von Daniel Huber

Verstößt der „Gefällt mir“-Button von Facebook auf Webseiten gegen Datenschutzrecht?

News vom 30.07.2015, 17:24 Uhr | Keine Kommentare

Facebook steht mal wieder in der Kritik – und wieder ist es der Datenschutz. Verbraucherschutzverbände und Datenschutzbeauftragte stören sich an dem bekannten „Gefällt Mir“-Button (“Liken“), den Betreiber von Webseiten in ihre Webauftritte zwecks Empfehlungsmarketing einbauen können. Durch das Plugin werden allerdings Nutzerdaten bereits dann an Facebook übermittelt, wenn Nutzer lediglich eine Webseite aufsuchen, in die ein „Gefällt mir“-Button eingearbeitet ist, was datenschutzrechtlich nicht unproblematisch ist. Ob Facebook und entsprechende Webseitenbetreiber dadurch tatsächlich gegen Datenschutzrecht verstoßen und welche Folge das haben würde, erläutert die IT-Recht Kanzlei ausführlich in diesem Beitrag.

I. Facebook „Gefällt mir“, jedoch nicht dem Datenschutzrecht

Jedes Facebook-Mitglied kennt es, viele machen es: man liest einen Beitrag im Netz oder findet ein tolles Produkt in einem Webshop und am Ende des Beitrags kann man auf „Gefällt mir“ klicken, um den Inhalt mit dem eigenen Facebook-Profil zu verbinden und Freunde darauf aufmerksam machen, ein Social-Plugin zum Empfehlungsmarketing.

Nur leider ist es eigentlich schon zu spät: Facebook hat bereits vor dem Klick gewusst, dass sich sein Facebook-Mitglied auf der Webseite aufhält – die Verbindung durch die Betätigung des „Gefällt mir“-Buttons hätte es dafür gar nicht gebraucht. Alleine durch die Einbindung des „Gefällt mir“-Buttons auf der Webseite gestattet der Webseiten-Betreiber, dass Facebook Nutzungsdaten von allen Internetnutzern erhebt, die die Webseite aufrufen, unabhängig davon, ob sie Facebook-Mitglieder sind und ob sie gleichzeitig gerade bei Facebook eingeloggt sind.

1. Welche Nutzerdaten sammelt Facebook?

Ist ein Facebook-Mitglied gleichzeitig bei Facebook eingeloggt, erhält Facebook die Information, was das Mitglied auf der anderen Webseite gerade so macht, also welche Unterseiten besucht werden und wie lange die jeweilige Aufenthaltsdauer ist, welche Inhalte interessant sind etc.

Auch wenn ein Facebook-Mitglied nicht gleichzeitig eingeloggt ist, bekommt Facebook die Nutzerdaten weitergemeldet und speichert sie auf seinen Servern – mangels entsprechender Information zwar nicht in Verbindung mit dem Facebook-Account des Mitglieds, sondern lediglich unter der IP-Adresse des Nutzers; sobald sich das Facebook-Mitglied jedoch später irgendwann einmal unter derselben IP-Adresse (in der Regel dasselbe Endgerät, etwa dasselbe Tablet oder Smartphone) bei Facebook einloggt, werden die Informationen bei Facebook wieder zusammengeführt und synchronisiert.

Dasselbe gilt für Internetnutzer, die noch überhaupt kein Facebook-Mitglied sind: auch bei Ihnen speichert Facebook (wohl) das Nutzerverhalten zu den Webseiten, auf denen ein „Gefällt mir“-Button integriert ist, unter der IP-Adresse und führt die Informationen dann mit einem Realnamen zusammen, wenn sich der Nutzer unter der IP-Adresse eines Tages bei Facebook registrieren sollte.

