In den letzten Tagen machte eine Meldung die Runde: Die Nutzung des Facebook Like-Buttons wurde abgemahnt. Zwischenzeitlich ist aber bekannt, dass lediglich eine Abmahnung hierzu ausgesprochen wurde und der Händler eine Unterlassungserklärung abgegeben hat. Nach den Umständen kann man wohl annehmen, dass sich dieser keinen anwaltlichen Rat eingeholt hat. Diese eine Abmahnung ist jedoch kein Grund, jetzt in Panik zu verfallen.
Lesen Sie mehr dazu in einem Gastbeitrag von RA Dr. Martin Schirmbacher.
Update: Die Abmahnung liegt uns jetzt vor. Lesen Sie mehr zur Begründung des Abmahnenden.
Von einer Abmahnwelle kann in Bezug auf den Like-Button keine Rede sein. Es ist auch nicht bekannt, ob ausschließlich die Nutzung des Like-Buttons abgemahnt wurde, oder ob das “nur” ein Punkt in der Abmahnung war.
Datenschutzrechtliche Bedenken
Dass die Nutzung des Like-Buttons auf datenschutzrechtliche Bedenken stößt, war bereits Gegenstand zahlreicher Beiträge. Das Hauptproblem bei der Beurteilung dieses Social PlugIns ist, dass nicht vollständig bekannt ist, welche Daten der Webseiten-Besucher von wem und an wen übermittelt werden.
Wie funktioniert der Like-Button?
Durch Betätigung des Buttons wird dem Webseiten-Besucher ermöglicht, seine Facebook-Freunde auf eben diese Seite hinzuweisen. Allerdings scheint Facebook diesen Button auch dazu zu nutzen, um Daten zu sammeln. Dabei werden aber angeblich nicht nur Daten von registrierten Facebook-Mitgliedern gesammelt, die den Button betätigen, sondern auch von Personen, die lediglich die Webseite besuchen, die aber nicht auf den Button klicken.
Welche Daten dabei genau erhoben und übermittelt werden, ist – absurder Weise – noch immer unklar. Facebook schweigt hierzu.
Update: Abmahnung liegt jetzt vor
Genau welche personenbezogenen (!) Daten eigentlich an Facebook übermittelt werden, ergibt sich auch aus der Abmahnung nicht. Dort wird unter anderem darauf Bezug genommen, dass Facebook die Information erhalte, “dass ein bestimmeter Browser die entsprechende Seite aufgerufen hat”.
Worin hier der Personenbezug liegen soll, bleibt das Geheimnis des Abmahnenden.
Einwilligungserfordernis bei personenbezogenen Daten
Sollten auch personenbezogene Daten erhoben werden, muss hierfür eine Einwilligung des Betroffenen vorliegen. Man könnte annehmen, dass derjenige, der bei Facebook registriert ist, dort seine Einwilligung in die Erhebung von Daten auch von anderen Seiten erteilt. Hierzu heißt es in der Datenschutzerklärung von Facebook unter dem Punk: »Informationen die wir erhalten«:
»Informationen von anderen Webseiten.
Es ist uns gestattet, zusammen mit Werbepartnern und anderen Webseiten Programme einzurichten, mit denen diese uns Informationen mitteilen:
– Es ist uns gestattet, von Werbekunden Informationen darüber abzufragen, wie unsere Nutzer auf die von uns eingeblendeten Werbeanzeigen reagiert haben (und zu Vergleichszwecken, wie andere Nutzer, die diese Werbeanzeigen nicht gesehen haben, sich auf deren Webseiten verhalten haben). Dieser Datenaustausch, der gewöhnlich als »Besuchsaktionsauswertung« bezeichnet wird, hilft uns bei der Messung der Wirksamkeit unserer Werbung und bei der Verbesserung der Qualität der eingeblendeten Werbeanzeigen.
– Es ist uns gestattet, Informationen darüber zu erhalten, ob du bestimmte Werbeanzeigen auf anderen Webseiten angesehen oder auf diese interaktiv reagiert hast oder nicht, um die Wirksamkeit dieser Werbeanzeigen zu messen.«
Abgesehen davon, dass Wirksamkeit einer solchen verschachtelten und langen Einwilligung bezweifelt werden darf, ist auch nicht ganz sicher, dass die Daten, welche vom Like-Button übertragen werden, von dieser “Einwilligung” erfasst sind.
