BLOG
09/09/2015 06:49 CEST | Aktualisiert 09/09/2016 07:12 CEST

Like! Share! Log-in! Facebook-Buttons auf Webseiten von Drittanbietern und Datenschutz

Lewis Mulatero

Womit verdient das für Nutzer kostenlose soziale Netzwerk Facebook Geld? Hauptsächlich mit Werbung! Facebooks Geschäftssystem beruht darauf, Unternehmen personalisierte Werbemöglichkeiten zu bieten. Dafür benötigt Facebook Informationen über die Vorlieben und Bedürfnisse seiner Kunden - und wenn möglich aller anderen Internetnutzer - sowie die Möglichkeit, passend personalisierte Werbebanner zu schalten.

Dieser Blogpost behandelt die verschiedenen Facebook-Buttons, die auf Internetseiten dritter Anbieter zu finden sind, und untersucht deren Funktionsweise sowie deren datenschutzrechtliche Zulässigkeit.

Facebooks Social Media Plug-Ins: Tracking - ob Du Nutzer bist oder nicht!

2015-09-08-1441711699-9678749-fb1.png

Webseiten, die mit einem Facebook Social Plug-In wie den «Gefällt mir»-/»Like»- oder den «Teilen»-/»Share»-Button versehen sind, dienen Facebook dazu, die Besucher dieser Webseiten mittels sogenannter Tracking-Cookies zu kennzeichnen und zu verfolgen, welche anderen Internetseiten sie besuchen. Dafür installiert Facebook diesen Cookie auf dem Computer eines Internetnutzers, sobald der User eine Internetseite besucht, die ein Facebook Social Plug-In implementiert hat. Die Tracking-Cookies können den Computer identifizieren und das Surfverhalten über Webseiten hinweg verfolgen.

2015-09-08-1441711779-7126689-fb2.png

Laut einer Studie, durchgeführt von Forschern der Universität Leuven und der Vrije Universität in Brüssel für die belgische Datenschutz­Kommission, funktioniert dieses Tracking von Facebook jedoch unabhängig davon,

  • ob der User den Facebook-Button auf der Webseite des Drittanbieters verwendet oder nicht,

  • ob der Nutzer zu diesem Zeitpunkt bei Facebook eingeloggt ist,

  • ob er die (in Europa bestehende) Option »Do Not Track» gewählt hat,

  • und sogar unabhängig davon, ob der Nutzer überhaupt ein Facebook Konto besitzt oder nicht.

Facebook Login: reger Datenaustausch

2015-09-08-1441711925-5229208-fb3.png

Neben den «Gefällt mir»- oder «Teilen»-Buttons findet man im Netz immer öfter die Möglichkeit, sich über einen «Login mit Facebook»-Button bei einer Webseite anzumelden. Solche Single Sign On-Buttons, wie sie mittlerweile auch Google, Amazon und viele mehr eingeführt haben, vereinfachen die Anmeldeprozedur bei Apps und Webseiten: Man kann sich einfach mit dem Facebook-Daten (Anmeldename und Passwort) einloggen und muss sich keine eigenen Daten für den jeweiligen Zugang ausdenken und merken.

Anders als beim Social-Plug-In fließen hier laut der Facebook Nutzungsbedingungen Daten nicht nur von der Webseite an Facebook, sondern auch von Facebook an die Webseite beziehungsweise die App.

Zum Einen erhält Facebook Informationen von der Webseite oder der App über den Nutzer und seine Aktivitäten und kann damit das Profil, das es über den Nutzer angelegt hat, erweitern. Zum Anderen übermittelt Facebook seinerseits das «öffentliche Profil», wozu Facebook neben dem Benutzernamen, dem Alter und dem Land/der Sprache auch die Freundesliste zählt. Der Nutzer kann diese Informationsweitergabe nicht verhindern.

Auch Informationen, die ein Nutzer bei Facebook einstellt, ohne explizit die Zugänglichkeit einzuschränken, so dass sie von Dritten über das Facebook-Profil eingesehen werden können, werden als «öffentlich» behandelt und dem Drittunternehmen mitgeteilt.

In diesem Zusammenhang erscheint es befremdlich, dass die Freundesliste laut Facebook Nutzungsbedingungen stets übermittelt also als öffentlich angesehen wird - auch wenn ein Facebook-Mitglied diese Liste durchaus als nicht öffentlich einsehbar einstellen kann.

Datenschutzrechtliche Zulässigkeit

Datenerhebung, -verarbeitung und -nutzung ist nach § 4 Abs. 1 BDSG nur zulässig, wenn eine Norm dies erlaubt oder der Betroffene eingewilligt hat.

Hinsichtlich der Social Plug-Ins kommt mangels einschlägiger Erlaubnisregelungen lediglich die Einwilligung in Betracht. Der Nutzer muss bei Abgabe der Einwilligung genau erkennen können, welche seiner Daten von wem und zu welchen Zwecken verarbeitet werden.

Es ist bereits fraglich, ob Facebooks Nutzungsbedingungen diese Voraussetzungen erfüllen können. Denn sie sind sehr verworren und im Hinblick auf die weitreichenden Tracking-Funktionen eher vage. Jedenfalls liegt eine Einwilligung in diese Nutzungsbedingungen bei Nicht-Facebook-Nutzern schon gar nicht vor.

