02.09.2010

Versehentliche Indiskretion


Risiken von Social Plugins minimieren

Von Philipp Nolden. Social Plugins wie Facebooks „Like" sind nützlich und leicht in jede Homepage einzubauen. Genauso leicht übersieht man dabei, dass sie im großen Stil personenbezogene Daten von Webseiten-Besuchern ohne deren Wissen an Facebook übertragen. Zwar sind sie einerseits aus einem systematischen Internet-Marketing kaum noch wegzudenken. Aber andererseits sind sie für deutsche Webseiten-Betreiber praktisch nicht ohne Verstoß gegen die Gesetzgebung zum Datenschutz einsetzbar. Eine möglichst weitgehend rechtssichere Gestaltung ermöglicht zumindest einen praktikablen Kompromiss.

 

Seit Ende April gehört er zum täglichen Straßenbild beim Bummel durchs Internet: Der erhobene Daumen aus dem Hause Facebook. Mit dem „Gefällt-mir"- oder schlichter amerikanisch „Like"-Button konnte man bereits vorher innerhalb von Facebook Inhalte kennzeichnen. Diese wurden dann im eigenen Profil als bevorzugte Inhalte aufgelistet und auch den „Freunden" innerhalb von Facebook als Empfehlung auf deren persönlicher Pinnwand präsentiert. Neu ist, dass dies jetzt auch Webseiten-Betreibern als externes Plugin zur Integration in eigene Web-Inhalte außerhalb von Facebook zur Verfügung gestellt wird. Facebook-User können damit auch Angebote im freien Internet „liken". Unternehmen stehen damit neue, leistungsfähigere Möglichkeiten im Internet-Marketing zu Verfügung.

Angriff auf Google

Social Plugins sind seit ihrer Einführung aus zwei Gründen permanent im Gespräch. Zum einen schwingt sich Facebook damit vom sozialen Netzwerk innerhalb des Internet zum allgemeinen Wegweiser im gesamten Internet auf und greift dadurch Googles bisherige Vormachtstellung an - mit einer Strategie, die in mancherlei Hinsicht deutlich leistungsfähiger ist. Zum anderen aber tun die Plugins viel mehr als für ihre offensichtliche Funktion eigentlich nötig wäre. Ähnlich wie Google Analytics erheben sie ausführliche Sitzungsdaten und übermitteln diese zusammen mit der vollständigen IP-Adresse an Facebook. Dort werden vermutlich umfangreiche personenspezifische Profile angelegt. Zumindest wenn ein Facebook-User gleichzeitig mit dem Besuch auch seinen Account offen hat, findet ein Abgleich mit dem persönlichen Konto einschließlich des Klarnamens statt.

Unbefriedigende Rechtsgrundlage

Das hat nicht nur gravierende Auswirkungen auf die Privatsphäre des Webseiten-Besuchers, sondern bringt auch den Betreiber der Webseite mit dem deutschen Datenschutzrecht in Konflikt. Die Erhebung und Übermittlung personenbezogener Daten wird in Deutschland durch das Telemediengesetz (TMG) und das Bundesdatenschutzgesetz (BDSG) geregelt. Allerdings sind die Regelungen alles andere als befriedigend und erlauben, solange es keine einschlägigen Präzedenzfälle gibt, keine klare Aussage, ob überhaupt und wenn ja unter welchen Voraussetzungen eine rechtssichere Nutzung von Facebook-Plugins möglich ist.

Rechtsfreier Raum

Andersherum ist aber auch unklar, ob eine Nutzung in jedem Fall als rechtswidrig anzusehen ist. Unternehmen, die auf moderne Möglichkeiten im Marketing angewiesen sind, können also auch nicht ohne weiteres auf Social Plugins verzichten. Schließlich benutzt die Konkurrenz sie auch und verschafft sich dadurch einen durchaus spürbaren Vorsprung. Betreiber von Unternehmens-Webseiten müssen deshalb in einem de facto rechtsfreien Raum agieren. Christian Eisele, Rechtsanwalt bei der Braunschweiger Kanzlei jurawerk und Experte für Internet-Recht bezeichnet das BDSG ohne Umschweife als gesetzgeberisch misslungen.

Unterschiedliche Interpretationen

Das TMG verbietet grundsätzlich die Erhebung und Übermittlung personenbezogener Daten. Es lässt aber konkrete Ausnahmen zu, in denen sie doch erlaubt ist. Laut Eisele würden in diesem Fall prinzipiell zwei Begründungen passen. Zum einen wäre die Datenerhebung rechtmäßig, wenn sie zur Inanspruchnahme des Telemediendienstes erforderlich wäre. Ob diese Argumentation auf Social Plugins auf Internetseiten anwendbar ist, ist streitig. Zwar wird von Einzelnen so argumentiert, doch Eisele bezweifelt, dass die Obergerichte dieser Argumentation im Ernstfall folgen würden. „Letztlich würde das das gesamte Datenschutzrecht aushebeln."

