Der Like-Button von Facebook ist gefühlt auf den meisten deutschen Webseiten vertreten. Tatsächlich haben aber “nur” knapp 13% der deutschen Domains den Button eingesetzt. Gleichwohl ist er Datenschützern ein Dorn im Auge. Doch wie kann man als Betreiber einer Website das Social Plugin einsetzen, ohne gegen das Gesetz zu verstoßen? Ist die sogenannte 2-Klick-Lösung der richtige Ausweg aus der Misere?

 

Der Like-Button und der Datenschutz

Das Problem des Like-Buttons von Facebook liegt aus Sicht der Datenschutz- behörden darin, dass nicht eindeutig nachvollziehbar ist, welche Daten konkret erfasst werden. Auch der Betreiber der Website hat selbst keinen Einfluss darauf, welche Inhalte Facebook beisteuert und welche Daten überhaupt durch den Button erhoben werden. Hinzu kommt, dass durch den Like-Button Daten von Nutzern erfasst werden, die in keiner Verbindung zu Facebook stehen und insbesondere nicht zur gleichen Zeit im Netzwerk eingeloggt sind. Datenschützer sehen gerade hier die Schwachstelle. Durch den Like-Button haben auch unbeteiligte Dritte keine Chance sich einer möglichen Nachverfolgung durch Facebook zu entziehen. Doch auch bei eingeloggten Facebook-Mitgliedern gibt es Bedenken. Nach Ansicht einiger Datenschutzbehörden werden auch diese Nutzer nicht ausreichend über das Datensammeln des sozialen Netzwerks informiert. Denn unklar bleibt auch nach Lektüre der Datenschutzerklärung von Facebook, welche Aktivitätsdaten auf Websites mit den Profildaten vermischt werden. Selbst mit einer 2-Klick-Lösung ist eine informierte Einwilligung in die Datenverarbeitung daher nicht möglich.

 

Die „2-Klick-Lösung“

Ziel der „2-Klick-Lösung“ ist, die Datenerhebung von Facebook nicht automatisiert zu ermöglichen. Durch einen vorgeschalteten Button werden nicht bereits beim bloßen Aufruf einer Website Daten an Facebook übermittelt. Stattdessen werden Benutzer über einen gesonderten Hinweis (erster Klick) dazu befragt, ob sie Informationen mit dem sozialen Netzwerk teilen wollen. Erst nach dieser Bestätigung (zweiter Klick) wird das Skript dieses Buttons aktiviert und die Daten werden an Facebook übertragen. Facebook selbst betrachtete die „2-Klick-Lösung“ zunächst als einen Verstoß gegen die Platform Policies. Unter bestimmten Voraussetzungen wird sie nunmehr aber akzeptiert.

 

Welche Vorteile gibt es für den Datenschutz?

Durch die „2-Klick-Lösung“ kann Facebook keine Daten von Nutzern erheben, die eine Website besuchen und diese Aktion nicht auf Facebook teilen. Die Datenerhebung findet somit nur nach Einwilligung des jeweiligen Nutzers statt. Allerdings gibt es weiterhin ein Problem mit der Transparenz, da ein Nutzer trotz allem keine „informierte“ Einwilligung abgeben kann. Denn niemand kann tatsächlich nachvollziehen, welche Daten zu welchem Zweck durch Facebook erhoben werden. Solange dies nicht abschließend geklärt ist, ist die „2-Klick-Lösung“ nur der halbe Schritt zur Datenschutzkonformität.

 

Was sagen die Aufsichtsbehörden dazu?

Sowohl die bayerische als auch die schleswig-holsteinische Aufsichtsbehörde sind in ihren Bundesländern gegen öffentliche Stellen vorgegangen, die einen Like-Button auf ihren Webseiten eingebunden haben. Eine flächendeckende Abmahnung privatwirtschaftlicher Unternehmen ist bisher jedoch unterblieben. Die bayerische Behörde empfiehlt dennoch in einer Orientierungshilfe den Einsatz der „2-Klick-Lösung“. Auch wenn dadurch keine vollständige Zulässigkeit nach deutschem Datenschutzrecht gewährleistet sei, würde auf diese Weise zumindest ein Datenabfluss ohne Bestätigung des Nutzers verhindert.

Nach einem Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 08.12.2011) sind die Anbieter deutscher Websites jedoch „regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“ Das bedeutet, dass auch die 2-Klick-Lösung die Bedenken der Datenschützer nicht vollständig ausräumen kann. Wie sollten Unternehmen handeln? Auch wenn die „2-Klick-Lösung“ keine vollständige Umsetzung der Datenschutzvorgaben liefert, kann sie dennoch hilfreich sein. Gegebenenfalls mindert die Lösung die Gefahr durch Aufsichtsbehörden angeschrieben zu werden, da diese wohl zunächst gegen die Unternehmen vorgehen, die den Button regulär einsetzen. Dazu muss jedoch auch erwähnt werden, dass sich trotz der dargestellten Bedenken die „2-Klick-Lösung“ bisher kaum durchgesetzt hat. Eines der wenigen prominenten Beispiele ist bild.de, die seit einigen Monaten diese Lösung einsetzen. Andere führende Nachrichten- und Unternehmensseiten haben bisher hingegen darauf verzichtet. Solange die Aufsichtsbehörden keine flächendeckenden Abmahnungen vornehmen, wird sich daran wohl auch nichts ändern.

 

Update, 09.03.2016

Mit Urteil vom 09.03.2016 (Az 12 O 151/15) hat das LG Düsseldorf entschieden, dass die Einbindung von Social-Plugins wie dem „Gefällt mir“-Button von Facebook, mit denen die Daten der Website-Besucher ungefragt an Facebook übertragen werden, nicht rechtmäßig erfolgt. Auch die 2-Klick-Lösung hilft hier mangels informierter Einwilligung auch nicht mehr weiter. Als Alternative könnte das Open-Source-Programm Shariff dienen. Dieses Tool trackt im Gegensatz zu den herkömmlichen Share-Buttons die Besucher einer Website nicht direkt. Der Kontakt zwischen dem jeweiligen Sozialem Netzwerk und dem Besucher wird erst dann hergestellt, wenn letzterer aktiv auf den Share-Button klickt. So wird durch Shariff verhindert, dass man als Website-Besucher bei jedem bloßen Aufruf seinen digitalen Fußabdruck hinterlässt.


David OberbeckÜber den Autor:
David Oberbeck ist Rechtsanwalt und Partner der Datenschutzkanzlei. Seine Beratungsschwerpunkte liegen im Datenschutz-, Wettbewerbs- und IT-Recht. Zudem ist er als externer Datenschutzbeauftragter für verschiedene Unternehmen tätig.