Sollten durch die Integration des Like-Buttons Daten übermittelt werden, die von diesen Vorschriften nicht gedeckt sind, fehlt es auch an einer Einwilligung der Facebook-Mitglieder. Und definitiv keine Einwilligung hat derjenige Webseiten-Besucher erteilt, der nicht bei Facebook registriert ist.
Erhebung personenbezogener Daten?
Der Dienst ist klar rechtswidrig, wenn auch von diesen nicht-registrierten Webseitenbesuchern personenbezogene Daten erhoben werden. Doch genau dies ist fraglich. Wird nur die IP-Adresse übermittelt, stellt sich auch hier die häufig diskutierte Frage nach dem Personenbezug einer IP-Adresse.
Nur wer diese Frage bejaht, sieht überhaupt einen datenschutzrechtlich relevanten Vorgang. Die Tatsache, dass der Nutzer auf der betreffenden Website war, ist nur ein personenbezogenes Datum, wenn dies dem Nutzer auch zugeordnet werden kann. Ist das nicht der Fall, fehlt es wieder am Bezug zum Datenschutzrecht.
Information in der Datenschutzerklärung?
Werden tatsächlich personenbezogene Daten durch den Website-Betreiber erhoben und an Facebook übermittelt, verstößt dies gegen deutsches Datenschutzrecht. Teilweise wird angeführt, dass die Weitergabe bestimmter Informationen im Sinne von § 15 TMG erforderlich sei und dadurch die Erhebung der Daten privilegiert werde. Die Erforderlichkeit dieser Datenerhebung wird aber zur Recht in Frage gestellt.
Es wird empfohlen, in die Datenschutzerklärung zumindest einen entsprechenden Hinweis aufzunehmen. Dies ist aus Gründen der Transparenz sicher empfehlenswert. Streng genommen ändert sich dadurch an der Rechtswidrigkeit aber nichts.
Die Datenschutzerklärung ist eine bloße Information über den Umgang mit personenbezogenen Daten – keine Einwilligung. Nur, wenn jeder Nutzer bei Betreten der Seite sich mit der Geltung der Datenschutzerklärung einverstanden erklären würde (und diese dann auch noch transparent gestaltet ist), läge eine Einwilligung vor. Dass das nicht praktikabel ist, liegt auf der Hand.
Welche Konsequenzen drohen?
Muss nun jeder Website-Betreiber, der den Like-Button integriert hat, mit dem einer Abmahnung durch einen Wettbewerber rechnen? Eher nein.
Wettbewerbswidrig wird ein Verstoß gegen Datenschutzvorschriften nämlich nur dann, wenn die Datenschutzvorschriften so genannte Marktverhaltensregeln darstellen. Im Kern dienen die Vorschriften zum Datenschutz aber dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen. Allerdings hat der BGH hier noch keine Klarheit geschaffen. Gute Gründe sprechen dagegen, dass jeder Verstoß gegen Vorschriften des Datenschutzrechts abgemahnt werden kann.
Leider schweigt die Abmahnung auch zu diesem Thema:
“Nach alledem verstößt Ihre Datenschutzbelehrung gegen die Vorschriften des § 13 Abs. 1 TMG. Da die Vorschrift des § 13 Abs. 1 TMG eine Marktverhaltensregelung im Sinne des § 4 Nr. 11 UWG darstellt, steht unserer Mandantin ein Unterlassungsanspruch nach § 8 UWG zu.”
Denkbar ist aber, dass der zuständige Datenschutzbeauftragte zur Stellungnahme auffordert und letztlich ein Bußgeld verhängt. Dieses Risiko von Bußgeldern der Datenschutzbeauftragten scheint aber – wie nicht zuletzt die Diskussion um Google Analytics zeigt – zur Zeit gering.
Schlussfolgerungen
- Es ist derzeit noch ungeklärt, ob durch den Facebook Like-Button überhaupt personenbezogene Daten erhoben und an Facebook übermittelt werden.
- Eine Einwilligung dürfte in der Regel nicht in Betracht kommen.
- Eine Aufklärung über den Einsatz des Like Buttons in der Datenschutzerklärung ist aus Gründen der Transparenz empfehlenswert, nutzt rechtlich aber wenig.
- Wettbewerbsrechtlichen Abmahnungen wegen des Einsatzes des Like Buttons stehen derzeit hohe Hürden entgegen. Wer abgemahnt wird, kann und sollte sich dagegen verteidigen.