Enge TMG-Vorgaben

Die zweite Möglichkeit ist die ausdrückliche Einwilligung des Nutzers. Doch hier macht das TMG enge Vorgaben. So muss der Nutzer unter anderem über Umfang und Verwendung der erhobenen Daten informiert werden. Und es muss sichergestellt werden, dass die Daten nur bis zur Erfüllung dieses Zweckes gespeichert werden. Wie mit diesen Vorgaben bei der Datenübertragung zwischen unterschiedlichen Firmen, zumal in unterschiedlichen Ländern, umzugehen ist, ist rechtlich schlichtweg nicht geklärt.

Was man tun müsste

Die wichtigste Vorgabe ist jedoch, dass der Nutzer zu Beginn der Datenübertragung informiert werden muss. Offensichtlich ist an dieser Stelle der Wille des Gesetzgebers, den Usern Gelegenheit zu geben, die Erhebung von vornherein zu verhindern. Die Facebook-Plugins beginnen mit der Übertragung sofort, wenn der Besucher auf der entsprechenden Seite landet. Im juristischen Sinne wasserdicht wäre deshalb nur eine Lösung: Die Webseite so einzukapseln, dass sie nur über eine Einwilligungserklärung zugänglich ist. Auf dieser Einstiegsseite müsste der Besucher ausreichend über die Datenübermittlung aufgeklärt werden. Er müsste aktiv seine Einwilligung erklären, zum Beispiel durch Setzen eines Häkchens. Und seine Einwilligungserklärung müsste protokolliert und gespeichert werden.

Social Plugins als Mehrwert?

Zu solch drastischen Maßnahmen rät auch Anwalt Eisele nicht. Denn mal ganz davon abgesehen, dass es den Zweck der Social Plugins ad absurdum führen würde, wäre es einfach nicht praktikabel. Und es gäbe wohl kaum eine effektivere Methode, Besucher von der eigenen Webseite fernzuhalten. Ratsam ist, zu überdenken, ob man in den Plugins tatsächlich einen Mehrwert für die eigenen Ziele sieht. Wenn ja, dann ist es empfehlenswert, die datenschutzrechtlichen Risiken pragmatisch zu sehen. Eisele ermutigt Mandanten, die sich für den Einsatz der Plugins entscheiden, die Risiken bewusst in Kauf zu nehmen und durch eine möglichst rechtssichere Ausgestaltung zu minimieren.


Pragmatischer Umgang

Grundsätzlich sind die juristischen Risiken überschaubar. Zwar sieht das TMG Geldbußen bis 50.000 Euro und das BDSG sogar bis 300.000 Euro vor (beides Ordnungswidrigkeiten). Jedoch darf man durchaus auf das Augenmaß der zuständigen Behörden vertrauen. Im Falle eines Falles dürften diese Sanktionen zunächst Facebook treffen, im zweiten Schritt vielleicht große Konzerne, die allzu leichtfertig mit dem Datenschutz umgehen. Für mittelständische Unternehmen dürfte zunächst eine Frist zum Abstellen der Mängel gesetzt werden, bevor tatsächlich Bußgelder drohen.

Eigenständige Datenschutzerklärung

Zwar befindet man sich damit in einer gewissen Rechtsunsicherheit. Aber das tatsächliche Risiko dürfte minimal sein, soweit man insgesamt sorgfältig mit der Datenschutzfrage umgeht. Mit einer pragmatischen Lösung, die so rechtssicher wie möglich ausgestaltet ist, fährt man zumindest besser als schätzungsweise 98 Prozent der Plugin-Nutzer. Für eine möglichst rechtssichere Ausgestaltung rät Eisele insbesondere, der Forderung nach einem Hinweis zu Beginn der Datenübertragung möglichst nahe zu kommen. Dieser sollte nicht im Impressum versteckt werden, sondern in einer eigenständigen Datenschutzerklärung stehen. Unter dieser Bezeichnung sollte diese auch auf allen Seiten des Web-Auftrittes verlinkt sein, damit der Besucher sich aufgefordert fühlt, sie umgehend einzusehen.