Besucht ein Facebook-Mitglied nicht nur eine Webseite, auf der ein „Gefällt mir“-Button eingebunden worden ist, sondern klickt zudem auf den Button, dann entsteht darüber hinaus eine sichtbare Verlinkung zwischen der aufgesuchten Webeseite bzw. dem „gelikten“ Beitrag und dem Konto des Facebook-Mitglieds. Dies ist jedoch datenschutzrechtlich schon nicht mehr ganz so problematisch, da der Nutzer durch das Anklicken des „Gefällt mir“-Buttons deutlich gemacht hat, dass er genau das will.

Werbebanner für Datenschutzerklärung

2. Wo genau liegt dabei nun das Datenschutzproblem?

Im deutschen Datenschutzrecht gilt der Grundsatz: personenbezogene Daten dürfen nur gespeichert, verwendet und weitergegeben werden, wenn dies ausdrücklich gesetzlich zulässig ist oder der Betroffene in die Datenverarbeitung ausdrücklich eingewilligt hat. Wird der Nutzer jedoch nicht einmal im Vorfeld darüber informiert, dass bereits das Aufrufen der Webseite zur Übertragung von personenbezogenen Daten führt, kann der Besuch der Webseite keineswegs als Einwilligung in die Datenübertragung gesehen werden.

Das Problem liegt also darin, dass nicht das Klicken auf die „Gefällt mir“-Schaltfläche zur Datenübertragung führt, sondern bereits das Aufsuchen einer Webseite, auf der ein „Gefällt mir“-Button ist.

3. Verbraucherzentralen mahnen ab

Zuletzt haben Verbraucherschutzverbände vor allem große Unternehmen abgemahnt, die auf ihren Webseiten den „Gefällt mir“-Button verwenden. Während manche Unternehmen einlenkten und die geforderten Unterlassungserklärungen abgegeben haben, befinden sich andere Verfahren nun vor den Gerichten, deren endgültige Entscheidungen es somit abzuwarten gilt.

Unabhängig von diesen Verfahren ist wegen dieser etwaigen Datenschutzverstöße bereits in der Vergangenheit über Bußgelder, verhängt durch die zuständigen Datenschutzbeauftragten, diskutiert worden.

II. Das rechtliche Problem um den „Gefällt mir“-Button im Detail

1. Datenweitergabe an Facebook nur mit vorheriger Einwilligung des Nutzers

Nach § 12 Absatz 1 des Telemediengesetzes (kurz: TMG) dürfen Diensteanbieter – damit gemeint sind u.a. die Betreiber von Webseiten und sonstigen Internetdiensten – personenbezogene Daten zur Bereitstellung von Telemedien nur dann erheben und verwenden, soweit das TMG oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, dies erlaubt oder der Nutzer darin eingewilligt hat. Der Begriff der personenbezogenen Daten wird u.a. in § 3 Absatz 1 des Bundesdatenschutzgesetzes (kurz: BDSG) weiter definiert. Demnach sind personenbezogene Daten Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person, dem sogenannten Betroffenen.

Da sich Nutzerdaten – also wie lange ein Nutzer welche Unterseiten einer Webseite besucht, was er dort genau tut etc. – bei Seiten, auf denen der „Gefällt mir“-Button eingebunden ist, konkret einer Person zuordnen lassen, nämlich dem eingeloggten oder sich später einloggenden Facebook-Mitglied, handelt es sich bei ihnen um personenbezogene Daten. Wenn Nutzer, die keine Facebook-Mitglieder sind, auf eine Seite mit der „Gefällt mir“-Schaltfläche kommen, werden zwar nur die Nutzerdaten eines Pseudonyms erhoben und der dabei verwendeten IP-Adresse zugeordnet. Doch auch eine IP-Adresse wird teilweise bereits als personenbezogenes Datum betrachtet; so hatte sich zuletzt der BGH damit beschäftigt, der die Frage letztlich dem zuständigen EuGH zur Entscheidung vorgelegt hat (BGH, Beschluss vom 28.10.2014, Az. VI ZR 135/13); dessen Entscheidung steht noch aus, die Frage ist also noch nicht endgültig geklärt.

