Auf Knopfdruck Ärger? Der Facebook-Button und das Datenschutzrecht

Viele Fragen, wenig belastbare Antworten

Bisher sah man in dem sog. „Facebook-Button“ vor allem eine Chance für Betreiber von Internetseiten, auf ihre Inhalte (und auch auf ihre Waren und Dienstleistungen) aufmerksam zu machen. „Spread the word“ – die Kunden sollten Angebote und Inhalte über ihr soziales Netzwerk bei Facebook publik machen.

Doch mit der Verwendung und Nutzung des Buttons stellen sich eine Reihe rechtlicher Fragen. Zum einen die Frage, ob durch den Button Datenschutzrechte derjenigen verletzt werden, die ihn anklicken und zum anderen, wer im Falle des Vorliegens einer Datenschutzrechtsverletzung die Verantwortung hierfür trägt. Hinzu kommt die Frage, ob die Nutzung des Buttons vielleicht sogar wettbewerbswidrig ist. All diese Fragen stellen sich aktuell dringlicher denn je, seit vor Kurzem bekannt geworden ist, dass der erste Verwender eines Facebook-Buttons von einem Konkurrenten wegen der Bereitstellung der Funktion abgemahnt wurde.

Eine Vielzahl von Veröffentlichungen im Internet befasst sich mit dieser heiß diskutierten Frage. Leider lässt der Großteil der Beiträge das datenschutzrechtliche Fundament vermissen. Wir wollen mit diesem Beitrag für Sie ein wenig Licht in Dunkle bringen.

Was ist der Facebook-Button?

Die Betätigung des Buttons ermöglicht es dem Webseiten-Besucher, seine Facebook-Freunde auf eben diese Seite oder einen bestimmten auf dieser Seite enthaltenen Inhalt hinzuweisen. Das geschieht durch das Anklicken des Buttons, wodurch die Information „gefällt mir“ dem Profil des Klickenden zugeordnet und dementsprechend im Facebook-Profil veröffentlicht wird. Der Facebook-Button wird dabei rein technisch gesehen nicht vom dem jeweiligen Internetseitenbetreiber, sondern von Facebook selbst bereitgestellt. Der Button wird als Inlineframe („iframe“) in die HTML-Seite eingebunden, der eigentliche Code liegt also auf dem Server von Facebook. Dort findet auch die Verarbeitung der mittels des Frames erhobenen Daten statt.

Datenschutzrechtliche Probleme

Um die Frage, ob die Verwendung des Facebook-Buttons gegen geltendes Datenschutzrecht verstößt, beantworten zu können, ist zunächst einmal zu klären, welche Daten des Webseiten-Besuchers von wem und an wen übermittelt werden.

Hierin liegt allerdings schon eines der größten Probleme der rechtlichen Analyse, da dies derzeit noch nicht vollständig bekannt ist und auch das Unternehmen Facebook selbst bislang in dieser Angelegenheit wenig zur Aufklärung beiträgt. Hier also der Versuch, anhand der gegenwärtig bekannten Informationen aufzuzeigen, welche Daten möglicherweise verarbeitet werden:

Diesbezüglich ist zu unterscheiden zwischen einem bereits bei Facebook eingeloggten und einem nicht eingeloggten Facebook-Nutzer bzw. einem Internetnutzer, der gar nicht über einen Facebook-Account verfügt. Bei dem nicht-eingeloggten Facebook-Nutzer beziehungsweise einem Internetnutzer ohne Facebook-Account wird durch das Facebook-Widget als programmtechnische Grundlage des Buttons nach der überwiegenden Zahl der dazu verbreiteten Informationen im Wesentlichen „nur“ die IP-Adresse erhoben. Dieser Vorgang stellt sowohl eine Datenerhebung durch Facebook als auch eine Datenübermittlung durch den jeweiligen Website-Betreiber dar.

Der Tatbestand der Übermittlung von Daten kann nicht nur dadurch erfüllt werden, dass die verantwortliche Stelle personenbezogene Daten an den Dritten weitergibt, sondern auch dadurch, dass der Dritte dazu bereitgestellte Daten einsieht oder abruft (Gola/Schomerus , Kommentar zum Bundesdatenschutzgesetz, 10. Auflage 2010, § 3 Randnummer 32).

Ob eine Betätigung des Facebook-Buttons für nicht eingeloggte Nutzer oder gar Nutzer ohne Facebook-Account überhaupt sinnvoll ist, muss eingedenk der Tatsache, dass die „Gefällt-mir“ Funktion nur bei einem eingeloggten Facebook-Nutzer ausgeführt werden kann, hier mangels Informationen von Facebook unbeantwortet bleiben. Wichtig in datenschutzrechtlicher Hinsicht ist einzig die Tatsache, dass das Anklicken des Buttons durch diese beiden Nutzertypen eine Datenerhebung respektive eine Datenübermittlung beinhaltet.

