Wie Google+, Facebook Like und Tweet gegen Datenschutzrecht verstoßen

04. September 2011

Aktive Abstimmungs-Buttons sozialer Netzwerke erfreuen sich zunehmender Beliebtheit. Facebook bietet den Empfehlen-Button an, Twitter nennt ihn Tweet oder Follow und neuerdings steuert auch Google mit Google+ eine solche Schaltfläche bei. Diese Buttons könnten Webseiten-Betreiber jedoch bald bis zu 50.000 EUR kosten, weil sie gegen das Datenschutzrecht verstoßen.

Der Reiz von sozialen Buttons

Webseiten-Betreiber versuchen mit den Buttons, ihre Site im Internet bekannter zu machen. Sie hoffen auf den Community-Effekt: die Bekanntheit bestimmter Artikel oder Seiten soll durch Empfehlungen von Nutzern an deren Facebook-Freunde oder Tweet-Folger gesteigert werden. Beim Google+-Button des Suchmaschinenbetreibers wird erwartet, dass viele Klicks einen höheren Rang in den Suchergebnissen zur Folge haben.

Ob sich diese Hoffnungen der Webseiten-Betreiber verwirklichen, kann durchaus hinterfragt werden. Schaut man sich die Anzahl der Tweet-Folger oder Facebook-Möger selbst bei stark frequentierten Angeboten (z.B. Spiegel-Online) an, wirkt der Effekt gemessen an der Besucherzahl eher gering.

Auf der Seite der Anbieter bieten die Buttons hingegen deutliche Vorteile. Sie können aufgrund von Bewegungsprofilen erkennen, welche Themen ihre Benutzer interessiert, und entsprechende personalisierte Werbung platzieren. So könnte beispielsweise ein Facebook-Nutzer auf seinem Profil Angebote von Mobilfunkanbietern vorfinden, wenn er zuvor auf Seiten zum Vergleich von Telefon-Tarifen war, auch ohne einen Like-Button angeklickt zu haben.

Technische Funktionsweise von Abstimmungs-Buttons

Der technische Hintergrund wird anderswo detailliert erläutert. Im Folgenden wird das wesentliche Funktionsprinzip dargestellt, soweit es für den Datenschutz relevant ist. Es geht hier um Abstimmungs-Buttons, die nicht direkt als passive Schaltfläche oder Link in den HTML-Code der Website eingebunden werden, sondern als ein Javascript-Programm, das beim Seitenaufbau im Hintergrund vom Browser geladen und ausgeführt wird (Javascript erweitert sozusagen die Funktionen von HTML und wird standardmäßig von allen gängigen Browsern unterstützt).

Vereinfacht gesagt, wird das Javascript-Programm vom Server des sozialen Netzwerks geladen. Der Browser erlaubt deshalb dem Javascript-Programm, auf die Cookies des Nutzers des Netzwerks zuzugreifen. Wenn der Nutzer im sozialen Netzwerk angemeldet ist, speichert der Browser eine kleine Datei (Cookie) mit Daten, die den Nutzer dem Netzwerk gegenüber identifizieren können (mindestens etwa eine temporäre, eindeutige Nutzerkennung). Dieses Cookie bleibt aktiv, bis der Nutzer sich vom sozialen Netzwerk abmeldet, selbst wenn der Nutzer die Seite des Netzwerkes momentan nicht aufgerufen hat. Sobald der Nutzer auf Facebook, Twitter oder Google zurückkehrt, ist er dort automatisch eingeloggt.

Die Daten des Cookies sendet der Browser an das zugehörige soziale Netzwerk, sobald der Nutzer auf eine Seite zugreift, die den Abstimmungs-Button auf Javascript-Basis enthält. Zusammen mit der Seitenkennung, weiß das soziale Netzwerk somit, welcher Nutzer sich gerade welche Seite anschaut. Es ist nicht erforderlich, dass der Nutzer den Abstimmungs-Button tatsächlich klickt.