Geht man danach, so werden beim Aufrufen einer Webseite, in die ein „Gefällt mir“-Button eingearbeitet ist, stets personenbezogene Daten erhoben, verarbeitet und genutzt – sowohl von dem Betreiber der entsprechenden Webseite, etwa einem Webshop oder einer Online-Nachrichtenseite, als auch von Facebook selbst, so dass gemäß § 12 TMG an sich bereits davor eine Einwilligung des betroffenen Nutzers erfolgen müsste.

2. Diensteanbieter müssen die Nutzer im Vorfeld hinreichend informieren

Die vorherige Informationspflicht des Diensteanbieters ist ebenfalls im TMG geregelt. So heißt es in § 13 Absatz 1 TMG, dass der Diensteanbieter den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der (späteren) Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten außerhalb der EU in allgemein verständlicher Form unterrichten muss. Zudem sind in in den folgenden Absätzen des § 13 TMG weitere, besondere Anforderungen an die Einwilligung des Nutzers geregelt.

Wer somit als Betreiber einer Webseite die Nutzer, die eine Webseite aufsuchen, in die eine „Gefällt mir“-Schaltfläche eingebunden ist, nicht darüber informiert, dass durch den Aufruf der nachfolgenden Webseite bestimmte Daten an Facebook übertragen werden und sich nicht darüber hinaus durch einen bestätigenden Klick die ausdrückliche Einwilligung des Nutzers einholt, dass er mit der Erhebung und Weiterleitung seiner personenbezogenen Nutzerdaten einverstanden ist, verstößt gegen §§ 12, 13 TMG, was zu hohen Bußgeldern und berechtigten Abmahnungen führen kann.

Dabei hilft es nicht, dass Facebook womöglich in seinen allgemeinen Nutzungsbedingungen bzw. Datenschutzbestimmungen seine Mitglieder darüber informiert, dass im Rahmen von „Gefällt mir“-Schaltflächen die entsprechenden personenbezogenen Daten des Facebook-Mitglieds erhoben werden, und zwar aus mehreren Gründen.

  • Zum einen willigt das Facebook-Mitglied durch die Registrierung bei Facebook und der damit verbundenen Akzeptanz der Nutzungsbedingungen bzw. Datenschutzbestimmungen lediglich ganz allgemein darin ein, dass Facebook bei späteren Besuchen sonstiger Webseiten mit „Gefällt mir“-Button dessen personenbezogene Daten an Facebook übermittelt werden. Welche konkreten Daten das später im Rahmen welcher Webseiten-Besuche dann sein werden, weiß das Facebook-Mitglied in diesem Moment jedoch noch gar nicht. Die Einwilligung ist somit viel zu allgemein gehalten; ob das Facebook-Mitglied später im jeweiligen konkreten Einzelfall wirklich seine Daten an Facebook übermitteln will, hat es damit noch nicht gesagt. Und das kann das Facebook-Mitglied ja gerade nicht mir rückgängig machen, sobald es eine Seite aufruft, in die ein „Gefällt mir“-Button eingebaut ist.
  • Zum anderen gilt eine gegenüber Facebook im Rahmen des Registrierungsvorgangs abgegebene Einwilligung nur gegenüber Facebook, nicht jedoch gegenüber dem anderen Webseitenbetreiber, auf dessen Webseite die konkreten Nutzerdaten jedoch erhoben und dann ein Facebook weitergeleitet werden. Diesem anderen Webseiten-Betreiber gegenüber hat das Facebook-Mitglied jedoch alleine durch die Einwilligung gegenüber Facebook seinerseits noch keine Einwilligung erteilt. Der Webseiten-Betreiber verstößt somit in jedem Fall gegen das Datenschutzrecht, sorgt er nicht für Aufklärung und Einwilligung vor der Datenübermittlung.
  • Und schließlich haben Nutzer, die nicht überhaupt nicht bei Facebook registriert sind, deren personenbezogene Daten jedoch trotzdem an Facebook übermittelt werden, mangels Einwilligung in die Facebook-Nutzungsbestimmungen weder gegenüber Facebook, noch gegenüber dem Betreiber der Webseite ihre Einwilligung erteilt.

