5614813296_57437083e8_b

Like! Share! Log-in! Facebook-Buttons auf Webseiten von Drittanbietern und Datenschutz

Womit verdient das für Nutzer kostenlose soziale Netzwerk Facebook Geld? Hauptsächlich mit Werbung! Facebooks Geschäftssystem beruht darauf, Unternehmen personalisierte Werbemöglichkeiten zu bieten. Dafür benötigt Facebook Informationen über die Vorlieben und Bedürfnisse seiner Kunden – und wenn möglich aller anderen Internetnutzer – sowie die Möglichkeit, passend personalisierte Werbebanner zu schalten.

Dieser Blogpost behandelt die verschiedenen Facebook-Buttons, die auf Internetseiten dritter Anbieter zu finden sind, und untersucht deren Funktionsweise sowie deren datenschutzrechtliche Zulässigkeit.

Facebooks Social Media Plug-Ins: Tracking – ob Du Nutzer bist oder nicht!

fb_likeWebseiten, die mit einem Facebook Social Plug-In wie den «Gefällt mir»-/»Like»- oder den «Teilen»-/»Share»-Button versehen sind, dienen Facebook dazu, die Besucher dieser Webseiten mittels sogenannter Tracking-Cookies zu kennzeichnen und zu verfolgen, welche anderen Internetseiten sie besuchen. Dafür installiert Facebook diesen Cookie auf dem Computer eines Internetnutzers, sobald der User eine Internetseite besucht, die ein Facebook Social Plug-In implementiert hat. Die Tracking-Cookies können den Computer identifizieren und das Surfverhalten über Webseiten hinweg verfolgen.

fb_shareLaut einer Studie, durchgeführt von Forschern der Universität Leuven und der Vrije Universität in Brüssel für die belgische Datenschutz­kom­mis­sion, funktioniert dieses Tracking von Facebook jedoch unabhängig davon,

  • ob der User den Facebook-Button auf der Webseite des Drittanbieters verwendet oder nicht,
  • ob der Nutzer zu diesem Zeitpunkt bei Facebook eingeloggt ist,
  • ob er die (in Europa bestehende) Option »Do Not Track» gewählt hat,
  • und sogar unabhängig davon, ob der Nutzer überhaupt ein Facebook Konto besitzt oder nicht.

Facebook Login– reger Datenaustausch

fb_login

Neben den «Gefällt mir»- oder «Teilen»-Buttons findet man im Netz immer öfter die Möglichkeit, sich über einen «Login mit Facebook»-Button bei einer Webseite anzumelden. Solche Single Sign On-Buttons, wie sie mittlerweile auch Google, Amazon und viele mehr eingeführt haben, vereinfachen die Anmeldeprozedur bei Apps und Webseiten: Man kann sich einfach mit dem Facebook-Daten (Anmeldename und Passwort) einloggen und muss sich keine eigenen Daten für den jeweiligen Zugang ausdenken und merken.

Anders als beim Social-Plug-In fließen hier laut der Facebook Nutzungsbedingungen Daten nicht nur von der Webseite an Facebook, sondern auch von Facebook an die Webseite beziehungsweise die App. Zum einen erhält Facebook Informationen von der Webseite oder der App über den Nutzer und seine Aktivitäten und kann damit das Profil, das es über den Nutzer angelegt hat, erweitern. Zum anderen übermittelt Facebook seinerseits das «öffentliche Profil», wozu Facebook neben dem Benutzernamen, dem Alter und dem Land/der Sprache auch die Freundesliste zählt. Der Nutzer kann diese Informationsweitergabe nicht verhindern. Auch Informationen, die ein Nutzer bei Facebook einstellt, ohne explizit die Zugänglichkeit einzuschränken, so dass sie von Dritten über das Facebook-Profil eingesehen werden können, werden als «öffentlich» behandelt und dem Drittunternehmen mitgeteilt. In diesem Zusammenhang erscheint es befremdlich, dass die Freundesliste laut Facebook Nutzungsbedingungen stets übermittelt also als öffentlich angesehen wird – auch wenn ein Facebook-Mitglied diese Liste durchaus als nicht öffentlich einsehbar einstellen kann.

Datenschutzrechtliche Zulässigkeit

Datenerhebung, -verarbeitung und -nutzung ist nach § 4 Abs. 1 BDSG nur zulässig, wenn eine Norm dies erlaubt oder der Betroffene eingewilligt hat.

Hinsichtlich der Social Plug-Ins kommt mangels einschlägiger Erlaubnisregelungen lediglich die Einwilligung in Betracht. Der Nutzer muss bei Abgabe der Einwilligung genau erkennen können, welche seiner Daten von wem und zu welchen Zwecken verarbeitet werden. Es ist bereits fraglich, ob Facebooks Nutzungsbedingungen diese Voraussetzungen erfüllen können. Denn sie sind sehr verworren und im Hinblick auf die weitreichenden Tracking-Funktionen eher vage. Jedenfalls liegt eine Einwilligung in diese Nutzungsbedingungen bei Nicht-Facebook-Nutzern schon gar nicht vor. Diese Internetnutzer haben noch nicht einmal in die Facebook Nutzungsbedingungen eingewilligt. Ergo sind Facebooks Trackingaktivitäten zumindest hinsichtlich dieser Nutzer nicht von einer wirksamen Einwilligung gedeckt.

Im Hinblick auf die Single Sign On-Funktion ist ebenfalls keine Rechtsgrundlage ersichtlich, die diese Datenverarbeitung in vollem Umfang erlaubt. Eine Erlaubnis folgt nicht aus dem § 14 TMG, da davon nur die Übermittlung von Bestandsdaten, also Daten die für das jeweilige Vertragsverhältnis erforderlich sind, umfasst ist. So wäre hiervon zum Beispiel die Übermittlung der Freundesliste nicht gedeckt, da sie in der Regel nicht zur Erbringung des Dienstes, bei dem man sich via Facebook einloggt, erforderlich ist. Auch § 28 Abs. 1 Nr. 3 BDSG (Ausnahme für allgemein zugängliche Daten) ist nicht einschlägig, da die Freundesliste bei Facebook gerade nicht stets öffentlich einsehbar ist. Somit kommt es auch hier auf eine wirksame Einwilligung an.

Da nur Mitglieder von Facebook diese Funktion nutzen können, liegt jedenfalls eine Einwilligung in die Facebook Nutzungsbedingungen vor. Wie bereits angedeutet, ist dennoch sehr zweifelhaft, ob die verworrenen Ausführungen von Facebook deutschen Datenschutzstandards gerecht werden. Jedenfalls kann sich eine solche Erklärung nur auf die Verarbeitung von Daten durch Facebook beziehen – nicht auf die Verarbeitung durch die anderen App- oder Webseitenanbieter. Auch wenn der Nutzer vor dem Login via Facebook eine Information darüber erhält, auf welche Daten(-arten) der Webdienst Zugriff erhält, unterliegt die eigentliche Verarbeitung dieser Daten durch das andere Unternehmen dessen Bedingungen. Das ergibt sich schon aus der Tatsache, dass Facebook weder weiß, was das Unternehmen mit den Daten macht, noch dass es diese Verarbeitung kontrollieren und beeinflussen kann. Das Drittunternehmen muss den Nutzer dementsprechend vor der Anmeldung über die eigenen Datenverarbeitungsprozesse aufklären. Nur dann kann der Nutzer informiert und bewusst entscheiden kann, ob er darin einwilligt.

Fazit

Die datenschutzrechtliche Zulässigkeit sowohl der Facebook Plug-Ins als auch der Single Sign On-Funktion ist zweifelhaft. Jedenfalls verstößt die Praxis von Facebook, die Aktivitäten auch der Internetnutzer zu tracken, die kein Facebook-Mitglied sind oder ein Tracking Opt-out gewählt haben, gegen Datenschutzrecht. Darüber hinaus werden Nutzer oftmals über die vielfältigen Prozesse zum Datenaustausch und der Datenverarbeitung nicht hinreichend aufgeklärt – weder von Facebook noch von kooperierenden Unternehmen. Eine wirksame Einwilligung, die zur datenschutzrechtlichen Zulässigkeit führen könnte, ist dann ebenfalls nicht möglich.

Da angesichts dieser komplizierten Lage ist nicht davon auszugehen, dass ein Einzelner gegen diese Praktiken vorgeht bzw. vorgehen kann. Bisher haben sich auch die Datenschutzbeauftragten in diesem Bereich stark zurückgehalten. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Zurückhaltung aufgeben und die Datensammelwut der privaten Unternehmen wie Facebook zu begrenzen suchen. Vielleicht ist die Beauftragung des Gutachtens durch die belgische Datenschutzbehörde ein erstes Zeichen für einen Schritt in diese Richtung. Teilweise wird zudem ein Trend in der Rechtsprechung ausgemacht, in Datenschutzverstößen eine Verletzung von Marktverhaltensregeln (§ 4 Nr. 11 UWG) zu erblicken. Das könnte dazu führen, dass Datenschutzverstöße auch von Konkurrenten mit Abmahnungen und Unterlassungsklagen geahndet werden könnten.

Foto: User:Ksayer1 / Flickr, CC BY-SA 2.0

Dieser Beitrag ist Teil der regelmäßig erscheinenden Blogartikel der Doktoranden des Alexander von Humboldt Institutes für Internet und Gesellschaft. Er spiegelt weder notwendigerweise noch ausschließlich die Meinung des Institutes wieder. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info|a|hiig.de.

Ein Gedanke zu “Like! Share! Log-in! Facebook-Buttons auf Webseiten von Drittanbietern und Datenschutz

  1. Jonas

    Es wäre schön, wenn die Datenschutzbeauftragten sich um die “dicken Fische” kümmern würden. Schade ist, dass die Tendenz in die andere Richtung zeigt und (arglose) Nutzer der Social Media Buttons relativ schnell in (finanzielle) Schwierigkeiten kommen können.

    Seit dem Relaunch unseres Projekts setzen wir auf eine Einbindung ohne Plugins. Wer auf “Teilen via Facebook” klickt, wird auf die Facebookseite weitergeleitet, mit einem simplen Link. Der einzige Nachteil einer solchen Lösung ist, dass man die Statistiken nicht nachverfolgen kann.

    Das nehme ich aber gern in Kauf, wenn ich dafür aus der Grauzone raus bin.

    Mir fällt gerade erst auf, dass Facebook durch den Referer immerhin weiß, woher ein User kommt. Aber auch das ließe sich durch eine geschickte Umleitung sicher lösen.

    Der Golem titelte übrigens gestern passend zum Thema Safe Harbor. Der EuGH habe “ein Monster erschaffen”.

    Danke für die ausführlichen Artikel zu diesen Themen, vor allem immer aktuell!

    Kommentar

Hinterlassen Sie eine Antwort.

Ihre E-Mail Adresse wird nicht veröffentlicht

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>