Unbefriedigende Rechtsgrundlage0

Weitere Risiken außer Bußgeldern nach TMG und BDSG drohen derzeit nicht. Für die Abmahnindustrie, die in der Regel die gefährlichste Kostenfalle darstellt, ist der Datenschutz derzeit nicht interessant, weil aus ihm kein Wettbewerbsverstoß folgt. Solange das Datenschutzrecht nicht ins Unterlassungsklagengesetz aufgenommen wird - was langfristig natürlich passieren kann -, ist das Risiko also überschaubar.

Unbefriedigende Rechtsgrundlage1

Stellt sich die Frage, wer sich eigentlich um all dies kümmern muss. Rechtlich verantwortlich ist immer der Webseiten-Betreiber, also die (Rechts-)Person, die zum Beispiel im Falle einer de-Domain bei der Denic als Inhaber registriert ist. Allerdings steht laut Eisele die Möglichkeit im Raum, dass der Betreiber einen Rückgriffsanspruch auf den Webmaster oder den Webdesigner hat, falls dieser ihn nicht ausreichend über die datenschutzrechtlichen Aspekte der verwendeten Funktionen informiert hat. Als Webdesign-Büro oder Webmaster, als der man ja keinen Einfluss auf die Konsultation eines Anwaltes hat, ist man also gut beraten, wenn man standardmäßig darauf hinweist, dass eine rechtliche Überprüfung von Inhalt und Funktionen nicht durchgeführt wurde und man diese Überprüfung anheimstellt.

Unbefriedigende Rechtsgrundlage2

Als Fazit lässt sich sagen, dass die rechtliche Situation äußerst unbefriedigend gelöst ist. Es bleibt zu hoffen, dass der Gesetzgeber in Zukunft stärker der Realität auf der internationalen Datenautobahn gerecht wird. Bis dahin ist ein pragmatischer, aber risikobewusster Umgang mit den eigenen Internet-Funktionen wahrscheinlich der beste Kompromiss zwischen wirtschaftlichen und rechtlichen Notwendigkeiten.

Unbefriedigende Rechtsgrundlage3

Im Übrigen ist das Problem keineswegs neu. Zum Beispiel bringt das noch weiter verbreitete Google Analytics die gleiche Problematik mit sich. Google hat zwar inzwischen eingelenkt und zumindest eine optionale Möglichkeit zur Verschleierung der übertragenen IP-Adresse integriert. Doch Eisele weist ausdrücklich darauf hin, dass die Maßstäbe des Düsseldorfer Kreises, einer informellen Gemeinschaft der obersten Datenschutzbehörden, durch Google wohl noch immer nicht eingehalten sind. Zum Beispiel funktioniert diese Option nicht mit allen Browsern. Das Internet ist und bleibt also ein juristisches Minenfeld.

Letztlich wird man wohl nie etwas anderes tun können, als das, was wirtschaftlich sinnvoll ist, mit der gebotenen Vorsicht zu tun und die verbleibenden Risiken bewusst in Kauf zu nehmen.

Unbefriedigende Rechtsgrundlage4

Als Service von IT-Region 38 folgen nun die Hinweise, die eine Datenschutzerklärung enthalten sollte. Diese Hinweise haben einen rein informativen Charakter und stellen keine Rechtsberatung dar. In der Anwendung ist eine genaue, rechtssichere Formulierung notwendig. Um optimale Rechtssicherheit zu gewährleisten, ist unbedingt ein Anwalt zu konsultieren.

Bei Verwendung des Like-Buttons sollte die Datenschutzerklärung mindestens die folgenden zusätzlichen Hinweise enthalten:

• Die Webseite verwendet Social Plugins von Facebook Inc. 1601 S California Ave. Palo Alto, CA 94304 USA (Facebook).

• Der Webseiten-Betreiber ermöglicht Facebook den Datenaustausch. Wenn eine Seite aufgerufen wird, die ein Facebook-Plugin enthält, baut der Browser eine direkteVerbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird direkt von Facebook an den Browser übertragen, nicht von den Servern des Webseiten-Betreibers.

• Dadurch erhält Facebook die Information, dass der Nutzer die Webseite besucht. Soweit der Nutzer bei Facebook eingeloggt ist, kann Facebook diese Information auch seinem Nutzerkonto zuordnen.

• Wenn die direkte Zuordnung zum Klarnamen verhindert werden soll, muss der Nutzer sich bei Facebook ausloggen.

• Wenn der Nutzer bei Facebook eingeloggt ist und mit den Plugins interagiert, übermittelt der Browser die entsprechende Information zu Facebook. Dort wird diese gespeichert.

• Weitere Informationen sind den Datenschutzhinweisen von Facebook zu entnehmen (die direkt verlinkt werden sollten).