3. Überblick über die bisherige Rechtsprechung

In der Rechtsprechung und der datenschutzrechtlichen Diskussion ist man sich weitestgehend einig, dass das Einbinden eines „Gefällt mir“-Buttons wegen der hier aufgezählten Argumente eine Verletzung des deutschen Datenschutzrechts darstellt.

Ob darin zugleich auch eine wettbewerbswidrige Handlung liegt, die von Mitbewerbern nach dem UWG abgemahnt werden kann, wird jedoch uneinheitlich gesehen. Manche Gerichte bejahen eine solche wettbewerbsrechtliche Abmahnfähigkeit (etwa das OLG Hamburg, Urteil vom 27.6.2013, Az. 3 U 26/12), andere lehnen sie ab (so das KG Berlin, Beschluss vom 29.4.2011, Az. 5 W 88/11 und das LG Frankfurt a.M., Urteil vom 16.10.2014, Az. 2-03 O 27/14).

Knackpunkt der Diskussion, ob neben dem Verstoß gegen das Datenschutzrecht auch ein Wettbewerbsverstoß vorliegt, ist die juristische Frage, ob das Datenschutzrecht insgesamt bzw. die konkreten datenschutzrechtlichen Vorschriften nach §§ 12, 13 TMG eine Marktverhaltensregelung im Sinne des Lauterkeitsrechts sind und deshalb wettbewerblichen Charakter haben. Endgültig entschieden ist hier noch nichts.

III. Das aktuelle rechtliche Risiko

Welchem rechtlichen Risiko setzt man sich nun gegenwärtig aus, wenn man den „Gefällt mir“-Button auf der eigenen Webseite platziert?

Zunächst ist festzuhalten, dass man durch die Verwendung des „Gefällt mir“-Buttons gegen geltendes deutsches Datenschutzrecht verstößt. Ob man allerdings wegen dieses Verstoßes wettbewerbsrechtlich abgemahnt werden kann und tatsächlich auch abgemahnt wird, ist hingegen nicht klar. Das Risiko besteht jedenfalls. Jedoch haben Verbraucherzentralen in der Vergangenheit bei denselben oder ähnlichen umstrittenen Rechtsverstößen meist entweder staatliche Behörden oder zumindest – auch wegen der Werbe- und Medienwirksamkeit – große Unternehmen abgemahnt, die eine Abmahnung samt möglicher anschließender Klage kostenmäßig gut bewältigen können. Kleinere Unternehmen wurden bislang verschont. Von Mitbewerbern ging hingegen meist wenig Gefahr aus – nicht nur, weil in der Rechtsprechung gar nicht geklärt ist, ob Mitbewerber derlei Datenschutzverstöße überhaupt wettbewerbsrechtlich abmahnen können (s.o.), sondern vielmehr deswegen, weil sie im selben Boot sitzen: viele Mitbewerber nutzen den „Gefällt mir“-Button selbst und würden nur ungern darauf verzichten wollen.

Streit wegen der Datenschutzverbände droht jedoch nicht nur mit Verbraucherschutzverbänden und Mitbewerbern, sondern auch mit den Datenschutzbeauftragten. Nach § 16 Absatz 2 TMG stellt ein (auch nur leicht fahrlässiger) Verstoß gegen die Informationspflicht aus § 13 Absatz 1 TMG (Betreiber von Webseiten müssen die Nutzer vor der Erhebung und Nutzung personenbezogener Daten, also vor der Weiterleitung an Facebook und damit vor Aufrufen der Webseite mit dem „Gefällt mir“-Button richtig informieren) eine Ordnungswidrigkeit dar, die gemäß § 16 Absatz 3 TMG mit einer Geldbuße von bis zu EUR 50.000 belegt werden kann. Es besteht somit die Gefahr, dass die zuständigen Datenschutzbehörden entsprechende Bußgelder verteilen. Allerdings hat auch hier die Vergangenheit gezeigt, dass die Datenschützer die unsichere Rechtslage in der Regel nicht dazu genutzt haben, insbesondere kleineren Unternehmen durch Bußgeldbescheide Angst zu machen und Kosten aufzudrücken.