Datenschutzrechtliche Probleme und Sanktionen

Datenschutzrechtliche Vorschriften für Webseiten sind neben dem Bundesdatenschutzgesetz im Telemediengesetz (TMG) verankert. Jeder Webseitenbetreiber ist als Diensteanbieter im Sinne des TMG anzusehen, gleichgültig ob er die Webseite aus privaten oder gewerblichen Gründen betreibt. Gemäß § 12 Absatz 1 TMG darf ein Webseitenbetreiber personenbezogene Daten in der Regel nur mit ausdrücklicher Einwilligung des Nutzers erheben. Es muss ferner ein Widerrufsrecht eingeräumt werden. Gemäß § 15 Abs. 3 TMG dürfen Nutzungsprofile nur erstellt werden, soweit der Nutzer nicht widerspricht.

Bei den sozialen Abstimmungs-Buttons wird die Datenerhebung nicht vom Webseitenbetreiber vorgenommen, sondern vom sozialen Netzwerk. Daraus könnte man schlussfolgern, dass nicht der Webseitenbetreiber, sondern das soziale Netzwerk, also Facebook, Google, Twitter etc., für die Einhaltung der Datenschutzvorschriften und der Einwilligung der Nutzer verantwortlich sind. Allerdings veranlasst der Webseitenbetreiber auf seiner Webseite die Datenerhebung und ermöglicht die Weitergabe der Daten technisch durch Einbindung des Javascript-Codes. Der Webseitenbetreiber kann damit als derjenige angesehen werden, der die Daten beschafft, auch ohne dass er selbst die Daten erfasst (vgl. KG, 5 W 88/11, Beschluss v. 29.4.2011). Dieser Auffassung sind Datenschutzbeauftragte in Deutschland, die kürzlich Schritte gegen Webseitenbetreiber angekündigt haben.

Das Hauptproblem ist also, dass die Nutzerdaten bereits beim ersten Aufruf einer Webseite übertragen werden, noch bevor der Besucher von der Datenübertragung Kenntnis erlangen kann. Der Nutzer hat damit keine Möglichkeit, die Datenübertragung zu unterbinden. Eine Einwilligung etwa per AGBs zu fingieren, funktioniert damit auch nicht, weil die Nutzungsbedingungen ebenfalls erst nach erfolgter Übertragung der Daten einbezogen werden könnten.

Webseitenbetreiber könnte das Einbinden von Abstimmungs-Buttons sozialer Netzwerke ein Bußgeld von bis zu 50.000 EUR kosten. Die Datenschützer machen sich derzeit mobil, dürften sich allerdings zunächst mit Verwarnungen begnügen und sich auf große Webseiten konzentrieren.

Mögliche Doppelklick-Lösung

Um den datenschutzrechtlichen Bedenken entgegenzutreten, ist eine vielversprechende technische Lösung entwickelt worden. Sie beruht darauf, dass der Besucher einer Webseite den Button zweimal klicken muss, um die Seite zu empfehlen. Erst nach dem ersten Klick wird der aktive Javascript-Code des sozialen Netzwerks vom Browser geladen. Damit erfolgt die Datenübertragung an die soziale Plattform auch erst mit einem bewussten Klick durch den Besucher. Mit einem entsprechend deutlich formulierten Hinweis neben dem Button kann so im Einzelfall das Einverständnis des Nutzers zur Übermittlung seiner Daten abgefragt werden.

Allerdings stößt diese Lösung auf den Widerstand der sozialen Netzwerke. So hat Facebook bereits gegenüber Heise Online erklärt, dass die Veränderung seiner Buttons gegen die Nutzungsbedingungen von Facebook verstoßen. Webseiten-Betreiber, die die Doppelklick-Lösung einbinden, könnten also von Facebook und Co. gesperrt werden.

Fazit

Webseiten-Betreiber sollten auf die Einbindung von aktiven Buttons sozialer Netzwerke verzichten. Verglichen zu der geringen positiven Wirkung auf die Webseite sind die Gefahren eines bußgeldbewehrten Verstoßes gegen das Datenschutzrecht zu groß.

Die Doppelklick-Lösung wird keine dauerhafte Lösung sein, weil die sozialen Netzwerke sie voraussichtlich unterbinden werden. Die Lösung läuft schließlich der Strategie der sozialen Netzwerke entgegen, möglichst vollständige Profile über die Interessen ihrer Nutzer zu erstellen.

Über den Autor

Dr. Kay E. Winkler LL.M. M.A. ist Rechtsanwalt und Inhaber der Vertretungsprofessur für Internationales Wirtschaftsrecht an der Hochschule Rhein-Waal.