Nachdem in den ersten Teilen wichtige Vorüberlegungen, rechtliche Fallstricke sowie Fragen zum Content im eigenen Social Media Auftritt dargestellt wurden, soll im vierten und letzten Teil der Beitragsreihe Social-Plugins sowie deren datenschutzrechtliche Zulässigkeit und Praxistauglichkeit untersucht werden.
Lesen Sie Teil 4 der Beitragsreihe von Gastautor Dr. Sami Bdeiwi.
Mit der Ausbreitung des Social Media Marketings und Commerce geht auch der Trend einher, soziale Erweiterungsmodule auf Unternehmens-Internetseiten oder E-Shop-Seiten direkt einzubinden.
Bei diesen sog. Social-Plugins integrieren die Betreiber der jeweiligen Internetseiten einfach kleine Anwendungen mit minimalen Programmieraufwand auf ihrer Internseite bzw. E-Shop (bspw. Facebook „Gefällt mir“-Button, Twitter „Tweet“-Button oder Google+ „+1“-Button).
Dabei wird jedoch häufig verkannt, dass die Einbindung solcher Plugins in die Internetseiten bzw. E-Shops datenschutzrechtlich problematisch ist.
A. Datenschutzrechtliche Bedenken
Eine Einwilligung zur Datenerhebung (§ 4a BDSG und § 13 Abs. 2 TMG) liegt in den meisten Fällen der Verwendung von Social-Plugins nicht vor. Dies erst recht nicht vor dem Hintergrund, dass Soziale Netzwerke bereits durch das Aufrufen einer Internetseite mit dem entsprechenden Plugin die IP-Adresse des Internetnutzers erhalten, selbst wenn der Plugin-Button nicht angeklickt wird.
Das Soziale Netzwerk kommuniziert aufgrund der Einbindung des Plugins mit dem Internetnutzer so, als hätte er von vornherein die Internetseite des Sozialen Netzwerks angesteuert. Neben der URL der besuchten Internetseite kann dabei eine Kennung übertragen werden, die zumindest bei dem im jeweiligen Netzwerk angemeldeten Nutzer direkt mit seiner Person verknüpft werden kann.
Wenn der Nutzer mit den Plugins interagiert, wird die entsprechende Information ebenfalls direkt an einen Server des jeweiligen Netzwerks übermittelt und dort gespeichert. Diese Informationen werden darüber hinaus auf dem jeweiligen Netzwerk veröffentlicht.
So können die Netzwerkbetreiber komplette Surfprofile ihrer Nutzer erstellen. Eine Verknüpfung mit einer Person oder die Übermittlung von Informationen bzgl. der Interaktion kann nur durch Ausloggen aus dem jeweiligen Netzwerk vor Nutzung des Plugins verhindert werden.
B. Datenschutzkonforme Einbindung
Die Majorität der Internetseitenbetreiber, die Social-Plugins verwenden, beschränkt sich dabei darauf, auf die vorbenannten Umstände zur Datenübermittlung in ihren Datenschutzbestimmungen hinzuweisen.
Ebendort erfolgt zudem der Hinweis, dass Einzelheiten zu Zweck und Umfang der Datenerhebung sowie die weitere Verarbeitung und Nutzung der Daten durch die Netzwerke, aber auch den diesbezüglichen Rechten und Einstellungsmöglichkeiten zum Schutz der Privatsphäre der Nutzer, den Datenschutzhinweisen des Betreibers des entsprechenden Netzwerks entnommen werden kann, flankiert mit den Hyperlinks zu den entsprechenden Bedingungen.
Bewusst oder unbewusst wird dabei ignoriert, dass die Datenschutzbeauftragten des Bundes und der Länder anlässlich der 82. Datenschutzkonferenz bereits am 28./29. September 2011 konstatiert haben, dass neben der hinreichenden Information der Internetnutzer (wie eben geschildert) aber auch die Einräumung eines Wahlrechtes erforderlich ist, wenn Social-Plugins integriert wurden.
Die aktuelle von Social-Plugins-Anbietern vorgesehene Funktionsweise sei unzulässig, wenn bereits durch den Besuch einer Internetseite oder eines E-Shops auch ohne Klick auf den jeweiligen Button eine Übermittlung von Nutzungsdaten in die USA oder woanders hin ausgelöst wird, auch wenn die Nutzenden gar nicht bei der entsprechenden Plattform registriert sind.
In der Folgezahl wurde eine Vielzahl kreativer Lösungen entwickelt, um eine technische Möglichkeit der Einwilligung bzw. der Einräumung des Wahlrechts zu schaffen. So zeigt bspw. der so genannte vom Heise-Verlag entwickelte Zwei-Klick-Button, der mittlerweile von vielen Internetseitenbetreibern umgesetzt wird, eingebundene Drittinhalte erst nach einem ausdrücklichen Klick des Nutzers auf einen datenschutzrechtlich unbedenklichen Dummy an.
Dabei sind die Plugin-Buttons standardmäßig ausgeschaltet und somit werden beim Laden der Internetseite keine Daten übertragen. Wenn der Nutzer eines der Netzwerke nutzen will, muss er zunächst den gewünschten Button aktivieren.
Erst wenn er einen Button aktiviert hat, wird die Verbindung mit dem Netzwerk hergestellt, sodass er mit einem zweiten Klick seine Empfehlung übermitteln kann. Vereinzelt wird dabei noch die Möglichkeit eingeräumt, die dauerhafte oder temporäre Aktivierung auszuwählen, wobei nach diesseitiger Ansicht eine Zustimmung bei jedem Besuch der Internetseite neu erteilt werden müsste.
Praxisempfehlung
Auch wenn, um der so genannten Zwei-Klick-Button-Lösung zu entsprechen, tiefer gehende technische Eingriffe als bei der simplen Einbindung von Social-Plugins in die Internetpräsenz des jeweiligen Betreibers erforderlich sind, ist zu empfehlen, diese Hürde zu nehmen. Bei der Verwendung von Social-Plugins im Rahmen des Social Media Marketings und Commerce kann nach diesseitiger Auffassung nur die sog. Zwei-Klick-Button-Lösung eine datenschutzkonforme Einbindung von Social-Plugins gewährleisten, wobei nicht unerwähnt bleiben soll, dass nicht unumstritten ist, dass auch nach Einwilligung in die Datenübertragung deutsches Datenschutzrecht verletzt werden kann.
Alle Beiträge der Reihe
Hier finden Sie alle Beiträge der Reihe Social Media und E-Commerce:
Über den Autor
RA Dr. Sami Bdeiwi
Dr. Bdeiwi ist Rechtsanwalt in der Kanzlei volke2.0. Seine Tätigkeitsschwerpunkte liegen im gewerblichen Rechtsschutz (Wettbewerbs-, Marken-, Gebrauchs-, Geschmacksmuster- und Patentrecht), dem IT-Recht (EDV-Recht, Softwarerecht, Datenschutzrecht) und dem Recht der Sozialen Medien.