IV. Sinnvolle legale Alternativen zum „Gefällt mir“-Button?

Der „Gefällt mir“-Button hat Vorteile – sowohl für Facebook, als auch für den Betreiber der Webseite mit dem Button: Facebook bekommt viele Informationen, und Informationen bedeuten Geld. Als Gegenleistung kann sich der Betreiber der Webseite an die Attraktivität und den Verbreitungsgrad von Facebook hängen: das eigene Produkt oder der eigene Beitrag werden durch das soziale Netzwerk schnell verbreitet. Hinkefuß ist nur das Damoklesschwert des Verstoßes gegen das Datenschutzrecht. Also was tun? Gibt es legale Alternativen, die (fast) genauso nützlich sind?

Ja, die gibt es, allerdings erscheinen diese bei näherer Betrachtung nicht als rechtssichere Lösung:

1. Die vorgeschaltete Webseite

Eine mögliche Alternative wäre das Schalten einer zusätzlichen Webseite, die stets vor der eigentlichen Ziel-Webseite erscheint, auf der der „Gefällt mir“-Button erscheint: auf dieser vorgeschalteten Webseite müsste der Nutzer entsprechend der rechtlichen Vorgaben aus § 13 TMG umfassend und genau darüber informiert werden, dass und welche personenbezogenen Daten an Facebook übermittelt werden, wenn er auf die von ihm angesteuerte Ziel-Webseite wechselt. Allerdings bestehen in rechtlicher Hinsicht erhebliche Bedenken gegen die rechtswirksame Einholbarkeit einer Einwilligungserklärung des Betroffenen, hierzu ausführlicher unter Punkt 2.

2. Die 2-Klick-Lösung

Eine weitere Möglichkeit wäre die sog. 2-Klick-Lösung. Dabei würde man zwar optisch den „Gefällt mir“-Button in den eigenen Webauftritt einbinden, nicht jedoch dessen volle Funktionalität – soll heißen: zwar erscheint der „Gefällt mir“-Button bereits beim Aufrufen der Webseite durch den Nutzer, jedoch werden noch keine personenbezogenen Daten an Facebook übermittelt. Erst wenn der Nutzer auf den Gefällt mir Button klickt, anschließend gemäß der rechtlichen Vorgaben aus § 13 TMG hinreichend informiert worden ist und dann durch einen zweiten Klick ausdrücklich bestätigt, dass die entsprechenden Daten an Facebook übermittelt werden sollen, geschieht dies auch.

Problem: Nach einem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08.12.2011) sind die Anbieter deutscher Websites jedoch „regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“ Denn: Eine wirksame Einwilligung setzt voraus, dass Nutzende wissen, worin sie einwilligen. Da Facebook aber bisher nicht offenlegt, welche Daten genau erhoben werden und was es mit diesen geschieht, fehlt es an der nötigen Information, um eine informierte Einwilligungserklärung abgeben zu können. Das bedeutet, dass auch die 2-Klick-Lösung die Bedenken der Datenschützer nicht vollständig ausräumen kann.

