Von Rechtsanwalt Dr. Thomas Helbing

Der Beitrag erläutert Hintergrund und Funktionsweise der Facebook Social Plugins und erklärt, wie Webseitenbetreiber ihre Nutzer über den Einsatz der Plugins in den Datenschutzhinweisen informieren müssen. Darüber hinaus wird diskutiert, ob die Einbindung von Facebook Social Plugins nach deutschem Datenschutzrecht zulässig ist.

Was sind Facebook Social Plugins?

Schon seit langem können Mitglieder des sozialen Netzwerks Facebook bestimmte Inhalte mit dem "Gefällt mir" (Like) Button bewerten. Mit dem Klick auf das "Daumen hoch" Symbol sympathisieren Nutzer mit Gruppen, Fanseiten oder Statusmeldungen von Freunden. Das entstehende Netz an Beziehungen (Person X gefällt Y und Z) wird als Social Graph bezeichnet. Mithilfe des Social Graphs kann Facebook Nutzerprofile erstellen und auf die Vorlieben des jeweiligen Mitglieds angepasste Werbung einblenden.

Seit Ende April 2010 erlaubt Facebook Webseitenbetreibern auf den eigenen Seiten "Gefällt mir" Buttons und andere Elemente des Facebook Netzwerkes einzubauen. Durch diese so genannten Social Plugins können Facebook User auch auf fremden Seiten zum Beispiel einen Facebook "Gefällt mir" Button anklicken.

Der Betreiber eines Online Musikmagazins kann zum Beispiel auf einer Seite, die eine Newcomer Band portraitiert, einen "Gefällt mir" Button von Facebook einbinden. Ein Nutzer, der sich zuvor auf Facebook eingeloggt hat und dann auf die Seite des Musikmagazins surft, sieht den "Gefällt mir" Button sowie eine Liste seiner Facebook-Freunde, denen die Band ebenfalls gefällt. Klickt er auf den Button, werden die Daten bei Facebook gespeichert und erscheinen auf der Pinnwand des Nutzers und in dessen Facebook-Profil. Facebook-Freunde des Nutzers sehen den Pinnwandeintrag und klicken auf den Bandnamen. Der Link führt sie dann zur entsprechenden Seite mit dem Portrait der Newcomer Band.

Neben dem "Gefällt mir" Button stellt Facebook noch eine Reihe anderer Social Plugins zur Verfügung, zum Beispiel ein Plugin, über das Kommentare abgegeben werden können.

Facebook kann mit den Social Plugins Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern im ganzen Netz sammeln. Die Webseitenbetreiber profitieren von höheren Besucherzahlen, weil die Links auf den Profilseiten von Facebook-Besuchern deren Freunde auf die eigene Seite leiten. Außerdem können Seitenbetreiber ihrem Internetauftritt ohne großen Programmieraufwand einen sozialen Touch verleihen, indem sich die Besucher über die Inhalte austauschen können.

Wie funktionieren Facebook Social Plugins?

Facebook stellt eine Programmbibliothek und Code-Schnipsel zur Verfügung, die der Webseitenbetreiber in den Code seiner eigenen Webseite einbindet. Der Webseitenbetreiber kontrolliert so, ob, welche und wo Social Plugins auf seiner Webseite erscheinen.

Loggt sich ein Nutzer bei Facebook ein, so setzt Facebook einen Cookie (kleine Textdatei) auf dessen Rechner. Wenn der Nutzer anschließend - ohne sich bei Facebook ausgeloggt zu haben - eine Webseite besucht, die Facebook Social Plugins integriert hat, wird über den vom Webseitenbetreiber eingebundenen Code eine Verbindung zwischen dem Browser des Nutzers und Facebook hergestellt. Anhand des dabei übermittelten Cookies, erkennt Facebook, dass der Besucher bei Facebook eingeloggt ist und um wen es sich handelt. Facebook schickt dann an den Nutzer den "Gefällt Mir" Button, der Browser des Nutzers bindet den "Gefällt Mir" Button in die Webseite ein. Wird dieser vom Nutzer angeklickt, wird diese Interaktion direkt an den Facebook-Server übermittelt und dort als Teil des Social Graph gespeichert.

