Like-Button von Facebook: Personenbezogene Daten – gefällt mir (nicht)!

Facebook als Betreiber des weltgrößten Sozialen Netzwerks mit über 500 Millionen Nutzern hat im April 2010 den sogenannten Like-Button ("Gefällt mir" oder "Empfehlen") vorgestellt. Der Like-Button ermöglicht, bestimmte definierte Medieninhalte über News-Feeds an Empfänger innerhalb von Facebook in Echtzeit zu verbreiten.

Facebook geht dabei davon aus, dass menschliche Beziehungen und Interessen miteinander verknüpft sind. Wenn also der Person A der Film "The Social Network" gefällt, werden ihre Freunde B, C und D ebenfalls gezielt mit der Werbung für diesen Kinofilm beworben. Dieses Konzept, der so genannte Social Graph, liegt dem neuen zielgruppenspezifischen Werbekonzept von Facebook zugrunde.

Sobald eine Webseite mit einem Like-Button von einem Nutzer aufgerufen wird, lädt im Browser unbemerkbar ein Skript, das versucht, den Nutzer als Facebook-Mitglied zu identifizieren. Dabei sucht das Skript im Browser-Cache nach einem Cookie, einer kleinen Textdatei, die Facebook stets bei einem Besuch auf seiner Webseite an Facebook-Mitglieder übermittelt.

Auch ohne eine Berührung des Like-Buttons werden Cookie-Daten, die IP-Adresse und Inhaltsdaten zu dem News-Feed erhoben und an Facebook übermittelt. Wird der Like-Button angeklickt, taucht ein entsprechender News-Feed auf der Pinnwand des Facebook-Mitglieds auf, den alle Freunde lesen, kommentieren und bewerten können. Es wird angenommen, dass auch Daten von Nicht-Mitgliedern verarbeitet werden.

Ob Facebook-Mitglied oder nicht: Der Like-Button erhebt personenbezogene Daten

Das Bundesdatenschutzgesetz (BDSG) ist zusammen mit dem Telemediengesetz (TMG) anwendbar, wenn personenbezogene Daten im Internet erhoben, verarbeitet oder genutzt werden. Hier erhebt und übermittelt der Like-Button Cookies mit Identifikationsnummern, IP-Adressen und Inhaltsdaten. Darunter werden personenbezogene Daten verstanden, die über das Internet – zum Beispiel über ein Onlineformular - lediglich transportiert werden.

Gelingt eine Identifikation, dann handelt es sich bei allen Daten um personenbezogene Daten gemäß § 3 Abs. 1 BDSG, da sie einem namentlich bekannten Facebook-Mitglied zugeordnet werden.

Kann der Nutzer nicht als Facebook-Mitglied identifiziert werden, dann wird nur die IP-Adresse verarbeitet. Auch die IP-Adresse ist allerdings nach überwiegender Auffassung in Wissenschaft und Rechtsprechung ein personenbezogenes Datum.

Keine (ausreichende) Erlaubnis zur Datenverarbeitung

Die Erhebung und Übermittlung personenbezogener Daten müsste von einem gesetzlichen Erlaubnistatbestand oder von einer Einwilligung gedeckt sein, § 12 Abs. 1 TMG, § 4 Abs. 1 BDSG. Innerhalb von Facebook können Mitglieder der Nutzung von Social Plugins widersprechen oder in diese einwilligen. Diese Einwilligung genügt den Vorgaben des deutschen Datenschutzrechts (§ 4 a BDSG) allerdings nicht, da sie keine umfassende Unterrichtung beinhaltet. Nicht-Mitgliedern bleiben diese Rechte gänzlich vorenthalten.

Die Datenverwendung des Facebook-Cookies und der IP-Adresse ist zur Identifikation eines Facebook-Mitglieds durch § 15 Abs. 1 TMG gestattet, damit die Inanspruchnahme des Like-Buttons möglich wird.

Nicht erlaubt ist dagegen die Datenverarbeitung von Inhaltsdaten (vgl. §§ 28 Abs. 1, 29 Abs. 1 BDSG), wenn der Nutzer den Like-Button nicht anklickt. Er hat ein berechtigtes Interesse daran, bei seinem Surfverhalten unbeobachtet zu bleiben, insbesondere dann, wenn er von der Datenverarbeitung keine Kenntnis hat. Bei einem Nicht-Mitglied ist jegliche Datenverarbeitung unzulässig.

Wer ist für die Datenschutzerklärung verantwortlich?

Und wer sich wundert, dass dies Datenerhebung geschieht, ohne dass es dem Nutzer auch nur bewusst ist, liegt damit durchaus richtig. Das BDSG setzt aber gemäß § 3 Abs. 7 BDSG voraus, dass eine Stelle für die Datenverarbeitung verantwortlich ist. Technisch werden personenbezogene Daten hier unmittelbar zwischen dem Browser des Nutzers und Facebook ausgetauscht.

Der Webseitenbetreiber ermöglicht lediglich die Datenverarbeitung, indem er das Skript einbindet. Als Veranlasser bleibt er damit datenschutzrechtlich aber verantwortlich.

Der Betreiber einer Webseite ist gemäß § 13 Abs. 1 TMG als Diensteanbieter verpflichtet, den Nutzer "zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten" in "allgemein verständlicher Form zu unterrichten". Entsprechend ausführlich und in räumlicher Nähe zum Like-Button müsste eine Datenschutzerklärung gestaltet sein. Eine solche Datenschutzerklärung dürfte, sofern sie überhaupt vorliegt, nur in den seltensten Fällen den Anforderungen des TMG entsprechen. Die Zuwiderhandlung kann als Ordnungswidrigkeit gemäß § 16 Abs. 2 Nr. 1 TMG mit einer Geldbuße bis fünfzigtausend Euro geahndet werden.

Hindernis: Schutzpflichten im Telemedienrecht

Nach der Vorschrift des § 13 Abs. 4 TMG hat der Webseitenbetreiber bestimmte technische und organisatorische Vorkehrungen sicherzustellen. Zu diesen zählt, dass der Nutzer die Webseite als Telemedium "gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen kann" und dass die personenbezogenen Daten "unmittelbar nach deren Beendigung gelöscht" werden. Diese Vorgaben können derzeit nicht erfüllt werden, weil die Datenverarbeitungsprozesse durch den Like-Button nicht hinreichend transparent sind. Auch hierin kann eine bußgeldbewehrte Ordnungswidrigkeit liegen (§ 16 Abs. 2 Nr. 3 TMG).

Obwohl die Like-Buttons - und andere Social Buttons – sich als kostenlose Tell-a-friend Werbung großer Beliebtheit erfreuen, ist ihre Einbindung also nicht empfehlenswert. Datenschutzrechtliche Hindernisse könnten nur durch technische und organisatorische Nachbesserungen seitens Facebook aus dem Weg geräumt werden.

Der Autor Michael Marc Maisch ist Doktorand und wissenschaftlicher Mitarbeiter am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann) an der Universität Passau und am Deutsche Telekom Institute for Connected Cities (TICC) der Zeppelin University, Friedrichshafen. Er ist Verfasser zahlreicher Publikationen zum Datenschutz- und Internetrecht.

Anm. d. Red.: Wenn Sie den Beitrag mögen, klicken Sie gern trotzdem auf den Gefällt mir-Button!