Der "Gefällt mir"-Button (auch "Like"-Button), das wohl bekannteste aus einer Reihe von sogenannten "Social Plugins" des sozialen Netzwerks Facebook, hat sich seit seiner Einführung im April dieses Jahres rasant im gesamten Web verbreitet. Bietet dieses Plugin einerseits zwar enormes Marketingpotential, erweist es sich andererseits als rechtlich nicht unbedenklich.
Welche rechtlichen Risiken bergen die Facebook Plugins?
Im April dieses Jahres stellte das soziale Netzwerk Facebook auf seiner jährlichen f8-Konferenz für Entwickler eine Reihe von sogenannten "Social Plugins" vor, die es Webseitenbetreibern ermöglichen, verschiedene Facebook-Funktionen direkt in ihre Seiten einzubinden.
So können beispielsweise mit einem "Comments"-Plugin Kommentare von Facebook-Nutzern auf der Website angezeigt werden, mit einem "Recommendations"-Plugin können Seitenbesuchern, die gleichzeitig bei Facebook sind, personalisierte Empfehlungen angezeigt werden und ein "Activity Feed" ermöglicht es Facebook-Nutzern, die Aktivitäten von Freunden auf der Seite nachzuvollziehen.
Das wichtigste und inzwischen wohl auch bekannteste Plugin ist aber der sogenannte "Like"- oder zu deutsch „Gefällt mir“-Button.
Der "Gefällt mir"-Button ermöglicht es Facebook-Nutzern, bestimmte Inhalte einer Website – sei es nun ein redaktioneller Artikel oder ein angebotenes Produkt – in ihrem Facebook-Profil zu verlinken mit dem Hinweis, dass ihnen das Verlinkte gefällt.
Wird der "Gefällt mir"-Button betätigt, erscheint sowohl im persönlichen Newsfeed des Nutzers (die "Pinnwand") als auch im Newsfeed seiner Facebook-Kontakte (unter "Neuigkeiten") der Hinweis, dass dem Nutzer der verlinkte Inhalt gefällt.
Das enorme Marketingpotential liegt auf der Hand: Da ebenfalls alle Kontakte eines Facebook-Nutzers sehen können, welches Produkt ihm gefällt, bietet dieses Plugin eine weitreichende kostenlose Werbefunktion, bei der sich die Werbung zudem fast nur an relevante Zielgruppen richtet.
Darüber hinaus bietet der Button auch eine einfache Tracking-Funktion, bei der die Anzahl der Klicks auf den Button in einer Statistik zusammen mit demographischen Daten dargestellt werden.
Da jedoch nicht nur Daten an Facebook übermittelt werden, wenn der "Gefällt mir"-Button angeklickt wird, erweist sich der Button gleichzeitig als datenschutzrechtlich nicht unbedenklich.
Durch die Einbindung des Buttons als Plugin wird der Programm-Code direkt von den Facebook-Servern übermittelt und in die Seite eingebettet. So findet bereits beim Betreten einer Website, die das Plugin eingebunden hat, ein Datenaustausch mit Facebook statt.
Ist der Seitenbesucher ein Facebook-Mitglied und gerade bei Facebook eingeloggt, kann Facebook den Nutzer anhand der übertragenen Informationen identifizieren und den Besuch der Website seinem Facebook-Profil bereits direkt zuordnen, auch wenn der Button nicht geklickt wird.
Doch auch wenn der Seitenbesucher gerade nicht bei Facebook eingeloggt ist oder gar kein Facebook-Profil besitzt, erhält Facebook die Information, dass ein bestimmter Browser die entsprechende Seite aufgerufen hat. Medienberichten zufolge wird dabei auch die IP-Adresse jedes Seitenbesuchers an Facebook übertragen und dort gespeichert. Ob dies tatsächlich der Fall ist und was Facebook mit diesen Daten macht, ist derzeit nicht bekannt.
Durch die Möglichkeit der Zuordnung des Seitenbesuchs eines eingeloggten Facebook-Nutzers zu dessen Facebook-Profil, muss zumindest für diesen Fall von einer direkten Personenbeziehbarkeit der an Facebook übertragenen Daten ausgegangen werden.
Geht man darüber hinaus davon aus, dass die IP-Adresse immer personenbezogen ist (nicht abschließend geklärt) und wird diese tatsächlich auch von nicht bei Facebook eingeloggten Seitenbesuchern übertragen und gespeichert, stellt auch dies eine Übermittlung personenbezogener Daten an Facebook dar.
Für die Übermittlung personenbezogener Daten bedarf es jedoch regelmäßig einer Einwilligung des Betroffenen oder einer gesetzlichen Legitimation, also einer Rechtsvorschrift, die dies erlaubt (vgl. § 4 Abs. 1 BDSG und § 12 Abs. 1 TMG) .
Vor allem von Datenschützern wird daher die Ansicht vertreten, die datenschutzkonforme Verwendung der Facebook-Plugins sei nach aktueller Rechtslage nur möglich, wenn zuvor eine Einwilligung jedes Seitenbesuchers zur Übermittlung von Daten an Facebook eingeholt wird - und zwar vor Betreten der Seite. Fraglich ist allerdings, wie dies in der Praxis umgesetzt werden soll.
Von einigen Juristen wird aber auch die Ansicht vertreten, die Datenerhebung und -übermittlung durch die Facebook-Plugins wäre möglicherweise durch § 15 Abs. 1 TMG legitimiert, so dass eine Einwilligung nicht erforderlich ist, sondern nur gemäß § 13 Abs. 1 TMG in der Datenschutzerklärung über den Datenaustausch durch die Plugins informiert werden müsse.
In § 15 Abs. 1 Satz 1 TMG heißt es:
"(1) Der Diensteanbieter darf personenbezogene Daten eines Nutzers nur erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen (Nutzungsdaten)."
Demnach wäre die Datenübermittlung an Facebook zulässig, wenn sie für die Nutzung der Website erforderlich ist. Dies kann angenommen werden, wenn man zugrunde legt, dass ein Seitenbetreiber grundsätzlich selbst bestimmen kann, wie seine Seite aussieht. Baut dieser den "Gefällt mir"-Button oder ein anderes Facebook Plugin in die Seite ein, so sind diese erforderlicher Bestandteil der Seite und die Datenübermittlung an Facebook somit ebenfalls erforderlich und damit zulässig.
Unabhängig von der Frage, welche Ansicht zutreffend ist bzw. sich durchsetzt, ist aber in jedem Fall eine Information über die Verwendung von Facebook Plugins in der Datenschutzerklärung erforderlich. Hierzu ist der Webseitenbetreiber nach § 13 Abs. 1 TMG verpflichtet.
Trusted Shops-Mitglieder finden einen entsprechenden Mustertext zur Verwendung in der Datenschutzerklärung im Mitglieder-Forum.
Die rechtliche Zulässigkeit der Facebook Plugins ist derzeit nicht abschließend geklärt und deren Verwendung daher mit Risiken behaftet. Werden die Plugins verwendet, da davon ausgegangen wird, dass § 15 Abs. 1 TMG greift, so sollte zumindest die Datenschutzerklärung angepasst und die aktuelle Diskussion aufmerksam verfolgt werden.
Wer jedoch rechtlichen Risiken, wie insbesondere Bußgeldern oder Verbotsverfügungen durch die Datenschutzaufsichtsbehörden, ganz aus dem Weg gehen möchte, sollte auf die Plugins vorerst besser verzichten. (lk)