Für den eingeloggten Facebook-Nutzer gilt das soeben Gesagte entsprechend, allerdings mit der Besonderheit, dass der Datenübertragungsvorgang bereits dann beginnt, wenn dieser eine Webseite aufsucht, die einen „Gefällt-mir“-Button enthält. Bereits dann und ohne das Zutun des Nutzers erfolgt eine Übermittlung von Nutzerdaten durch den Browser an Facebook. Es ist davon auszugehen, dass sich die Tätigkeit des Internetseitenbetreibers bei der Button-Nutzung durch einen eingeloggten Facebook-Nutzer wie bei den anderen beiden Nutzertypen auf die Übermittlung der IP-Adresse beschränkt und keine Übermittlung weiterer Nutzerdaten an Facebook erfolgt. Diese Annahme fußt auf der Überlegung, dass ein Website-Betreiber wohl zumeist gar nicht über mehr Informationen zur Facebook-Mitgliedschaft der Besucher seiner Internetseite verfügt. Die Zuordnung des Facebook-Nutzeraccounts wird nach diesseitiger Einschätzung über einen auf dem Rechner des Nutzers vorhandenen „Cookie“ erfolgen, der im Rahmen der Datenzuordnung abgefragt wird.

Einwilligung erforderlich?

Und nun zur entscheidenden Frage der rechtlichen Zulässigkeit dieser Datenverarbeitungsvorgänge: Im Anwendungsbereich des Telemediengesetzes (TMG) sind Internetseitenbetreiber als Betreiber von Telemediendiensten anzusehen. Diese dürfen personenbezogene Daten nur erheben und verarbeiten, soweit dies zur Erbringung des Dienstes notwendig ist. Im Übrigen ist eine Datenverarbeitung nur mit Einwilligung des Betroffenen zulässig (§ 12 TMG).

Eine Ausnahme besteht im Bereich pseudonymisierter Daten, wenn diese zur Optimierung und bedarfsgerechten Gestaltung des Internetangebots verwendet werden (§ 15 Abs. 3 TMG). Diese Ausnahme kommt allerdings hier bereits deshalb nicht zum Tragen, weil die Daten ja nicht vom Betreiber der Website, sondern von Facebook erhoben und verarbeitet werden.

Mit Beschluss vom  26./27. November 2009 haben die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, der sog. Düsseldorfer Kreis, beschlossen, „dass bei Erstellung von Nutzungsprofilen durch Webseiten-Betreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind”. Mit diesem Beschluss wurde für die Praxis bestätigt, dass die Aufsichtsbehörden IP-Adressen als ein personenbezogenes Datum ansehen (wer näheres zu diesem Streit und zu weiteren Fragen des Datenschutzes erfahren möchte, dem sei der Artikel „Wichtig für Shopbetreiber: Datenschützer bricht Verhandlungen über Google Analytics ab“ auf dieser Website ans Herz gelegt). Die Ansicht der Aufsichtsbehörden zugrunde gelegt, stellt also schon die Übermittlung der IP-Adresse einen datenschutzrechtlich relevanten Vorgang dar.

Dass die Weitergabe der IP-Adresse des Nutzers an Facebook seitens des jeweiligen Internetseitenbetreibers nicht im Sinne von § 15 TMG zur Erbringung des Telemediendienstes notwendig bzw. erforderlich ist, liegt auf der Hand. Vom bei Facebook eingeloggten Nutzer muss keine IP-Adresse bei Aufruf der Website übermittelt werden. Vom nicht eingeloggten Nutzer bzw. vom Nutzer ohne Facebook-Account muss ebenfalls keine IP-Adresse an Facebook übermittelt werden, wenn dieser den Button anklickt. Von daher stellt sich die Frage, ob der jeweilige Nutzer in die Datenübermittlung eingewilligt hat. Eine wirksame Einwilligung muss klar, eindeutig und jederzeit widerruflich sein sowie abgespeichert werden. Diese Anforderungen sind gesetzlich vorgeschrieben, und zwar in § 13 Absatz 2 TMG.

