürften etwaige Abmahnungen und Unterlassungsansprüche sein.
In dem vorgenannten Beschluss des AG Berlin zur Personenbezogenheit von IP-Adressen stand dem Kläger gegen die Speicherung seiner IP-Adresse über den Nutzungszeitraum hinaus ein Unterlassungsanspruch aus §§ 1004 BGB analog, 15 IV TMG und 823 II, 1004 BGB analog zu. Ein solcher Anspruch dürfte auch bei unbefugter Erhebung von Daten durch ein verwendetes Facebook-Plugin gegeben sein.
Ob Abmahnungen von Konkurrenten auf Basis des UWG zu befürchten sind, ist nicht ganz klar. Das KG Berlin hat in einem Beschluss vom 29.04.2011 (Az. 5 W 88/11) zwar einen Verstoß gegen § 13 I TMG durch Verwenden des Facebook Like Buttons ohne Aufklärung des Nutzers bejaht. Jedoch sei, so das Gericht, § 13 I TMG keine Marktverhaltensregel sondern diene dem Persönlichkeitsschutz des Betroffenen. Jedenfalls im Hinblick auf Mitbewerber komme § 13 I TMG keine wettbewerbsbezogene Schutzfunktion zu. Ein Unterlassungsanspruch nach § 8 I, III Nr. 1, 3, 4 Nr. 11 UWG i.V.m. 13 I TMG stehe dem Mitbewerber daher nicht zu.
Eine solche Schutzfunktion sei aber im Hinblick auf Verbraucher zuzugestehen, da die Informationspflicht auch dazu dienen könne, etwaige unerwünschte Belästigungen durch geschäftliche Handlungen, insbesondere Werbung, abzuwehren. Zwar würden eingeloggte Facebook-Mitglieder ihren Wunsch und ihre Bereitschaft, von solchen Handlungen erfasst zu werden, zu erkennen geben, indem sie eingeloggt seien. Für ausgeloggte Facebook-Mitglieder oder Nichtmitglieder gelte dies jedoch nicht. Allerdings seien diese jedenfalls im dem KG vorliegenden Fall nicht durch geschäftliche Handlungen in ihrer Privatsphäre (wie etwa Werbung) beeinträchtigt.
Damit ist ein etwaiger Unterlassungsanspruch durch Konkurrenten nicht völlig ausgeschlossen. Insbesondere scheint die Ansicht des KG, dass allein durch das Eingeloggt sein bei Facebook der Wille, auf einer externen Seite Werbung gezeigt zu bekommen, zum Ausdruck gebracht werde, zweifelhaft. Dies mag dann der Fall sein, wenn man bewusst den Like Button betätigt. Jedoch kann ein eingeloggter Nutzer beim Besuch einer externen Seite nicht im Voraus wissen, ob diese Social Plugins verwendet. Ruft er die Seite auf, ist es aber bereits zu spät, um sich auszuloggen, seine Daten sind bereits erfasst und gesendet, Werbung wird sofort angezeigt. Hier scheint Raum für einen Unterlassungsanspruch gegeben.
2. Praktische Hinweise
Wenn Sie auf Ihrer Webseite Social Plugins von Facebook oder auch von Google+ nutzen, sollten Sie auf jeden Fall
- Ihre Datenschutzerklärung entsprechend den oben stehenden Mustern anpassen.
- über die Möglichkeit nachdenken, das jeweilige Plugin nicht direkt auf der Seite zu integrieren, sondern über einen Link erreichbar zu machen, sodass Nutzer vorher von der Datenschutzerklärung Kenntnis nehmen und einwilligen können.
- über die Möglichkeit nachdenken, das Laden der Seite mit und ohne Social Plugins zu ermöglichen.
Wenn Sie als Nutzer ihre Daten vor Weitergabe an Facebook oder Google schützen wollen
- bleiben Sie nie bei Facebook bzw. Google eingeloggt, wenn Sie externe Seiten besuchen. Loggen Sie sich immer vorher aus.
- informieren Sie sich über die Möglichkeit, Social Plugins durch Browsererweiterungen o.ä. zu blocken, für Facebook etwa den „Facebook Blocker“
Update vom 10.03.2016: Leider hat das LG Düsseldorf nunmehr festgestellt, dass die Verwendung des "Like"-Buttons nicht mehr ohne Weiteres verwendbar ist, ohne einen datenschutzrechtlichen bzw. wettbewerbsrechtlichen Verstoß zu begehen! Lesen Sie mehr zu dieser Entscheidung in unserem weiterführenden Beitrag. Sie können ebenfalls in diesem Beitrag erfahren, ob und wie der Einsatz des Facebook-"Like"-Buttons "sicherer" eingebunden werden kann.
Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .
© Frank Täubel - Fotolia.com
Link kopieren
Als PDF exportieren
Per E-Mail verschicken
Zum Facebook-Account der Kanzlei
Zum Instagram-Account der Kanzlei
1 Kommentar
ganz toller Bericht und auch die kostenfreie Unterstützung für die eigene Website machen Ihr Anwaltsbüro sehr empfehlenswert !
Was ich noch vermisse - und Sie auch einsetzen - ist der Tweet-Button von Twitter. Letztlich auch nichts anderes als die Button von Google+ und Facebook.
Könnten Sie hierzu ebenfalls eine Datenschutz-Erklärung erstellen ? Damit würden wir alle "einigermaßen" uns in einem rechtssicheren Raum bewegen. Danke.