- Auch eine Inanspruchnahme durch die Datenschutzbehörden droht nicht unmittelbar.
Fazit
Aus meiner Sicht, ist der Einsatz des Facebook Like-Buttons rechtlich nicht unbedenklich. Grund zur Panik besteht aber keinesfalls. Unternehmen, die mit Erfolg den Like-Button einsetzen, müssen sich durch die aktuelle Situation nicht verunsichern lassen. Erwägenswert ist jedoch eine Erwähnung des Like-Buttons in der Datenschutzerklärung auf der Website.
Über den Autor
RA Dr. Martin Schirmbacher
Martin Schirmbacher ist Fachanwalt für IT-Recht und seit Jahren in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte (www.haerting.de) tätig. Er prüft dort unter anderem Online-Geschäftskonzepte seiner Mandanten und zeigt Wege zur rechtssicheren Ausgestaltung der Geschäftsidee.
Zumindest ist dem Abmahner eine gewisse Kreativität wohl nicht abzusprechen.
Guter Hinweis auf den Erklärungsabschnitt von Facebook. Danke hierfür!
Damit stimmt doch jeder Facebook-Nutzer bereits auf die Übermittlung personenbezogener Daten an Facebook zu. Zweifel an dieser Erklärung hin oder her, der Nutzer hat ihr zugestimmt. Damit ist es also gar nicht das Problem eines Website-Betreibers sondern von Facebook, oder nicht?
Mal abgesehen von der tatsächlichen Wirksamkeit eines „Widerspruchs“ der Erhebung meiner Daten durch eine Website: Allgemein ist es doch mit diesen Datenschutzerklärungen eh recht seltsam, da ich ihr bereits zugestimmt haben muss bevor ich sie überhaupt auffinden kann. Oder pappt sich der Website-Betreiber eine Pre-Seite ohne Tracking vor die eigentliche Website, wo der Besucher dann entweder zustimmen und fortfahren kann oder eben nicht? I don’t think so.
Und was möchte Facebook von „personenbezogenen Daten“ (wie man das auch immer technisch anstellen mag *g*) anstellen, wenn der Surfer eine Website inkl. Like-Button besucht? Ein mittelfristiges Tracking ist doch nur mit Cookies möglich. Die Cookie-Verwaltung gehört für mich zu den Aufgaben des Surfers. Löschen oder nicht löschen. Aber viele Nutzer wissen ja noch nicht einmal, was Cookies sind. Das zum Thema Internet-Führerschein.
Aber warum sollte das dann zu einem Problem des Website-Betreibers führen? Das ist in etwa so dreist, wie das Spam-Problem eines Website-Betreibers auf seine Besucher abzuwälzen, in dem er eine nahezu unlesbare E-Mail-Adresse ins Impressum packt anstatt einen vernünftigen Spam-Filter einzusetzen.
Kann man eigentlich bei den Like-Buttons von Facebook auf Websites jeglicher Art nicht langsam mal von einer Art „Verkehrsgeltungabzuwälzen sprechen (keine Ahnung ob das der richtige Ausdruck ist) bei der ein Surfer grundsätzlich mit der Implementierung solcher Like-Buttons auf der zu besuchenden Website rechnen muss? Oder ist das totaler Mist, den ich da gerade so von mir gebe?
Ich finde es ist ungenau immer nur vom Facebook Like Button Problem zu sprechen. Klar, Facebook ist ein Unternehmen dass ähnlich wie Google für Datensammlungen bekannt ist, aber rein technisch gesehen ist jegliche Einbindung von fremden Services/Bildern (hier z.B. jQuery über die Google Apis) schon rechtlich problematisch (Annahme natürlich, dass die IP personenbezigen ist). Zwar müssen zwischen Bildern und nachgeladenem Javascript auch noch mal Unterscheidungen gemacht werden, aber die IP wurde in jedem Fall übertragen. Aber so funktioniert das Internet nun mal. Ich denke es würde eine Menge Probleme lösen, wenn die IP eben nicht als personenbezogen angesehen wird. Es wird Zeit, dass sich die obersten Gerichte damit mal befassen und eine vor allem praxistaugliche Lösung finden…
just my 2 cents
@Martin Labuschin
> Damit ist es also gar nicht das Problem eines Website-Betreibers sondern von Facebook, oder nicht?