Technisch kommt bei den Facebook Social Plugins ein Inlineframe (iframe) zum Einsatz. Dies hat zur Folge, dass der Facebook Rechner nicht weiß, auf welcher Seite der "Gefällt Mir" Button eingebunden ist. Deshalb muss der Webseitenbetreiber die URL (Internetadresse) seiner Seite, in den  Plugin-Code integrieren. Auf diese weise erfährt Facebook, wo der Button eingebunden ist und worauf sich das "Gefällt mir" bezieht. Einzelheiten ermittelt Facebook dann aus Metadaten, die der Webseitenbetreiber für den Nutzer unsichtbar in den Code seiner Webseite integrieren kann. Facebook vertraut dabei auf die Richtigkeit der vom Webseitenbetreiber angegebenen URL, wodurch es leicht zu Manipulationen kommen kann (wer auf einer Seite die Band "The New Stones" den "Gefällt mir" Button klickt, kann nicht sicher sein, dass in seinem Facebook-Profil steht: "Thomas mag 'The New Stones'", genauso gut könnte dort stehen "Thomas mag 'Schmutzige Wäsche'" oder beliebiger anderer Unsinn).

Die Daten des "Gefällt Mir" Buttons (oder eines anderen Social Plugins) werden aufgrund des iframes direkt zwischen Facebook und dem Rechner des Nutzers übermittelt und nicht über den Server des Webseitenbetreibers transportiert. Der Webseitenbetreiber hat den Vorgang durch Einbindung des entsprechenden Codes in seine Seite angestoßen, er weiß aber zum Beispiel nicht, welcher Facebook Nutzer wann seine Seite besucht oder "Gefällt mir" geklickt hat. Die Informationen des Social Graph (Wer mag was) werden ausschließlich und zentral bei Facebook gespeichert.  

Was muss in die Datenschutzhinweise?

Die Verwendung von Facebook Social Plugins muss der Webseitenbetreiber in seinen Datenschutzhinweisen erläutern. Dies ergibt sich aus § 13 (1) Telemediengesetz (TMG). Danach hat ein Diensteanbieter (Webseitenbetreiber) den Nutzer über "Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten" sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU/EWR in "allgemein verständlicher Form" zu unterrichten.

Zwar hat der Webseitenbetreiber wegen der Nutzung des iframes keinen Zugriff auf den Datenaustausch zwischen Facebook und dem Nutzer, weiß also nicht, für welche Facebook User der Button angezeigt wurde und wer auf den Button geklickt hat, jedoch öffnet er durch den Einbau des Social Plugins in seine Webseite Facebook die Tür, die entsprechenden Daten seiner Seitenbesucher zu erheben und zu verarbeiten. Außerdem "verrät" er über den Einbau des Codes auf seiner Webseite Facebook, wer wann welche Webseite besucht hat.

Kaum ein Nutzer dürfte erwarten, dass sein Browser eine Anfrage an Facebook sendet, wenn er eine beliebige Webseite aufruft, die einen kleinen "Gefällt mir" Button von Facebook enthält (wovon er zuvor meist auch gar nichts weiß). Erst recht erwartet er nicht, dass Facebook erfährt, wann und welche Seite er besucht hat, unabhängig davon ob er mit dem Social Plugin interagiert oder es gänzlich ignoriert. Zur Erinnerung: Auch ohne Betätigung des "Gefällt mir" Buttons kann Facebook den Nutzer schon bei Auslieferung, also Anzeige, des Buttons identifizieren. Auf diese Weise erhält Facebook nicht nur einen Social Graph, mit dem Wissen wem was gefällt, sondern auch Informationen darüber, wer welche Seiten im Netz besucht hat. Je mehr Seiten die Social Plugins nutzen, desto umfassender kann Facebook das Surfverhalten seiner User erfassen.

Auf diese Umstände muss der Webseitenbetreiber seine Nutzer in den Datenschutzhinweisen der Webseite in verständlicher Form hinweisen, zum Beispiel:

"Verwendung von Facebook Social Plugins

Unser Internetauftritt verwendet Social Plugins ("Plugins")  des sozialen Netzwerkes facebook.com, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird ("Facebook"). Die Plugins sind mit einem Facebook Logo oder dem Zusatz "Facebook Social Plugin" gekennzeichnet.

Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die ein solches Plugin enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden.

Durch die Einbindung der Plugins erhält Facebook die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Facebook eingeloggt kann Facebook den Besuch Ihrem Facebook-Konto zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den "Gefällt mir" Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespeichert.

Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatssphäre entnehmen Sie bitte den Datenschutzhinweisen von Facebook.

Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen."

Hinweis: Der Text ist kein Muster, sondern ein Beispiel und bietet deshalb keine Gewähr für Vollständigkeit, Richtigkeit und Aktualität. Datenschutzhinweise müssen für den jeweiligen Internetauftritt individuell erstellt werden.

Der Verweis auf die Datenschutzhinweise von Facebook erscheint sinnvoll, auch wenn sich dort keine nützlichen Informationen zu den Plugins finden. Welche Daten Facebook erhält und wie lange es diese speichert, wird nicht erläutert.