Eine solche Einwilligung könnte hinsichtlich der Facebook-Nutzer zum einen darin zu sehen sein, dass diese im Rahmen ihrer Registrierung bei Facebook bereits die Einwilligung in die Erhebung bzw. Übermittlung von Daten auch durch andere Seiten erteilt haben. Die in diesem Zusammenhang einzig in Betracht kommende Passage in der Datenschutzerklärung von Facebook unter dem Punkt „Informationen die wir erhalten“ ist jedoch, unabhängig von der Frage, ob diese Einwilligung den oben genannten Kriterien gerecht wird, in inhaltlicher Sicht reichlich nebulös. Dies hat zur Folge, dass es schlicht nicht möglich ist, rechtlich zuverlässig und verbindlich zu beurteilen, ob die Daten, welche bei der Betätigung des Facebook-Buttons verarbeitet werden, von dieser „Einwilligung“ erfasst sind oder nicht. Für diejenigen Webseiten-Besucher, die nicht bei Facebook registriert ist, gilt diese etwaige Einwilligung jedoch mangels Zustimmung zu den Facebook-Bedingungen für ohnehin nicht.

Zum anderen könnte eine Einwilligung aller Nutzergruppen in die Datenübermittlung in dem Anklicken des Facebook-Buttons selbst zu sehen sein. Hiergegen spricht jedoch wiederum der bereits oben beschriebene gesetzlich vorgesehene Umfang der Einwilligung, der durch bloßes Anklicken des Buttons nicht gewährleistet wird.

Zusammenfassend lässt sich sagen, dass das Vorliegen einer Datenschutzrechtsverletzung durch die Datenübermittlung seitens des jeweiligen Internetseitenbetreibers wahrscheinlicher ist als die Gesetzeskonformität.

Wer ist verantwortlich?

Es stellt sich sodann die Frage, ob bzw. in welchem Umfang der jeweilige Internetseitenbetreiber für diese wahrscheinliche Datenschutzrechtsverletzung verantwortlich ist. Im Hinblick auf die Verwendung des Facebook-Buttons liegt kein Fall einer sogenannten „Auftragsdatenverarbeitung“ im Sinne von § 11 BDSG vor. Darunter versteht man die Verarbeitung personenbezogener Daten durch einen Dritten für eine datenschutzrechtlich verantwortliche Stelle. Eine Auftragsdatenverarbeitung setzt jedoch voraus, dass ein solches Auftragsverhältnis vorliegt. Facebook verarbeitet jedoch keine personenbezogenen Daten im Auftrag der Betreiber der Internetseiten, in welche der Facebook-Button eingebunden ist. Die Übermittlung der IP-Adresse, die Zuordnung der „gefällt mir“-Information und sämtliche etwaig weiter damit verbundenen Datenverarbeitungsvorgänge finden nicht auf Weisung des Webseitenbetreibers statt (und können von diesem auch nicht kontrolliert werden).

Der Betreiber der Webseite könnte jedoch als so genannter „Störer“ für eine rechtswidrige Datenverarbeitung verantwortlich sein. Störer ist, wer gegen zumutbare Prüfungspflichten verstößt und damit eine Rechtsverletzung fördert oder ermöglicht. Juristisch lässt sich durchaus argumentieren, dass durch die Einbindung des iframes ein wesentlicher Beitrag zu einer Rechtsverletzung geleistet wird. Beurteilt man die Übermittlung der IP-Adresse an Facebook als rechtswidrige Datenverarbeitung, käme eine Störerhaftung zumindest grundsätzlich in Betracht. Ob durch die Einbindung zumutbare Prüfungspflichten verletzt werden, ist bislang nicht gerichtlich entschieden. Zu Gunsten der Websitebetreiber lässt sich ausführen, dass die datenschutzrechtliche Beurteilung reichlich kompliziert und mangels ausreichender bekannter Fakten auch in tatsächlicher Hinsicht nicht vollständig geklärt werden kann. Die höchstrichterliche Rechtsprechung zum Wettbewerbsrecht ist allerdings in derartigen Konstellationen keineswegs „zimperlich“ und erlegt den Marktteilnehmern hohe Sorgfaltsanforderungen auf. Nach der Rechtsprechung des Bundesgerichtshofs handelt beispielsweise ein Marktteilnehmer fahrlässig, wenn er sich trotz rechtlicher Zweifel an der Zulässigkeit für eine bestimmte Handlung entscheidet (BGH, Urteil vom 06.05.1999 – I ZR 199 / 96 – „Tele-Info-CD“). Das Risiko, dass sich ein Handeln als rechtswidrig erweist, soll der Handelnde tragen.