Es wird dann zum Problem des Website-Betreibers, wenn die Einwilligung nach deutschem Recht unwirksam ist. Und danach sieht es aus.
> Allgemein ist es doch mit diesen Datenschutzerklärungen eh recht seltsam, da ich ihr bereits zugestimmt haben muss bevor ich sie überhaupt auffinden kann. Oder pappt sich der Website-Betreiber eine Pre-Seite ohne Tracking vor die eigentliche Website, wo der Besucher dann entweder zustimmen und fortfahren kann oder eben nicht?
Richtig! Deshalb sind die Datenschutzerklärungen eben in der Regel auch nur Erklärungen des Website-Betreibers über seinen Umgang mit den personenbezogenen Daten. Eine Einwilligung des Nutzer („Ja ich bin einverstanden.“) wird auf diese Weise nicht eingeholt.
> Aber warum sollte das dann zu einem Problem des Website-Betreibers führen?
Hält man die IP-Adresse für personenbezogenen kann man sich auf den Standpunkt stellen, dass dieses Datum vom Website-Betreiber erhoben und an Facebook weitergegeben wird. Das bedürfte dann der Einwilligung und wird zum Problem des Website-Betreibers.
> Kann man eigentlich bei den Like-Buttons von Facebook auf Websites jeglicher Art nicht langsam mal von einer Art „Verkehrsgeltungabzuwälzen sprechen (keine Ahnung ob das der richtige Ausdruck ist) bei der ein Surfer grundsätzlich mit der Implementierung solcher Like-Buttons auf der zu besuchenden Website rechnen muss?
Nein, davon kann man nicht sprechen ?
@Chris
> Ich denke es würde eine Menge Probleme lösen, wenn die IP eben nicht als personenbezogen angesehen wird. Es wird Zeit, dass sich die obersten Gerichte damit mal befassen und eine vor allem praxistaugliche Lösung finden…
Gerichte sind aber nicht in erster Linie an praxistauglichen Lösungen interessiert, sondern an der Anwendung und Auslegung geltenden Rechts… Da ist die Bedeutung für die Praxis nur ein schwaches Argument…
Inhaltlich haben sie natürlich absolut recht. Es ist großer Unsinn, was das verzapft wird. Und den Like-Button sollte man mal durchfechten…
Schönes Wochenende in die Runde
Martin Schirmbacher
> dass dieses Datum vom Website-Betreiber erhoben und an Facebook weitergegeben wird
Die Aussage stimmt so rein technisch gesehen nicht. Die IP-Adresse wird nicht weitergegeben, sondern der Browser des Nutzers ruft selbst das Frame auf, wodurch der Nutzer selbst die IP-Adresse mitteilt.
@Donksda
>> dass dieses Datum vom Website-Betreiber erhoben und an Facebook weitergegeben wird
>Die Aussage stimmt so rein technisch gesehen nicht. Die IP-Adresse wird nicht weitergegeben, sondern der Browser des Nutzers ruft selbst das Frame auf, wodurch der Nutzer selbst die IP-Adresse mitteilt.
Das wäre ein zusätzliches Einfallstor für eine Verteidigung gegen eine Abmahnung. Rechtlich wäre zu fragen, ob es auf die technische Sicht (Browser ruft direkt das Frame auf und sendet selbst an FB) ankommt, oder die Sicht des users (“Ich rufe hier die Seite des Unternehmens auf, was kann ich dafür, wasd dort alles eingebunden wird”) ankommt.
Jedenfalls viel Diskussionsstoff…
Schöne Woche
Martin Schirmbacher
Bis heute 13:42 wurde 24 mal auf den Like-Button geklickt, aber der Beitrag wurde in dieser Zeit 2.247 mal gelesen, also wurde 2.247 mal eine ungekürzte IP-Adresse von Besuchern in die USA übertragen und dort gespeichert, und zwar auch von Besuchern, die gar keinen Facebook-Account haben. Nicht einer dieser Besucher wurde um seine Zustimmung gefragt.
Ich habe eine feste IP-Adresse, die ich für meine anwaltliche Tätigkeit benutze. Aus Gründen der gesetzlichen Schweigepflicht benutzt auch niemand sonst mein Notebook. Wenn von dieser Adresse dieser Kommentar verfasst wird, weiß auch Facebook, wer ich bin. Davon zu schwafeln, dass eine IP-Adresse vielleicht ja doch kein personenbezogenes Datum wäre, ist doch naiv.
