Der Facebook-„Gefällt mir“-Button erfreut sich bei Shopbetreibern großer Beliebtheit. Er stellt ein einfaches Marketing-Instrument dar, mit dem Händler sich die große Reichweite von Facebook zu Nutze machen können. Die Verbraucherzentrale NRW ist nun allerdings gegen verschiedene große Unternehmen vorgegangen, die auf Ihren Websites den Facebook-„Gefällt mir“-Button verwenden.
Was sind die Hintergründe? Hier erfahren Sie mehr.
Durch den „Gefällt mir“-Button können Nutzer den Inhalt einer Website mit Ihrem Facebook-Profil verknüpfen und so kundtun, dass ihnen der verlinkte Inhalt gefällt. Die Einbindung des Buttons erfolgt dabei über einige HTML-Codezeilen, durch welche der eigentliche Programmcode direkt von den Servern des Anbieters geladen wird. So findet bereits bei Aufrufen der Website ein Datenaustausch zwischen dem Browser des Seitenaufrufers und den Servern des Plugin-Anbieters statt. Ist der Nutzer bei Facebook eingeloggt, kann der Besuch der Website direkt dem Profil zugeordnet werden.
Die Verbraucherzentrale Nordrhein-Westfalen hat sechs Unternehmen abgemahnt, die den „Gefällt mir“-Button verwenden. Die Verbraucherzentrale sieht hier einen Verstoß gegen geltendes Datenschutzrecht, da Nutzer weder im Vorfeld ausdrücklich über die Datenweitergabe informiert werden, noch können sie dieser widersprechen.
In der Pressemitteilung der Verbraucherzentrale NRW heißt es hierzu:
„Doch wenn mit der Implementierung dieser sogenannten Social Plug-ins alle Nutzungsdaten automatisch, unbemerkt und ohne vorherige Einwilligung bei dem Betreiber landet, schlagen die Unternehmen eine Brücke zu Facebook, die im Ausverkauf der informationellen Selbstbestimmung endet – aus Sicht der Verbraucherzentrale unlauteres Geschäftsgebahren sowie ein Verstoß gegen das Telemediengesetz.“
Auch die Informationen in der Datenschutzklärung müssen den Nutzer über die Datenweitergabe aufklären:
„Ein bloßer Hinweis der Anbieter in ihren Datenschutzbestimmungen, dass eine solche Weiterleitung der Daten an Facebook erfolgt, genügt nicht. Ein Passus im Kleingedruckten, dass das Unternehmen keinen Einfluss auf den Umfang der Daten hat, die das soziale Netzwerk mit Hilfe der Plug-ins erhebt, liefert kein stichhaltiges Alibi. Ebenso wenig wie der Verweis auf die Datenschutzbestimmungen von Facebook. Notwendig ist eine echte Aufklärung über die Datensammlung und -verwertung.“
Die Verbraucherzentrale wertete die Verwendung des „Gefällt mir“-Buttons als Verstoß gegen §§ 12, 13 TMG und damit gegen eine das Marktverhalten regelnde Norm:
Zum einen mangele es an einer Einwilligung in die Erhebung und Nutzung personenbezogener Daten bei Betreten der Website. Bereits mit dem Öffnen einer Seite mit einem „Gefällt mir“-Button würden Daten an Facebook übertragen, bei welchen ein herstellbarer Personenbezug nicht auszuschließen sei – insbesondere durch eine Identifizierung über einen Facebook-Account bzw. im Rahmen dessen gesetze Cookies. Daher sei eine Einverständniserklärung des Nutzers erforderlich (§ 12 Abs. 1 TMG).
Weiter mangele es aber auch an einer entsprechenden Unterrichtung nach § 13 Abs. 1 TMG über Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten. Diese habe spätestens zu Beginn des Nutzungsvorganges ausdrücklich und unübersehbar zu erfolgen, was aber nicht gegeben sei, wenn sich die Informationen erst in der Datenschutzerklärung befänden.
Zwei abgemahnte Unternehmen haben bereits Unterlassungserklärungen abgegeben, mit zwei anderen befindet sich die VZ NRW noch in Verhandlungen. Gegen zwei weitere abgemahnte Unternehmen, u.a. ein großes Modehaus, wurde bereits vor den Landgerichten Düsseldorf und München Klage eingereicht.
Social Plugins sind vielen Datenschützern schon seit längerem ein Dorn im Auge. Zumindest bei eingeloggten Seitenbesuchern muss von einer direkten Personenbeziehbarkeit der übertragenen Daten ausgegangen werden. Geht man weiter davon aus, dass die IP-Adresse immer ein personenbezogenes Datum darstellt (nicht abschließend geklärt) und wird diese tatsächlich auch von nicht eingeloggten Nutzern übertragen und gespeichert, stellt auch dies eine Übermittlung personenbezogener Daten an Facebook dar.
Von einigen Datenschützern (wie auch der Verbraucherzentrale) wird daher die Auffassung vertreten, für die Datenübermittlung sei eine Einwilligung der Nutzer vor Betreten der Seite erforderlich. Dem gegenüber steht die Ansicht, dass es sich um eine nach § 15 Abs. 1 TMG ohne Einwilligung des Nutzers zulässige Datenübermittlung handelt, die zur Inanspruchnahme des Telemediums erforderlich ist (mehr Informationen hier).
Bereits 2011 bezog allerdings der Düsseldorfer Kreis, ein informeller Arbeitskreis der obersten deutschen Datenschutzbehörden, wie folgt Stellung zu Social Plugins:
„Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und –nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig.“
Wer nicht auf den „Gefällt mir“-Button verzichten will, kann auf die 2-Klick-Lösung von heise oder ihren Nachfolger Shariff zurückgreifen. Bei beiden Varianten werden erst dann Daten übertragen, wenn der Nutzer den Button anklickt.
Allerdings ist auch hier nocht abschließend geklärt, ob durch das Anklicken des Buttons eine informierte Einwilligung des Nutzers in die Datenübermittlung und -verwendung eingeholt werden kann. Bislang wurden diese Varianten aber nicht abgemahnt, die Abmahnungen der VZ beziehen sich auf den unveränderten „Gefällt mir“-Button.
Wer hier jedoch auf der ganz sicheren Seite sein will, der kann auf die Nutzung von Social Plugins verzichten. Auch die Verbraucherzentrale NRW nennt in Ihrer Pressemitteilung die Verwendung von Links für das Teilen von Inhalten als Positiv-Beispiel:
„Wer diese URL dann gezielt anklickt, dem ist bewusst, dass deren Datensammlungsmaschinerie erst damit aktiviert wird.“