Das soziale Netzwerk Facebook ist erneut hinsichtlich des Umgangs mit persönlichen Daten in die Kritik geraten. Das Unabhängige Landeszentrum für Datenschutz (ULD) hat sich als Aufsichtsbehörde für den Datenschutz in Schleswig-Holstein am 19. August 2011 auf Grundlage einer datenschutzrechtlichen Bewertung kritisch mit Facebook auseinandergesetzt und kommt zu dem Schluss, dass der Einsatz des „Gefällt mir“ Buttons rechtswidrig sei. Das ULD fordert in einer Pressemitteilung schleswig-holsteinische Unternehmen auf, alle Social Plugins, wie z.B. den vielfach genutzten „Gefällt mir“ Button, von ihren Webseiten zu nehmen und auch alle Fanpages bei Facebook zu entfernen.
Position der Datenschutz-Aufsichtsbehörde Schleswig-Holstein
Das ULD kommt nach einer technischen und rechtlichen Analyse der Facebook Dienste zu dem Ergebnis, dass diese Angebote gegen das Telemediengesetz (TMG) und gegen das Bundesdatenschutzgesetz (BDSG) verstoßen. Bereits seit Längerem ist die unzureichende Information über die Verarbeitung personenbezogener Daten durch Facebook in der Kritik. Das ULD vertritt nunmehr ausdrücklich die Ansicht, dass weder die Nutzungsbedingungen noch die Datenschutzrichtlinien von Facebook den Einsatz der sogenannten Social Plugins legitimieren. Darüber hinaus führe Facebook eine datenschutzrechtlich unzulässige Reichweitenanalyse (Webtracking & Webanalyse) sowohl auf der eigenen Plattform als auch plattformübergreifend über Social Plugins durch. Zudem finde eine umfassende, persönliche Profilbildung statt.
Auswirkungen auf die Einbindung des „Gefällt mir“ Buttons
Wird der „Gefällt mir“ Button direkt in eine Webseite eingebunden, werden bereits bei Aufruf der Seite Daten an Facebook übermittelt. Diesen Datentransfer hält das ULD für rechtswidrig und hat schleswig-holsteinische Unternehmen aufgefordert, den „Gefällt mir“ Button von den eigenen Webseiten zu entfernen.
Nach unserer Auffassung bestehen hierzu aber auch Alternativen. Wenn der „Gefällt mir“ Button als einfache Verlinkung eingebunden wird, führt dies dazu, dass eine Datenverarbeitung erst dann in Gang gesetzt wird, wenn der Nutzer den Link aktiv anklickt. Bei der Verlinkung sollte ein Logo verwendet werden, welches nicht bei Facebook liegt, um eine systematische Auswertung im Ansatz zu verhindern.
Daneben bestehen weitere Möglichkeiten, Social Plugins einzubinden, die den vollen Funktionsumfang aufrechterhalten. So ist es technisch realisierbar, Webseitenbesucher individuell vor der Einbindung eines Social Plugins um Erlaubnis zu fragen – entweder bei erstmaligem Aufruf der Startseite oder konkret vor jeder Nutzung des „Gefällt mir“ Buttons. Erteilt der Nutzer seine Einwilligung nicht, kann er zwar die Webseite besuchen, die Social Plugins bleiben allerdings deaktiviert. Beide Alternativen führen dazu, dass eine umfangreiche Profilbildung durch Anbieter von Social Plugins nicht ohne weiteres möglich ist. Von einer direkten Einbindung des „Gefällt mir“ Buttons als Social Plugin raten wir ebenso wie das ULD dringend ab.
UPDATE: Erste Aufsichtsbehörden haben sich zu den konkreten Einbindungsmöglichkeiten von Social Plugins geäußert. So geht der Landesbeauftragte für den Datenschutz in Baden-Württemberg (LfDI BW) unter Ziffer 4.6 seines 30. Tätigkeitsberichts auf den sogenannten Zwei-Klick-Button ein. Dieser wird derzeit u.a. vonheise.de genutzt und angeboten. Dem Tätigkeitsbericht ist zu entnehmen, dass der LfDI BW diese Lösung „vorübergehend toleriert“.
Durch den Zwei-Klick-Button soll verhindert werden, dass bereits der Aufruf einer Internetseite mit integriertem Social Plugin zu einer Datenübertragung an den Betreiber der Social Media Plattform führt. Zwar ist auch der Zwei-Klick-Button nicht unumstritten, stellt derzeit jedoch eine praktikable Lösung dar, mit welcher Webseitenbetreiber versuchen können, etwaige Datenschutzverstöße von Social Media Diensten zu kompensieren.
Auswirkungen auf den Betrieb einer Facebook-Fanpage
Das ULD hat alle schleswig-holsteinischen Unternehmen ebenfalls aufgefordert, ihre Fanpages bei Facebook abzuschalten. Unternehmen, die auf Facebook Fanpages betreiben, sind nämlich darauf angewiesen, dass Facebook die datenschutzrechtlichen Regelungen berücksichtigt – insbesondere wirksame Einwilligungen einholt.
Wer weiterhin eine Fanpage betreibt, sollte unserer Ansicht nach unbedingt folgende Mindestanforderungen beachten:
- Jedes Unternehmen, welches eine Fanpage bei Facebook betreibt, ist rechtlich verpflichtet, ein eigenes Impressum auf der Fanpage zu veröffentlichen. Bei Facebook kann hierzu bspw. der als „Info“ bezeichnete Verweis am linken Rand der Unterseite genutzt werden. Selbst dann bestehen derzeit aber noch Rechtsunsicherheiten, da erste Gerichte unter Anwendung der bisherigen Rechtsprechung zu klassischen Unternehmensseiten bereits entschieden haben, dass die Bezeichnung „Info“ nicht ausreichend sei (vgl. hierzu unsere Anmerkung zum Urteil des LG Aschaffenburg).
UPDATE: Anfang des Jahres hat Facebook die sogenannte „Chronik“ – auch „Timeline“ genannt – eingeführt. In diesem Rahmen fehlte für eine Übergangszeit der „Info“-Verweis am linken Bildschirmrand gänzlich. Dieser ist zwar in ähnlicher Form wieder aufgetaucht, es ergibt sich aber mittlerweile eine andere gute Möglichkeit, das Impressum einzubinden und dieses auch als solches zu bezeichnen: Fanpages mit aktivierter Chronik enthalten im Kopfbereich der Seite eine Spalte, die verschiedene „Tabs“ enthält und mit eigenen Grafiken und Links hinterlegt werden kann. Der erste Tab ist in der Regel von Facebook vorgegeben, mit „Fotos“ bezeichnet und verweist auf den jeweiligen Foto-Stream der Fanpage. Daneben sind jedoch mindestens drei weitere Tabs vorhanden, die frei bezeichnet und für das Bereithalten des Impressums genutzt werden können. Einer dieser Tabs sollte daher als Impressum bezeichnet werden und auf eine entsprechende Seite verlinken. Wichtig bei der Einbindung ist, dass der Impressums-Tab bereits bei Aufruf der Startseite zu sehen ist und nicht erst durch einen weiteren Klick aufgeklappt werden muss.
Der Text des Impressums sollte sich dennoch nicht nur hinter dem dafür eingerichteten Impressums-Tab, sondern auch hinter dem „Info“-Link auf der linken Seite des Bildschirmrandes wiederfinden. Dies ist insbesondere deshalb empfehlenswert, da die Fanpage auf mobilen Endgeräten (etwa Smartphones) völlig anders dargestellt wird, als dies bei einem Besuch über den Webbrowser eines Notebooks oder Desktop-PCs der Fall ist. Die mobile Ansicht der Fanpage führt in der Regel dazu, dass die Tabs nicht angezeigt werden und somit auch der Impressums-Tab nicht hinreichend erkennbar und erreichbar ist. Der von Facebook vorgegebene „Info“-Link erscheint allerdings regelmäßig auch in der mobilen Ansicht und bietet sich daher für die Bereitstellung des Impressumstextes an. Selbst bei dieser doppelten Einbindung eines Impressums bleiben allerdings Restrisiken bestehen: Die Bezeichnung „Info“ weist nach Ansicht einiger Gerichte nicht hinreichend erkennbar auf das Impressum hin. Ob sich diese restriktive Meinung auch im Hinblick auf die Einbindung eines Impressums im Rahmen der mobilen Ansicht einer Fanpage halten wird, muss sich zeigen. - Neben dem Impressum sollte auf der Fanpage auch eine eigene Datenschutzerklärung aufgenommen werden, in welcher das Unternehmen zumindest die Daten darstellt, die es konkret erhebt oder nutzt.
- Es sollten so wenig Nutzerdaten wie möglich erhoben und genutzt werden. Die Erhebung und Nutzung von personenbezogenen Daten muss vorher datenschutzrechtlich bewertet werden.
- Sofern Unternehmen eigene Anwendungen programmieren, die über das Application Programming Interface (API) Daten mit Facebook austauschen, sollte dies vorher über eine eigens formulierte Einwilligungserklärung legitimiert werden. Ein Zugriff auf die Daten von Freunden des Nutzers muss in jedem Fall unterbleiben.
Ausblick und weitere Informationen
Die Verwendung von Social Plugins und Social Media Plattformen zu Marketingzwecken ist derzeit als kritisch zu bewerten und sollte nicht ohne vorherige Prüfung der damit verbundenen Datenverarbeitung stattfinden, um insbesondere datenschutzrechtliche Risiken zu minimieren.
Entscheidend wird künftig die Reaktion von Facebook auf die anhaltende Kritik hinsichtlich datenschutzrechtlicher Belange sein. Dabei wird es darauf ankommen, die Datenverarbeitung transparenter, sparsamer und unter Berücksichtigung der informierten Entscheidung des einzelnen Nutzers vorzunehmen.
Insgesamt sehen wir unsere kritische Haltung zu Facebook, die wir bereits im Juni dieses Jahres in der Fachzeitschrift Datenschutz und Datensicherheit (DuD) und auf unserer Webseite veröffentlicht haben, bestätigt.