Keine Panik wegen des Facebook Like-Buttons

In den letzten Tagen machte eine Meldung die Runde: Die Nutzung des Facebook Like-Buttons wurde abgemahnt. Zwischenzeitlich ist aber bekannt, dass lediglich eine Abmahnung hierzu ausgesprochen wurde und der Händler eine Unterlassungserklärung abgegeben hat. Nach den Umständen kann man wohl annehmen, dass sich dieser keinen anwaltlichen Rat eingeholt hat. Diese eine Abmahnung ist jedoch kein Grund, jetzt in Panik zu verfallen.

Lesen Sie mehr dazu in einem Gastbeitrag von RA Dr. Martin Schirmbacher.

Update: Die Abmahnung liegt uns jetzt vor. Lesen Sie mehr zur Begründung des Abmahnenden.

Von einer Abmahnwelle kann in Bezug auf den Like-Button keine Rede sein. Es ist auch nicht bekannt, ob ausschließlich die Nutzung des Like-Buttons abgemahnt wurde, oder ob das "nur" ein Punkt in der Abmahnung war.

Datenschutzrechtliche Bedenken

Dass die Nutzung des Like-Buttons auf datenschutzrechtliche Bedenken stößt, war bereits Gegenstand zahlreicher Beiträge. Das Hauptproblem bei der Beurteilung dieses Social PlugIns ist, dass nicht vollständig bekannt ist, welche Daten der Webseiten-Besucher von wem und an wen übermittelt werden.

Wie funktioniert der Like-Button?

Durch Betätigung des Buttons wird dem Webseiten-Besucher ermöglicht, seine Facebook-Freunde auf eben diese Seite hinzuweisen. Allerdings scheint Facebook diesen Button auch dazu zu nutzen, um Daten zu sammeln. Dabei werden aber angeblich nicht nur Daten von registrierten Facebook-Mitgliedern gesammelt, die den Button betätigen, sondern auch von Personen, die lediglich die Webseite besuchen, die aber nicht auf den Button klicken.

Welche Daten dabei genau erhoben und übermittelt werden, ist – absurder Weise – noch immer unklar. Facebook schweigt hierzu.

Update: Abmahnung liegt jetzt vor

Genau welche personenbezogenen (!) Daten eigentlich an Facebook übermittelt werden, ergibt sich auch aus der Abmahnung nicht. Dort wird unter anderem darauf Bezug genommen, dass Facebook die Information erhalte, "dass ein bestimmeter Browser die entsprechende Seite aufgerufen hat".

Worin hier der Personenbezug liegen soll, bleibt das Geheimnis des Abmahnenden.

Einwilligungserfordernis bei personenbezogenen Daten

Sollten auch personenbezogene Daten erhoben werden, muss hierfür eine Einwilligung des Betroffenen vorliegen. Man könnte annehmen, dass derjenige, der bei Facebook registriert ist, dort seine Einwilligung in die Erhebung von Daten auch von anderen Seiten erteilt. Hierzu heißt es in der Datenschutzerklärung von Facebook unter dem Punk: »Informationen die wir erhalten«:

»Informationen von anderen Webseiten.

Es ist uns gestattet, zusammen mit Werbepartnern und anderen Webseiten Programme einzurichten, mit denen diese uns Informationen mitteilen:
- Es ist uns gestattet, von Werbekunden Informationen darüber abzufragen, wie unsere Nutzer auf die von uns eingeblendeten Werbeanzeigen reagiert haben (und zu Vergleichszwecken, wie andere Nutzer, die diese Werbeanzeigen nicht gesehen haben, sich auf deren Webseiten verhalten haben). Dieser Datenaustausch, der gewöhnlich als »Besuchsaktionsauswertung« bezeichnet wird, hilft uns bei der Messung der Wirksamkeit unserer Werbung und bei der Verbesserung der Qualität der eingeblendeten Werbeanzeigen.
- Es ist uns gestattet, Informationen darüber zu erhalten, ob du bestimmte Werbeanzeigen auf anderen Webseiten angesehen oder auf diese interaktiv reagiert hast oder nicht, um die Wirksamkeit dieser Werbeanzeigen zu messen.«

Abgesehen davon, dass Wirksamkeit einer solchen verschachtelten und langen Einwilligung bezweifelt werden darf, ist auch nicht ganz sicher, dass die Daten, welche vom Like-Button übertragen werden, von dieser "Einwilligung" erfasst sind.

Sollten durch die Integration des Like-Buttons Daten übermittelt werden, die von diesen Vorschriften nicht gedeckt sind, fehlt es auch an einer Einwilligung der Facebook-Mitglieder. Und definitiv keine Einwilligung hat derjenige Webseiten-Besucher erteilt, der nicht bei Facebook registriert ist.

Erhebung personenbezogener Daten?

Der Dienst ist klar rechtswidrig, wenn auch von diesen nicht-registrierten Webseitenbesuchern personenbezogene Daten erhoben werden.  Doch genau dies ist fraglich. Wird nur die IP-Adresse übermittelt, stellt sich auch hier die häufig diskutierte Frage nach dem Personenbezug einer IP-Adresse.