Soweit ersichtlich, genügt bisher noch kaum ein Webseitenbetreiber in Deutschland, der Facebook Social Plugins verwendet (z.B. bild.de oder focus.de) der diesbezüglichen Hinweispflicht des Telemediengesetzes.

Ein Verstoß gegen die Hinweispflicht des § 13 (1) TMG ist gemäß § 16 (2) Nr. 2 TMG eine Ordnungswidrigkeit und kann nach § 16 (3) TMG mit einem Bußgeld von bis zu € 50.000 geahndet werden. Da sich deutsche Datenschutzbehörden schwer tun US-Unternehmen wegen Datenschutzverstößen zu belangen, treten Sie gerne - wie im Fall Google Analytics - an die hier ansässigen Webseitenbetreiber heran. Dies wäre auch bei den Facebook Plugins denkbar.

Eine Abmahnung durch Wettbewerber dürfte dagegen wenig Aussicht auf Erfolg haben, da Gerichte zur Vorgängerregelung des § 13 TMG, dem außer Kraft getretenen § 4 Teledienstedatenschutzgesetz (TDDSG), entschieden haben, dass es sich um eine Vorschrift handelt, deren Verstoß nicht wettbewerbswidrig ist.

Ist die Einbindung von Facebook Social Plugins zulässig nach Datenschutzrecht?

Durch die Einbindung des Codes für das Facebook Social Plugin in die eigene Webseite ermöglicht der Webseitenbetreiber Facebook zu erfahren, wann ein Facebook Mitglied seine Webseite besucht. Zudem erhält Facebook Daten über die Interaktion mit dem Plugin. Hierin könnte die Übermittlung von personenbezogenen Daten durch den Webseitenbetreiber an Facebook im Sinne des § 3 Abs. 4 Nr. 3 Bundesdatenschutzgesetz (BDSG) liegen. Diese Übermittlung wäre dann nur zulässig, wenn hierfür eine Erlaubnisnorm existiert oder der Nutzer eingewilligt hat, § 4 Abs. 1 BDSG. Ohne Einwilligung oder Erlaubnisnorm ist eine Übermittlung rechtswidrig und stellt eine Ordnungswidrigkeit gemäß § 43 (2) Nr. 1 BDSG dar (bußgeldbewehrt bis 300.000 € gemäß § 43 (3) BDSG).

Die Information, dass ein Facebook-Mitglied eine bestimmte Webseite im Netz aufgerufen, einen Kommentar abgegeben oder den "Gefällt mir" Button geklickt hat, ist für Facebook zweifelsohne ein personenbezogenes Datum im Sinne des § 3 (1) BDSG, zumal die meisten Nutzer sich - wie es Ziffer 4 der Facebook Nutzungsbedingungen fordern - mit ihrem wahren Namen registriert haben.

Man kann nun argumentieren, es fehle an einer Übermittlung, weil für den Webseitenbetreiber kein personenbezogenes Datum vorliegt, da er den Seitenbesucher nicht mit einem Facebook-Konto und damit einer natürlichen Person in Verbindung bringen kann (Relativität des Personenbezugs). Folgt man dem, wäre der Webseitenbetreiber nur Hilfsperson von Facebook bei der Datenerhebung durch Facebook. Der „Charme“ dieser Argumentation ist, dass man keine Rechtsgrundlage für eine Datenübermittlung an Facebook benötigt.

Erhebt eine Stelle für eine andere personenbezogene Daten so kann dies ein Fall einer Auftragsdatenverarbeitung sein (§ 11 BDSG). Diese passt allerdings auf die vorliegende Konstellation in mehrerlei Hinsicht nicht, der Webseitenbetreiber ist insbesondere gegenüber Facebook nicht weisungsgebunden. Außerdem hat Facebook Inc. seinen Sitz außerhalb der EU und des Europäischen Wirtschaftsraumes (EWR), womit eine unmittelbare Anwendung des § 11 BDSG ausscheidet.

Folgt man der obigen Argumentation nicht  und geht entsprechend von einer Übermittlung personenbezogener Daten aus (man könnte sagen, aufgrund der dem Webseitenbetreiber bekannten IP Adresse handelt es sich auch für ihn um ein personenbezogenes Datum), so muss man sich auf die Suche nach einer Rechtsgrundlage begeben.

Eine Einwilligung scheidet aus Gründen der Praktikabilität aus. Sie müsste den Anforderungen des § 13 Abs. 2 TMG genügen, insbesondere bewusst und eindeutig erfolgen (Ankreuz-Box). Eine solche Einwilligung kann nur im Rahmen einer Registrierung auf der Webseite erfolgen, der Charme der Social Plugins liegt aber gerade darin, dass die Nutzer nur bei Facebook registriert und angemeldet sein müssen und nicht auch auf der einzelnen Webseite, die das Plugin integriert.

