Archiv für die Kategorie: ‘Neue Medien’

Facebook-Gefällt-mir-Button und der Datenschutz: Risiko für Unternehmen

Mittwoch, 8. Juni 2011

Wer einen „Gefällt-mir“-Button auf seiner Webseite einblendet, verstößt gegen bundesdeutsches Datenschutzrecht.

Die Hintergründe

Der von Facebook bereitgestellte „Gefällt-mir-Button“ kommt auf einer Webseite nicht vom Webseitenbetreiber, sondern von Facebook. Das bedeutet, dass Facebook, unabsichtlich vom Besucher, direkt beim Besuch einer Webseite über den Besuch informiert wird. Übermittelt werden dann bei allen Besuchern, egal ob Facebook-Mitglied oder nicht, die „üblichen Informationen“ wie die IP-Adresse, Browsertyp, Browserfähigkeiten etc. Zumindest die IP-Adresse ist ein personenbezogenes Datum, welches dem BDSG unterliegt. Insbesondere die Kombination der anderen Merkmale kann ebenfalls als personenbezogenes Datum gesehen werden, da diese Kombination möglicherweise eindeutig für eine individuelle Person ist.

Personenbezogene Daten dürfen, von gesetzlichen Ausnahmen abgesehen, nur mit Zustimmung des Betroffenen verarbeitet werden (§4 (1) BDSG). Auch nach §13 TMG muss ein Diensteanbieter, also der Betreiber einer Webseite, den Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ … „in allgemein verständlicher Form … unterrichten“.

Bei Facebook-Mitgliedern, die während des Besuches der Webseite bei Facebook angemeldet sind, werden nicht nur die genannten Daten zu Facebook übertragen, sondern zusätzlich die Facebook-ID. Facebook weiß also genau, welche Seite die konkrete und Facebook namentlich bekannte Person besucht.

Dass dies, insbesondere in Verbindung mit der Datenverarbeitung in den USA, eine datenschutzrechtliche Katastrophe ist, ist nicht Gegenstand dieses Artikels. Hier sei beleuchtet, wie stark der deutsche Webseitenbetreiber verantwortlich ist und wie er sich korrekt verhalten kann.

Das Problem betrifft nicht nur Facebook, sondern auch andere Dienste, die auf ähnliche Weise eingebunden werden, bei denen also auch Seiteninhalte von anderen Betreibern nachgeladen werden.

Der Webseitenbetreiber kann sich auf den Standpunkt stellen, er sei doch unschuldig. Die Daten würden ja nicht von ihm erfasst und übermittelt, sondern direkt von Facebook. Diese Ansicht wird jedoch kaum haltbar sein. Wenn ein Besucher die Webseite eines deutschen Anbieters in seinem Browser aufruft, kann er davon ausgehen, dass seine Daten gemäß den deutschen Datenschutzrecht behandelt werden. Von der durch den Anbieter erfolgten Einbindung fremden Inhaltes kann er noch nichts wissen, denn diese sieht er ja erst beim Aufruf – also wenn es schon zu spät ist. Insofern ist die Erfassung durch Facebook sicherlich dem Webseitenanbieter zuzuordnen: Er hat die Erfassung eingebunden und er profitiert in seinem Marketing von der Einbindung.

Insofern obliegt es dem deutschen Webseitenbetreiber, seine Besucher wie oben ausgeführt zu informieren.

Die Lösung

Der Webseitenbetreiber möchte die (vermeintlichen) Marketingvorteile von Facebook nutzen. Der angemeldete Facebook-Nutzer möchte auf den Facebook-Button klicken können. Unbeteiligte und auch der angemeldete Facebook-Benutzer sollen aber nicht bespitzelt werden. Hierfür gibt es eine technische Lösung: Wird nicht der von Facebook angebotene Orginal-Button genutzt, so wird auch nicht die ungewünschte Original-Funktion ausgeführt. Statt dessen kann eigener Javascriptcode verwendet werden, um den Benutzer zu informieren und bei seiner Zustimmung die Original-Funktion, ggf. mittels Umleitungsseite, aufzurufen. Ferner wird für die „ge-like-te“ Seite eine eigene Ansprungseite erzeugt, die dann auf die Originalseite umleitet. Auf diese Weise kann ein Facebook-Benutzer die richtige Seite anspringen. Diese Lösung ist zwar nicht im Sinn von Facebook, aber im Sinn des Datenschutzes und der Benutzer.