Facebook Like-Button und das Datenschutz-Problem

Fachbeitrag

Facebook, Instagram, Twitter und Co. – soziale Medien sind für das Unternehmensmarketing eine wahre Goldgrube. Insbesondere Facebook Like-Buttons werden vielerorts auf Webseiten eingesetzt. Die Einbindung des Like-Buttons außerhalb von Facebook muss jedoch gekonnt sein – auch aus datenschutzrechtlicher Sicht.

Welche Vorteile hat der Facebook Like-Button?

Social Signals wie der Facebook Like-Button bieten Unternehmen einen großen Mehrwert hinsichtlich ihres Onlinemarketings. Unter Social Signals versteht man die Rückmeldung von oder Interaktion zwischen Nutzern von sozialen Netzwerken, wie auch der Klick auf „Gefällt mir“ des vertrauten blauen „f“. Der Facebook Like-Button kann sich dabei positiv auf Ihr Webseiten-Ranking auswirken.

Häufige Reaktionen wie Likes erhöhen die Chance, dass weitere Interessenten, Kunden oder Blogger auf Ihren Webauftritt aufmerksam werden und auf diesen verlinken. Insofern können themenrelevante Backlinks, sprich die Verlinkung von externen Webseiten auf Ihre eigene, generiert werden. Diese Backlinks gelten der Suchmaschine als Indikator für die Beliebtheit der Seite und nehmen somit einen hohen Stellenwert für das Suchmaschinenranking ein. Eine positive Resonanz durch den Facebook Like-Button kann also in einem höheren Besucheraufkommen der Webseite resultieren.

Die Reaktionsbuttons von Facebook, Twitter und Co. haben somit zwar keine direkte Auswirkung auf das Ranking von Suchmaschinen, können aber dennoch Ihre Reichweite verbessern und das Ranking somit mittelbar beeinflussen.

Warum verstößt der Facebook Like-Button gegen den Datenschutz?

Wird auf einer Webseite der Facebook Like-Button über ein Plugin eingebunden, erhält Facebook auf direktem Wege Informationen über jeden Nutzer, der die Webseite mit dem eingebundenen Facebook-Button aufgerufen hat. Der Social-Media-Gigant erhält auf diese Weise Zugriff auf Informationen wie die dynamische IP-Adresse, browserspezifische Informationen sowie Informationen zu dem gewünschten Inhalt hat. Insbesondere der Personenbezug der IP-Adresse ist in Europa nicht von der Hand zu weisen und sogar nach dem kalifornischen Consumer Privacy Act (CCPA) weitestgehend anerkannt.

Für die Übermittlung der personenbezogenen Daten an Facebook hat jedoch der Website-Betreiber oft keine wirksame Rechtsgrundlage. In den seltensten Fällen wurde der Webseitenbesucher über die Datenverarbeitung ausreichend informiert und noch seltener hat der Nutzer in diese Verarbeitung eingewilligt. Denn nach dem Urteil des BGH zu Planet49 muss vor dem Setzen des Facebook Cookies zwingend eine Einwilligung eingeholt werden. Aber selbst wenn der Webseitebetreiber diese hohen Hürden genommen hat, verstößt er durch das Einbinden des Facebook Like-Button aufgrund eines EuGH-Urteils weiterhin gegen den Datenschutz.

Welche Bedeutung hat das Like-Button-Urteil des EuGHs?

Der EuGH hat mit dem Urteil vom 29.07.2019 die Frage der Verantwortlichkeit bei Einbindung von Facebook-Plugins auf Webseiten geklärt. Der Webseitenbetreiber kann sich demnach nicht damit rechtfertigen, dass er selbst keine Daten an Facebook übermittelt. Denn er ist schon durch die Einbindung des Social-Plugins dafür verantwortlich, dass eine Datenübermittlung vom Nutzergerät an Facebook überhaupt stattfinden kann. Insofern liegt eine gemeinsame Verantwortlichkeit des Webseitenbetreibers mit dem Anbieter des Plugins, in diesem Fall Facebook, vor.

Hintergrund des Vorabentscheidungsverfahrens war die Klage der Verbraucherzentrale NRW vor dem LG Düsseldorf auf Unterlassung gegen den Online-Händler Fashion ID, der einen Facebook Like-Button in seine Webseite eingebunden hatte. Durch den Facebook Like-Button wurden Informationen wie die dynamische IP-Adresse, Browserinformationen sowie Informationen über die aufgerufenen Inhalte an Facebook übermittelt. Facebook konnte darüber hinaus Cookies auf dem Endgerät des Webseitebesuchers setzen und Nutzerprofile bei eingeloggten Facebook-Usern bilden.