Risiken minimieren – Lösungsansätze

Die Tatsache, dass die Rechtslage bzgl. der Frage einer etwaigen Datenschutzrechtsverletzung nicht eindeutig ist und insoweit nur Prognosen abgegeben werden können, führt dazu, dass diejenigen Internetseitenbetreiber, die das rechtliche Risiko einer Rechtsverletzung ausschließen bzw. minimieren wollen, handeln sollten. Insbesondere sind dabei die folgenden Maßnahmen denkbar:

  • Verzicht auf die Einbindung des Facebook-Buttons;
  • Bevor auf den Button geklickt wird, muss der Nutzer einen Hinweis „wegklicken“. In dem Hinweis wird darüber informiert, dass Daten an Facebook übermittelt werden;
  • Die Webseite enthält einen datenschutzrechtlichen Hinweis, der unmittelbar dem Button zugeordnet wird und welcher Klarheit über die mit dem Button verbundene Datenverarbeitung schafft. Das könnte beispielsweise auch in der ohnehin aufgrund § 13 Abs. 1 TMG erforderlichen Datenschutzerklärung der Internetseite stattfinden.

Die zuletzt aufgeführte Maßnahme sollte in jedem Fall ergriffen werden, da ein solcher Hinweis nach § 13 Abs. 1 TMG für den jeweiligen Internetseitenbetreiber sogar Pflicht sein dürfte. Denn nach dem Wortlaut der genannten Vorschrift hat der Anbieter den Nutzer stets über „Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ in allgemein verständlicher Form zu unterrichten.

Absolute Rechtssicherheit kann nach diesseitigen Dafürhalten nur durch das einstweilige Entfernen des Facebook-Buttons erzielt werden. Schließlich würde die Implementierung der oben genannten Hinweise nichts an der Datenübermittlung ändern. Wenn diese bereits stattfindet, bevor irgendein Hinweis wahrgenommen werden kann (also bereits beim Aufruf der Internetseite, in welche der Button integriert ist), kann der Hinweis seine Funktion nicht erfüllen. Nach dem datenschutzrechtlichen Leitbild soll der Nutzer gerade selbst entscheiden können ob und in welcher Form seine personenbezogenen Daten verarbeitet werden. Ist das Kind erst in den Brunnen gefallen, hilft auch ein noch so detaillierte Hinweis nicht weiter. Überdies kann hinsichtlich der IP-Adresse auch durch einen Hinweis keine Einwilligung eingeholt werden, die den formellen Erfordernissen des § 13 Abs. 2 TMG entspricht. Das Aufrufen einer Internetseite kann nicht als eindeutige Zustimmungserklärung zur Datenverarbeitung gewertet werden.

Wettbewerbsrechtliche Probleme

Wettbewerbswidrig wird ein Verstoß gegen Datenschutzvorschriften nur dann, wenn die Datenschutzvorschriften so genannte Marktverhaltensregeln darstellen. Da die Vorschriften zum Datenschutz aber vorrangig dem Persönlichkeitsschutz der Betroffenen dienen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen, dürfte dies eher die Ausnahmekonstellation sein, wenngleich darauf hinzuweisen ist, dass der BGH in dieser Frage noch keine Entscheidung zu treffen hatte.

Fazit: kein „like“ zur Rechtsklarheit

Klar ist nur, dass vieles unklar ist. Die Frage, ob die Verwendung und Betätigung des Facebook-Buttons gegen datenschutzrechtliche und/oder wettbewerbsrechtliche Bestimmungen verstößt, lässt sich auf Grund der undurchsichtigen Sach- und Rechtslage derzeit schlichtweg nicht abschließend beurteilen. Wer nicht auf eigene Kosten an der Rechtsfortbildung teilhaben möchte (also eine Abmahnung, einstweilige Verfügung oder ein sonstiges Gerichtsverfahren oder zumindest denkbare Schritte der Aufsichtsbehörde riskieren möchte), kann nur durch den Verzicht auf die Funktion sicher gehen. Auch allen anderen Anbietern empfiehlt sich in jedem Fall eine genaue Beobachtung des Fortgangs der Entwicklung. Es bleibt zu hoffen, dass Facebook durch eine rechtlich zweifelsfreie Ausgestaltung der Funktion den Sorgen der Website-Betreiber Rechnung trägt.