Zudem dürfte Facebook an dieser Lösung wenig Gefallen finden, weil sich das Unternehmen den „Gefällt mir“-Button so nicht vorgestellt hat. Möglicherweise könnte Facebook daher Verstöße gegen die Nutzungsbedingungen für die Einbindung des „Gefällt mir“-Buttons geltend machen oder sich auf Markenrechtsverstöße gegen die (möglicherweise) unbefugte Verwendung der eingetragenen Marken bzw. des Kennzeichens berufen. Jedenfalls ist hier Vorsicht geboten: bei dieser Lösung könnte Ungemach von Facebook drohen.

3. Empfehlen statt Gefallen

Eine Alternative bietet Facebook selbst an: Statt einem „Gefällt mir“-Button, kann man schlichtweg einen „Empfehlen“-Button einbauen – „Share on Facebook“, „Teilen“ etc. Dies sind faktisch gesehen „2-Klick-Lösungen“ (s.o.), bei denen die personenbezogenen Daten erst und nur dann an Facebook übertragen werden, wenn eingeloggte Facebook-Mitglieder oder sich unmittelbar nach dem Klicken auf den Button einloggende Facebook-Mitglieder die Schaltfläche betätigen. Zwar fehlt bei dieser Lösung ggf. die Information des Betreibers der Webseite darüber, dass durch den Klick auf den Button bestimmte personenbezogene Nutzerdaten an Facebook übermittelt werden. Auch hier besteht allerdings das Problem, dass eine informierte Einwilligungserklärung des Betroffenen nicht eingeholt werden kann.

Werbebanner für Datenschutzerklärung

V. Fazit

Die technische Konstruktion des beliebten „Gefällt mir“-Button verstößt gegen das deutsche Datenschutzrecht, was in der Vergangenheit bereits zu Abmahnungen, wenn auch nur gegen die Big Player geführt hat. Auch die Verhängung von Bußgeldern von bis zu EUR 50.000 sind im Bereich des Möglichen. Wie das Schicksal des berüchtigten Buttons weitergeht, hängt nun u.a. von den anstehenden Gerichtsentscheidungen ab.

Kleinere Unternehmen und Webshop-Betreiber sollten jedoch keineswegs in Panik geraten, wenn sie den „Gefällt mir“-Button in ihre Webseiten eingebaut haben. Die Wahrscheinlichkeit, abgemahnt zu werden oder einen Bußgeldbescheid vom Datenschutzbeauftragten zu bekommen, ist bei der schwebenden Rechtslage bis zu einer endgültigen Entscheidung eher gering, wenn auch nicht ausgeschlossen.

Update vom 10.03.2016: Leider hat das LG Düsseldorf nunmehr festgestellt, dass die Verwendung des "Like"-Buttons nicht mehr ohne Weiteres verwendbar ist, ohne einen datenschutzrechtlichen bzw. wettbewerbsrechtlichen Verstoß zu begehen! Lesen Sie mehr zu dieser Entscheidung in unserem weiterführenden Beitrag. Sie können ebenfalls in diesem Beitrag erfahren, ob und wie der Einsatz des Facebook-"Like"-Buttons "sicherer" eingebunden werden kann.

Leider gibt es derzeit keine 100%-ig sichere Lösung für die Einbindung des "Gefällt mir"-Buttons von Facebook. Auch die sog. 2-Klick-Lösung genügt nach Ansicht der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich nicht, da es an der Einholung einer informierten Einwilligungserklärung des Betroffenen fehle. Die IT-Recht Kanzlei wird die rechtliche Diskussion für Sie weiter verfolgen.

Bei Problemen, Rückfragen und weiteren Fragen zu diesem Thema hilft Ihnen das Team der IT-Recht Kanzlei selbstverständlich gerne auch persönlich und im Einzelfall weiter.

Tipp: Über diesen Beitrag können Sie gerne in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook diskutieren.

Bildquelle:
© photoclear - Fotolia.com
Autor:
Daniel Huber
(freier jur. Mitarbeiter der IT-Recht Kanzlei)

Besucherkommentare

Bisher existieren keine Kommentare.

Vielleicht möchten Sie der Erste sein?

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller