5614813296_57437083e8_b

Like! Share! Log-in! Facebook-Buttons on websites of third party providers and data protection

19 August 2015

In the online business (personal) data is considered a currency to pay for companies’ services. The pursuit of ever larger quantities of data concerning (potential) customers by private (online) companies such as facebook has long been one of the main issues in data protection and privacy discussions. This blog posts examines the different ways facebook exchanges data with and collects data from third party websites via the like, share and log-in-via-facebook buttons – paying special attention to the related data protection issues. 

Womit verdient das für Nutzer kostenlose soziale Netzwerk Facebook Geld? Hauptsächlich mit Werbung! Facebooks Geschäftssystem beruht darauf, Unternehmen personalisierte Werbemöglichkeiten zu bieten. Dafür benötigt Facebook Informationen über die Vorlieben und Bedürfnisse seiner Kunden – und wenn möglich aller anderen Internetnutzer – sowie die Möglichkeit, passend personalisierte Werbebanner zu schalten.

Dieser Blogpost behandelt die verschiedenen Facebook-Buttons, die auf Internetseiten dritter Anbieter zu finden sind, und untersucht deren Funktionsweise sowie deren datenschutzrechtliche Zulässigkeit.

Facebooks Social Media Plug-Ins: Tracking – ob Du Nutzer bist oder nicht!

fb_likeWebseiten, die mit einem Facebook Social Plug-In wie den „Gefällt mir“-/“Like“- oder den „Teilen“-/“Share“-Button versehen sind, dienen Facebook dazu, die Besucher dieser Webseiten mittels sogenannter Tracking-Cookies zu kennzeichnen und zu verfolgen, welche anderen Internetseiten sie besuchen. Dafür installiert Facebook diesen Cookie auf dem Computer eines Internetnutzers, sobald der User eine Internetseite besucht, die ein Facebook Social Plug-In implementiert hat. Die Tracking-Cookies können den Computer identifizieren und das Surfverhalten über Webseiten hinweg verfolgen.

fb_shareLaut einer Studie, durchgeführt von Forschern der Universität Leuven und der Vrije Universität in Brüssel für die belgische Datenschutz­kom­mis­sion, funktioniert dieses Tracking von Facebook jedoch unabhängig davon,

  • ob der User den Facebook-Button auf der Webseite des Drittanbieters verwendet oder nicht,
  • ob der Nutzer zu diesem Zeitpunkt bei Facebook eingeloggt ist,
  • ob er die (in Europa bestehende) Option “Do Not Track“ gewählt hat,
  • und sogar unabhängig davon, ob der Nutzer überhaupt ein Facebook Konto besitzt oder nicht.

Facebook Login– reger Datenaustausch

fb_login

Neben den „Gefällt mir“- oder „Teilen“-Buttons findet man im Netz immer öfter die Möglichkeit, sich über einen „Login mit Facebook“-Button bei einer Webseite anzumelden. Solche Single Sign On-Buttons, wie sie mittlerweile auch Google, Amazon und viele mehr eingeführt haben, vereinfachen die Anmeldeprozedur bei Apps und Webseiten: Man kann sich einfach mit dem Facebook-Daten (Anmeldename und Passwort) einloggen und muss sich keine eigenen Daten für den jeweiligen Zugang ausdenken und merken.

Anders als beim Social-Plug-In fließen hier laut der Facebook Nutzungsbedingungen Daten nicht nur von der Webseite an Facebook, sondern auch von Facebook an die Webseite beziehungsweise die App. Zum einen erhält Facebook Informationen von der Webseite oder der App über den Nutzer und seine Aktivitäten und kann damit das Profil, das es über den Nutzer angelegt hat, erweitern. Zum anderen übermittelt Facebook seinerseits das „öffentliche Profil“, wozu Facebook neben dem Benutzernamen, dem Alter und dem Land/der Sprache auch die Freundesliste zählt. Der Nutzer kann diese Informationsweitergabe nicht verhindern. Auch Informationen, die ein Nutzer bei Facebook einstellt, ohne explizit die Zugänglichkeit einzuschränken, so dass sie von Dritten über das Facebook-Profil eingesehen werden können, werden als „öffentlich“ behandelt und dem Drittunternehmen mitgeteilt. In diesem Zusammenhang erscheint es befremdlich, dass die Freundesliste laut Facebook Nutzungsbedingungen stets übermittelt also als öffentlich angesehen wird – auch wenn ein Facebook-Mitglied diese Liste durchaus als nicht öffentlich einsehbar einstellen kann.

Datenschutzrechtliche Zulässigkeit

Datenerhebung, -verarbeitung und -nutzung ist nach § 4 Abs. 1 BDSG nur zulässig, wenn eine Norm dies erlaubt oder der Betroffene eingewilligt hat.

Hinsichtlich der Social Plug-Ins kommt mangels einschlägiger Erlaubnisregelungen lediglich die Einwilligung in Betracht. Der Nutzer muss bei Abgabe der Einwilligung genau erkennen können, welche seiner Daten von wem und zu welchen Zwecken verarbeitet werden. Es ist bereits fraglich, ob Facebooks Nutzungsbedingungen diese Voraussetzungen erfüllen können. Denn sie sind sehr verworren und im Hinblick auf die weitreichenden Tracking-Funktionen eher vage. Jedenfalls liegt eine Einwilligung in diese Nutzungsbedingungen bei Nicht-Facebook-Nutzern schon gar nicht vor. Diese Internetnutzer haben noch nicht einmal in die Facebook Nutzungsbedingungen eingewilligt. Ergo sind Facebooks Trackingaktivitäten zumindest hinsichtlich dieser Nutzer nicht von einer wirksamen Einwilligung gedeckt.

Im Hinblick auf die Single Sign On-Funktion ist ebenfalls keine Rechtsgrundlage ersichtlich, die diese Datenverarbeitung in vollem Umfang erlaubt. Eine Erlaubnis folgt nicht aus dem § 14 TMG, da davon nur die Übermittlung von Bestandsdaten, also Daten die für das jeweilige Vertragsverhältnis erforderlich sind, umfasst ist. So wäre hiervon zum Beispiel die Übermittlung der Freundesliste nicht gedeckt, da sie in der Regel nicht zur Erbringung des Dienstes, bei dem man sich via Facebook einloggt, erforderlich ist. Auch § 28 Abs. 1 Nr. 3 BDSG (Ausnahme für allgemein zugängliche Daten) ist nicht einschlägig, da die Freundesliste bei Facebook gerade nicht stets öffentlich einsehbar ist. Somit kommt es auch hier auf eine wirksame Einwilligung an.

Da nur Mitglieder von Facebook diese Funktion nutzen können, liegt jedenfalls eine Einwilligung in die Facebook Nutzungsbedingungen vor. Wie bereits angedeutet, ist dennoch sehr zweifelhaft, ob die verworrenen Ausführungen von Facebook deutschen Datenschutzstandards gerecht werden. Jedenfalls kann sich eine solche Erklärung nur auf die Verarbeitung von Daten durch Facebook beziehen – nicht auf die Verarbeitung durch die anderen App- oder Webseitenanbieter. Auch wenn der Nutzer vor dem Login via Facebook eine Information darüber erhält, auf welche Daten(-arten) der Webdienst Zugriff erhält, unterliegt die eigentliche Verarbeitung dieser Daten durch das andere Unternehmen dessen Bedingungen. Das ergibt sich schon aus der Tatsache, dass Facebook weder weiß, was das Unternehmen mit den Daten macht, noch dass es diese Verarbeitung kontrollieren und beeinflussen kann. Das Drittunternehmen muss den Nutzer dementsprechend vor der Anmeldung über die eigenen Datenverarbeitungsprozesse aufklären. Nur dann kann der Nutzer informiert und bewusst entscheiden kann, ob er darin einwilligt.

Fazit

Die datenschutzrechtliche Zulässigkeit sowohl der Facebook Plug-Ins als auch der Single Sign On-Funktion ist zweifelhaft. Jedenfalls verstößt die Praxis von Facebook, die Aktivitäten auch der Internetnutzer zu tracken, die kein Facebook-Mitglied sind oder ein Tracking Opt-out gewählt haben, gegen Datenschutzrecht. Darüber hinaus werden Nutzer oftmals über die vielfältigen Prozesse zum Datenaustausch und der Datenverarbeitung nicht hinreichend aufgeklärt – weder von Facebook noch von kooperierenden Unternehmen. Eine wirksame Einwilligung, die zur datenschutzrechtlichen Zulässigkeit führen könnte, ist dann ebenfalls nicht möglich.

Da angesichts dieser komplizierten Lage ist nicht davon auszugehen, dass ein Einzelner gegen diese Praktiken vorgeht bzw. vorgehen kann. Bisher haben sich auch die Datenschutzbeauftragten in diesem Bereich stark zurückgehalten. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Zurückhaltung aufgeben und die Datensammelwut der privaten Unternehmen wie Facebook zu begrenzen suchen. Vielleicht ist die Beauftragung des Gutachtens durch die belgische Datenschutzbehörde ein erstes Zeichen für einen Schritt in diese Richtung. Teilweise wird zudem ein Trend in der Rechtsprechung ausgemacht, in Datenschutzverstößen eine Verletzung von Marktverhaltensregeln (§ 4 Nr. 11 UWG) zu erblicken. Das könnte dazu führen, dass Datenschutzverstöße auch von Konkurrenten mit Abmahnungen und Unterlassungsklagen geahndet werden könnten.

Photo: User:Ksayer1 / FlickrCC BY-SA 2.0

This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de.

Related articles

5611657857_39cff21f7d_b_edited

Proposed Directive on Copyright in the Digital Single Market: a missed opportunity?

Do news aggregators impact traffic generation towards online news sites? Will platforms like Instagram and TripAdvisor automatically filter user content? Is an EU news publishers’ right really a good idea? ...
5395779761_e4000a420e_o_edited

Storm in a teacup: predatory journals are irrelevant

A team of investigative journalists has discovered so-called “Predatory publishing”. Since then media has quickly picked up the term "fake science". Yet, the phenomenon is well-known to researchers and only...
ales-nesetril-734016-unsplash Cropped

Student Assistant DICDE (Advocate Europe)

Das The team of the Alexander von Humboldt Institute for Internet and Society (HIIG) is looking for the following at the earliest opportunity a student employee with an IT background....

Leave a Comment