Diese Internetnutzer haben noch nicht einmal in die Facebook-Nutzungsbedingungen eingewilligt. Ergo sind Facebooks Trackingaktivitäten zumindest hinsichtlich dieser Nutzer nicht von einer wirksamen Einwilligung gedeckt.

Im Hinblick auf die Single Sign On-Funktion ist ebenfalls keine Rechtsgrundlage ersichtlich, die diese Datenverarbeitung in vollem Umfang erlaubt. Eine Erlaubnis folgt nicht aus dem § 14 TMG, da davon nur die Übermittlung von Bestandsdaten, also Daten die für das jeweilige Vertragsverhältnis erforderlich sind, umfasst ist.

Der Sonderfall „Freundesliste"

So wäre hiervon zum Beispiel die Übermittlung der Freundesliste nicht gedeckt, da sie in der Regel nicht zur Erbringung des Dienstes, bei dem man sich via Facebook einloggt, erforderlich ist. Auch § 28 Abs. 1 Nr. 3 BDSG (Ausnahme für allgemein zugängliche Daten) ist nicht einschlägig, da die Freundesliste bei Facebook gerade nicht stets öffentlich einsehbar ist. Somit kommt es auch hier auf eine wirksame Einwilligung an.

Da nur Mitglieder von Facebook diese Funktion nutzen können, liegt jedenfalls eine Einwilligung in die Facebook Nutzungsbedingungen vor. Wie bereits angedeutet ist dennoch sehr zweifelhaft, ob die verworrenen Ausführungen von Facebook deutschen Datenschutzstandards gerecht werden. Jedenfalls kann sich eine solche Erklärung nur auf die Verarbeitung von Daten durch Facebook beziehen - nicht auf die Verarbeitung durch die anderen App- oder Webseitenanbieter.

Auch wenn der Nutzer vor dem Login via Facebook eine Information darüber erhält, auf welche Daten(arten) der Webdienst Zugriff erhält, unterliegt die eigentliche Verarbeitung dieser Daten durch das andere Unternehmen dessen Bedingungen. Das ergibt sich schon aus der Tatsache, dass Facebook weder weiß, was das Unternehmen mit den Daten macht, noch dass es diese Verarbeitung kontrollieren und beeinflussen kann.

Das Drittunternehmen muss den Nutzer dementsprechend vor der Anmeldung über die eigenen Datenverarbeitungsprozesse aufklären. Nur dann kann der Nutzer informiert und bewusst entscheiden kann, ob er darin einwilligt.

Fazit

Die datenschutzrechtliche Zulässigkeit sowohl der Facebook Plug-Ins als auch der Single Sign On-Funktion ist zweifelhaft. Jedenfalls verstößt die Praxis von Facebook, die Aktivitäten auch der Internetnutzer zu tracken, die kein Facebook-Mitglied sind oder ein Tracking Opt-out gewählt haben, gegen Datenschutzrecht.

Darüber hinaus werden Nutzer oftmals über die vielfältigen Prozesse zum Datenaustausch und der Datenverarbeitung nicht hinreichend aufgeklärt - weder von Facebook noch von kooperierenden Unternehmen. Eine wirksame Einwilligung, die zur datenschutzrechtlichen Zulässigkeit führen könnte, ist dann ebenfalls nicht möglich.

Angesichts dieser komplizierten Lage ist nicht davon auszugehen, dass ein Einzelner gegen diese Praktiken vorgeht bzw. vorgehen kann. Bisher haben sich auch die Datenschutzbeauftragten in diesem Bereich stark zurückgehalten. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Zurückhaltung aufgeben und die Datensammelwut der privaten Unternehmen wie Facebook zu begrenzen suchen.

Vielleicht ist die Beauftragung des Gutachtens durch die belgische Datenschutzbehörde ein erstes Zeichen für einen Schritt in diese Richtung. Teilweise wird zudem ein Trend in der Rechtsprechung ausgemacht, in Datenschutzverstößen eine Verletzung von Marktverhaltensregeln (§ 4 Nr. 11 UWG) zu erblicken. Das könnte dazu führen, dass Datenschutzverstöße auch von Konkurrenten mit Abmahnungen und Unterlassungsklagen geahndet werden könnten.

Foto: User:Ksayer1 / Flickr, CC BY-SA 2.0

Dieser Beitrag erschien zuerst auf der Seite des Alexander von Humboldt Institut für Internet und Gesellschaft. Hier gehts Original.

Lesenswert:

Ihr habt auch ein spannendes Thema?

Die Huffington Post ist eine Debattenplattform für alle Perspektiven. Wenn ihr die Diskussion zu politischen oder gesellschaftlichen Themen vorantreiben wollt, schickt eure Idee an unser Blogteam unter

blog@huffingtonpost.de.

Video: Private Daten sichern: Diesen Facebook-Trick sollten Sie unbedingt kennen

Die 15 beliebtesten Marken im Social Web

Hier geht es zurück zur Startseite