Ein abschließendes Wort für viele von Zweifeln gebeutelte Internetseitenbetreiber: die deutschen Regelungen zum Datenschutz beruhen großteils auf den Vorgaben europäischer Richtlinien. Wenngleich die deutschen Aufsichtsbehörden manches strenger sehen als deren Kollegen im europäischen Ausland, sind viele Grundregeln des Datenschutzrechts in Europa gleich. Hiermit kollidieren oftmals die weniger strengen Anforderungen des außereuropäischen Auslands. Da das Herz der Entwicklung des Internets und seiner Technologien aber genau in diesem weniger strikten Umfeld schlägt, stellt sich vielfach ein grundlegendes Problem: Technologien sind weit verbreitet und werden von vielen genutzt, entsprechen aber nicht den hiesigen Rechtsvorschriften. Dieses Dilemma lässt sich nur durch Umsicht und oftmals Kreativität lösen. Der Hinweis darauf, dass eine bestimmte Technologie von vielen anderen Wettbewerbern genutzt wird, hilft demjenigen nicht, der rechtlich zur Verantwortung gezogen wird. Es bleibt die Hoffnung, dass ein sinnvolles und allen Interessen gerecht werdendes Schutzniveau im Zuge der technischen und rechtlichen Entwicklung gefunden werden kann.

Update 

Das Kammergericht (Oberlandesgericht) Berlin hat zwischenzeitlich einen weiteren Beitrag zum Diskussionsstand geleistet:

Mit Beschluss vom 29.04.2011 (Aktenzeichen: 5 W 88/11) befand das Kammergericht, dass die Verwendung des Facebook-Buttons nicht als Wettbewerbsverstoß anzusehen ist,  jedoch sehr wohl möglicherweise als Verstoß gegen das Datenschutzrecht. das Gericht stellte fest, dass die Antragsgegnerin (die auf ihrer Internetseite die „Taufe“ von Sternen nach dem Wunsch der Kunden anbietet) zumindest auf die eine Bindung des Facebook-Buttons und die damit verbundene Datenübermittlung hätte hinweisen müssen. Das unterbleiben eines solchen Hinweises sei jedoch im konkreten Fall kein Wettbewerbsverstoß, da die verletzte Rechtsnorm (§ 13 Abs. 1 Telemediengesetz) nicht dem Schutz des Wettbewerbs, sondern nur den Schutz der individuellen Interessen der Besucher der Internetseite bedient.

Weitere Aktualisierung: Die vorstehend zitierte Einschätzung des Kammergerichts Berlin dürfte mittlerweile erheblichen Zweifeln unterliegen. Die meisten Gerichte haben sich mittlerweile der Leitlinie angeschlossen, dass Verstöße gegen das Datenschutzrecht gleichzeitig auch als Wettbewerbsverstöße anzusehen sind. Dies hat beispielsweise das Landgericht Köln ausdrücklich so für die datenschutzwidrige Verwendung von E-Mail-Adressen entschieden (LG Köln, Urteil vom 29.08.201331 O 225/13). Und auch das Kammergericht hat in einer jüngeren Entscheidung ausdrücklich bestätigt, dass datenschutzrechtliche Vorschriften als sogenannte Marktverhaltensregelungen auch in den Anwendungsbereich des Wettbewerbsrechts fallen können (KG, Urteil vom 24.01.20145 U 42/12).

Dies sieht offensichtlich aufgrund neuester Presseberichte (http://www.spiegel.de/netzwelt/web/facebook-klagen-gegen-gefaellt-mir-buttons-a-1034967.html) auch die Verbraucherzentrale Nordrhein-Westfalen so, welche wegen der vorgenannten problematischen Einbindung des Facebook-Like-Buttons offensichtlich gegenwärtig mit Abmahnungen und gerichtlichen Verfahren gegen Datenschutzverletzungen vorgeht. Dies überschneidet sich gleichzeitig mit einem Vorhaben des Gesetzgebers, den Datenschutz ausdrücklich in die Domäne der Verbraucherschutz- und Wettbewerbsverbände aufzunehmen.

Es ist durchaus denkbar, dass sich andere Oberlandesgerichte nicht der Einschätzung des Kammergerichts anschließen. Auch ist keinesfalls Entwarnung in datenschutzrechtlicher Hinsicht zu geben. Das Kammergericht stellte klar, dass die Einbindung des Facebook-Buttons einen entsprechenden datenschutzrechtlichen Hinweis erfordert. Selbst wenn wettbewerbsrechtliche Ansprüche ausscheiden, können Besucher der Internetseite im eigenen Namen Ansprüche erheben, wenn die datenschutzrechtlichen Anforderungen nicht eingehalten werden. Darüber hinaus sind Schritte der Aufsichtsbehörden möglich. Nicht zuletzt gebietet es aber die Professionalität eines Anbieters, derart grundlegende gesetzliche Vorgaben einzuhalten.

BBS ist Partner und rechtlicher Begleiter großer und kleiner Online-Anbieter. Für Ihre datenschutzrechtlichen Fragen haben wir praxisgerechte Lösungen paratund sind für Sie rechtlich am Puls der Zeit. Was können wir für Sie tun?

Autor: Tom Brehm