Rechtlich lässt sich das automatische Ablaufen des Facebook-Scripts – auch ohne auf den Like-Button zu klicken – nicht verteidigen. Nur mit dem Argument zu werben, “bloß keine Panik”, könnte ich von einem Händler verstehen, aber nicht von Kollegen oder gar von einem Unternehmen, das sich rühmt, rechtssichere Webshops zu vermöglichen.
Freundliche Grüße aus Rotterdam
@donksda
Das ist noch ein Einfallstor für eine Argumentation. rechtlich fragt sich aber, ob es auf die technische Sicht (Browser löst das Skipt aus und IP-Daten werden direkt übertragen) oder eher die Sicht des Nutzers (Ich bin auf der Seite des Website-Betreibers und weiß nicht, welche Skripte von wem da laufen) ankommt.
@Hans Giese
– Der Artikel gibt meine persönliche Einschätzung wieder und ist keine Werbung von Trusted Shops.
– Mit der Headline will ich vor allem darauf hinweisen, dass die nun allenorts verbreitete Panik übertrieben ist – klassische Risiko/Nutzen-Analyse.
– Inhaltlich verstehe ich nicht, wie Facebook aus Ihrer IP auf Ihre Person schließen können soll, wenn Sie nicht gerade Ihren Namen zur Bezeichnung der IP verwenden. Zudem kann ja auch jeder andere – mit Ihrer Zustimmung – unter dieser IP im Netz unterwegs sein. Dass die statische IP-Adressen der Schwachpunkt der Argumentation sind, ist klar.
@Martin Schirmbacher – ich versteh es schon: Jede meiner E-Mails ist mit meiner statischen IP verbunden und meine E-Mail-Adresse muss ich in diesem Blog angeben, wenn ich kommentieren will. Da meine E-Mail-Adresse wiederum eindeutig zu einer von mir betriebenen Webseite mit Impressum gehört, hat Facebook auch meine dort auffindbaren persönlichen Daten. Die haben sie natürlich sowieso schon, da sie über diejenigen Accounts ausgelesen werden, deren Inhaber so freundlich waren, mich automatisiert einladen zu lassen, als sie bei der Account-Eröffnung mal eben ihre Kontaktadressen von Facebook haben auslesen lassen.
Ich habe natürlich mit der Werbung nicht Sie gemeint, sondern die Blogbetreiberin, die ja ausdrücklich betont, einen Webshop auch facebook rechtssicher gestalten zu können.
Hierzu empfehle ich die Untersuchung des Koll. Dr. Martin Bahr, Hamburg: http://www.dr-bahr.com/download/bahr-facebook-datenschutzrechtliche-analyse-websiteboosting.pdf
Eine evtl. rechtssichere Verwendung des Facebook-Scripts schlagen die Kollegen Ferner u. a. vor: http://www.ferner-alsdorf.de/2011/02/facebook-like-button-abmahnung-datenschutzkonform/wettbewerbsrecht/strafrecht/rechtsanwalt/verkehrsrecht/
@Martin Schirmbacher: Ähnlich wäre es ja auch schon bei normalen Bildverlinkungen. Nehmen wir an, ich verlinke ein Bild von Facebook auf meiner Seite. Auch hier würde eine Verbindung zu Facebook herrgestellt und damit die IP-Adresse vom aufrufenden selbst mitgeteilt werden. Ich bin der Meinung, das der User sich selbst mit gewissen Mitteln kümmern muss. Die gibt es zuHauf im Netz, sei es Proxy, Adblock oder irgendwelche Filtersoftware. Rechtlich kann ich dazu nix sagen, betrachte das ganze eher aus der Sicht eines User, der weiß wie das Internet funktioniert. Ich sehe es schon kommen, das wir in Zukunft Javascriptmeldungen bei Links mit uneindeutigen Linktext einbauen müssen um den umbedarften User zu sagen: “Achtung, mit diesem Link verlässt du meine Seite und rufst Seite XYZ auf, Bist du sicher?”.
Wir haben uns auch mal das Script von Heise genauer angesehen und in unsere Seite eingebunden. Kleinere Probleme bei der Installation haben wir in einem HowTo festgehalten:
http://www.concept-br.de/blog/82-howto-datenschutzfreundlicher-i-like-gefaellt-mir-facebook-button
Super Beitrag, werde auf jeden Fall die Datenschutzerklärung aktualisieren.