Damit muss man sich auf die Suche nach einer anderen Erlaubnisnorm machen. Bei der Information über den Besuch einer Webseite und der Interaktion mit Social Plugins handelt es sich um so genannte Nutzungsdaten. Gemäß § 15 Abs. 1 TMG darf der Webseitenbetreiber solche Daten eines Nutzers nur "erheben und verwenden, soweit dies erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen". Andere Erlaubnisvorschriften aus dem BDSG scheiden aus, da das TMG in Bezug auf Nutzungsdaten eine Sonderregelung ist. Wenn sich der Webseitenbetreiber entscheidet, seinen Nutzern Facebook Social Plugins anzubieten, dann ist dies Teil des angebotenen Dienstes. Eine Übermittlung der Daten an Facebook ist dann zur Erbringung dieses Dienstes zwingend erforderlich. Die Datenübermittlung ist deshalb nach meiner Auffassung gerechtfertigt. Dem kann auch nicht entgegengehalten werden, der Webseitenbetreiber könne auf die Plugins verzichten. Es steht nämlich im freien Ermessen des Webseitenbetreibers welche Dienste er den Nutzern auf seiner Webseite anbietet. Wichtig ist dabei, dass die Social Plugins in den Nutzungsbedingungen oder Datenschutzhinweisen erwähnt werden, damit sich die Datenübermittlung als erforderlich begründen lässt.

Da Facebook seinen Sitz in den USA hat, ist eine Übermittlung grundsätzlich nur zulässig wenn außerdem ein "angemessenes Datenschutzniveau" bei Facebook sichergestellt ist, § 4b BDSG ("Zweite Stufe" der datenschutzrechtlichen Prüfung). Dies gilt nur dann nicht, wenn eine Ausnahme nach § 4c BDSG vorliegt. In Betracht kommt § 4c (1) Nr. 1 BDSG wonach bei einer Einwilligung des Nutzers kein ausreichendes Datenschutzniveau beim Empfänger sichergestellt werden muss. In den Facebook-Datenschutzhinweisen heißt es unter Ziffer 9:

"Zustimmung zur Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika. Durch die Verwendung von Facebook stimmst du der Übertragung und Verarbeitung deiner persönlichen Daten in die bzw. in den USA zu."

Ob diese "Einwilligung" ausreicht ist zweifelhaft: Erstens wurde sie von Facebook eingeholt und nicht vom Webseitenbetreiber, zweitens ist unklar ob der Facebook-Mitglied den Datenschutzhinweisen wirksam im Sinne des TMG zugestimmt hat. Die Einholung einer Einwilligung durch den Webseitenbetreiber scheitert wiederum, weil sich der Nutzer bei diesem nicht registriert haben muss, um die Social Plugins zu nutzen.

Facebook nimmt allerdings an dem Safe-Harbor Programm teil, das die EU mit dem US Handelsministerium vereinbart hat. Gemäß der Safe Harbor Entscheidung der EU Kommission ist damit ein angemessenes Datenschutzniveau sichergestellt. Deutsche Datenschutzbehörden sehen Safe Harbor dagegen kritisch. Sie verlangen von Unternehmen, die Daten an Safe Harbor Unternehmen übermitteln, dass sie sich nicht auf deren Zusicherung verlassen, an dem Safe Harbor Programm teilzunehmen, sondern sich die Einhaltung der Safe Harbor Prinzipien nachweisen lassen und hierfür eine gewisse Mindestprüfung vornehmen. Zu den Einzelheiten verweise ich auf meinen gesonderten Beitrag.

Die Ausführungen zeigen, dass der Einsatz der Social Plugins neben einer Erläuterung in den Datenschutzhinweisen noch eine Reihe weiterer Rechtsfragen aufwirft. Nach hier vertretener Auffassung liegt wohl bereits keine Datenübermittlung vor, jedenfalls aber ist diese von einer Erlaubnisnorm gedeckt und die Einbindung der Social Plugins deshalb rechtmäßig möglich.

Sie haben Fragen, Kommentare oder Anregungen? Dann kontaktieren Sie mich oder nutzen Sie das Kommentarformular unten.

Dienstleistungen im Zusammenhang mit Online-Datenschutz

• Erstellung oder Überprüfung von Datenschutzhinweisen und Einwilligungserklärungen
• Datenschutz-Audits von Webseiten
• Datenschutzrechtliche Prüfung von Geschäftsmodellen
• Vertragsgestaltung (Nutzungsbedingungen, AGB, Auftragsdatenverarbeitungsverträge, Hosting, Programmierung, etc.)

• Druckversion