Das Urteil des EuGH hat zur Folge, dass Webseitebetreiber bei Einbindung des Facebook-Plugins eine Vereinbarung zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO abschließen müssen. Dieser Vertrag muss laut DSGVO gewisse Mindestregelungen treffen, z.B. welcher Verantwortlicher für die Bearbeitung von Anfragen zur Ausübung von Betroffenenrechte zuständig ist oder die Informationspflichten gemäß den Artikeln 13 und 14 DSGVO erfüllt. Facebook bietet einen solchen Vertrag zur gemeinsamen Verantwortlichkeit für den Like-Button aber immer noch nicht an.

Wie kann man den Like-Button einbinden und dabei den Datenschutz beachten?

Die genannten Probleme verdeutlichen, wieso der Facebook Like-Button Datenschützern Bauchschmerzen bereitet. Wir stellen die Möglichkeiten vor, auf welche Weise die Verlinkung zu Facebook zumindest datensparsamer möglich ist:

Like-Button „datenschutzkonform“ einbinden mit 2-Klick-Lösung

Die 2-Klick-Lösung hat sich hinsichtlich der Einbindung von Inhalten auf Webseiten bereits in einigen Bereichen durchgesetzt. Dabei wird das Facebook-Plugin standardmäßig auf inaktiv gesetzt und erst durch das Anklicken des Nutzers aktiviert, sodass erst durch das aktive Zutun des Webseitenbesuchers Daten an Facebook übermittelt werden können. Ein zweiter Klick ermöglicht das Teilen oder Liken von Inhalten. Über diese Datenübermittlung müssen die Besucher der Webseiten bei der Aktivierung ebenfalls informiert werden. Heise online hat dabei zusätzlich zur Zwei-Klick-Lösung die Möglichkeit der Einbindung eines Pop-up Fensters entwickelt.

Das Magazin c’t und heise online haben auf Github die Shariff-Lösung bereitgestellt, welche den zweiten Klick entfallen lässt und somit als „Nachfolger“ der Zwei-Klick-Lösung betrachten werden kann.

Auch andere Anbieter wie z.B. Borlabs bieten mittlerweile die Möglichkeit einer Zwei-Klick-Lösung für den Facebook Like-Button an.

Worauf muss in der Datenschutzerklärung hingewiesen werden?

Die Webseitenbesucher müssen über die Verarbeitung ihrer personenbezogenen Daten bei Nutzung der Webseite nach Anforderung des Art. 13 DSGVO hingewiesen werden. Die Besucher müssen über die Folgen aufgeklärt werden, wenn sie den Facebook-Button auf der Webseite anklicken und welche Daten unter Umständen an Facebook durch die direkte Verbindung des Browsers zu den Facebook-Servern übermittelt werden können. Ein Verweis auf die Datenschutzbestimmungen von Facebook reicht nicht aus. Zudem sollte, so gut es geht, über die gemeinsame Verantwortlichkeit aufgeklärt werden.

Unternehmerisches Risiko

Unternehmen müssen am Ende entscheiden, ob die Vorteile des Einbindens eines Facebook Like-Buttons auf der Webseite den möglichen, datenschutzrechtlichen Risiken überwiegen. Wenn vor dem Setzen des Cookies durch den Facebook Like-Button von den Nutzern eine aktive Einwilligung eingeholt worden ist, steht vordergründig „nur“ ein Verstoß gegen die bürokratische Pflicht einen Vertrag zur gemeinsamen Verantwortlichkeit abzuschließen im Raum, der mit dem kleinen Bußgeldrahmen aus Art. 83 Abs. 4 DSGVO bewehrt ist. Da zudem aktuell vor dem EuGH die Frage anhängig ist, ob Verbraucherzentralen – die das EuGH-Verfahren zum Facebook Like-Button angestoßen hatten – weiterhin unter der DSGVO gegen Datenschutzverstöße klagen können, wird dieser aktuell ausschließlich von den Datenschutzbehörden verfolgt.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Ein Kommentar zu diesem Beitrag

  1. Ähnliches passiert in vielen Apps. Über die SDK oder direkt werden ebenfalls häufig Informationen an zentrale Server aber auch an Facebook übertraden. Dies kann nach meinen Erfahrungen durchaus bis zu 1000 Meldungen pro Tag ! und mehr umfassen. Siehe hierzu die app Lockdown, die diese Meldungen sperrt. Heute übrigens bis 11:30 übrigens 531. Dies wäre übrigens mal einen Newsletter wert. Siehe auch mobilsicher.de.
    Johannes

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.