Nur wer diese Frage bejaht, sieht überhaupt einen datenschutzrechtlich relevanten Vorgang. Die Tatsache, dass der Nutzer auf der betreffenden Website war, ist nur ein personenbezogenes Datum, wenn dies dem Nutzer auch zugeordnet werden kann. Ist das nicht der Fall, fehlt es wieder am Bezug zum Datenschutzrecht.

Information in der Datenschutzerklärung?

Werden tatsächlich personenbezogene Daten durch den Website-Betreiber erhoben und an Facebook übermittelt, verstößt dies gegen deutsches Datenschutzrecht. Teilweise wird angeführt, dass die Weitergabe bestimmter  Informationen im Sinne von § 15 TMG erforderlich sei und dadurch die Erhebung der Daten privilegiert werde. Die Erforderlichkeit dieser Datenerhebung wird aber zur Recht in Frage gestellt.

Es wird empfohlen, in die Datenschutzerklärung zumindest einen entsprechenden Hinweis aufzunehmen. Dies ist aus Gründen der Transparenz sicher empfehlenswert. Streng genommen ändert sich dadurch an der Rechtswidrigkeit aber nichts.

Die Datenschutzerklärung ist eine bloße Information über den Umgang mit personenbezogenen Daten – keine Einwilligung. Nur, wenn jeder Nutzer bei Betreten der Seite sich mit der Geltung der Datenschutzerklärung einverstanden erklären würde (und diese dann auch noch transparent gestaltet ist), läge eine Einwilligung vor. Dass das nicht praktikabel ist, liegt auf der Hand.

Welche Konsequenzen drohen?

Muss nun jeder Website-Betreiber, der den Like-Button integriert hat, mit dem einer Abmahnung durch einen Wettbewerber rechnen? Eher nein.

Wettbewerbswidrig wird ein Verstoß gegen Datenschutzvorschriften nämlich nur dann, wenn die Datenschutzvorschriften so genannte Marktverhaltensregeln darstellen. Im Kern dienen die Vorschriften zum Datenschutz aber dem Persönlichkeitsschutz der Betroffenen und nicht dazu, für ein lauteres Verhalten am Markt zu sorgen. Allerdings hat der BGH hier noch keine Klarheit geschaffen. Gute Gründe sprechen dagegen, dass jeder Verstoß gegen Vorschriften des Datenschutzrechts abgemahnt werden kann.

Leider schweigt die Abmahnung auch zu diesem Thema:

"Nach alledem verstößt Ihre Datenschutzbelehrung gegen die Vorschriften des § 13 Abs. 1 TMG. Da die Vorschrift des § 13 Abs. 1 TMG eine Marktverhaltensregelung im Sinne des § 4 Nr. 11 UWG darstellt, steht unserer Mandantin ein Unterlassungsanspruch nach § 8 UWG zu."

Denkbar ist aber, dass der zuständige Datenschutzbeauftragte zur Stellungnahme auffordert und letztlich ein Bußgeld verhängt. Dieses Risiko von Bußgeldern der Datenschutzbeauftragten scheint aber - wie nicht zuletzt die Diskussion um Google Analytics zeigt - zur Zeit gering.

Schlussfolgerungen

• Es ist derzeit noch ungeklärt, ob durch den Facebook Like-Button überhaupt personenbezogene Daten erhoben und an Facebook übermittelt werden.
• Eine Einwilligung dürfte in der Regel nicht in Betracht kommen.
• Eine Aufklärung über den Einsatz des Like Buttons in der Datenschutzerklärung ist aus Gründen der Transparenz empfehlenswert, nutzt rechtlich aber wenig.
• Wettbewerbsrechtlichen Abmahnungen wegen des Einsatzes des Like Buttons stehen derzeit hohe Hürden entgegen. Wer abgemahnt wird, kann und sollte sich dagegen verteidigen.
• Auch eine Inanspruchnahme durch die Datenschutzbehörden droht nicht unmittelbar.

Fazit

Aus meiner Sicht, ist der Einsatz des Facebook Like-Buttons rechtlich nicht unbedenklich. Grund zur Panik besteht aber keinesfalls. Unternehmen, die mit Erfolg den Like-Button einsetzen, müssen sich durch die aktuelle Situation nicht verunsichern lassen. Erwägenswert ist jedoch eine Erwähnung des Like-Buttons in der Datenschutzerklärung auf der Website.

Über den Autor

RA Dr. Martin Schirmbacher

Martin Schirmbacher ist Fachanwalt für IT-Recht und seit Jahren in der auf Medien und Technologie spezialisierten Rechtsanwaltskanzlei HÄRTING Rechtsanwälte (www.haerting.de) tätig. Er prüft dort unter anderem Online-Geschäftskonzepte seiner Mandanten und zeigt Wege zur rechtssicheren Ausgestaltung der Geschäftsidee.

Lesen Sie mehr zum Thema Datenschutz:

• Der Datenschutz im Online Handel

• Facebook: “Gefällt mir” vs. Datenschutz

• Vorsicht bei der Speicherung von IP-Adressen

• Google Analytics: Datenschützer drohen mit Bußgeldern und Musterprozess

• Webhosting nur mit schriftlicher Vereinbarung?

• Telefonnummer auf dem Paket: Ein Datenschutzproblem?

• Oberste Datenschutzbehörden stufen Google Analytics als rechtswidrig ein