Unsere vernetzte Welt verstehen
Like! Share! Log-in! Facebook-Buttons auf Webseiten von Drittanbietern und Datenschutz
Womit verdient das für Nutzer kostenlose soziale Netzwerk Facebook Geld? Hauptsächlich mit Werbung! Facebooks Geschäftssystem beruht darauf, Unternehmen personalisierte Werbemöglichkeiten zu bieten. Dafür benötigt Facebook Informationen über die Vorlieben und Bedürfnisse seiner Kunden – und wenn möglich aller anderen Internetnutzer – sowie die Möglichkeit, passend personalisierte Werbebanner zu schalten.
Dieser Blogpost behandelt die verschiedenen Facebook-Buttons, die auf Internetseiten dritter Anbieter zu finden sind, und untersucht deren Funktionsweise sowie deren datenschutzrechtliche Zulässigkeit.
Facebooks Social Media Plug-Ins: Tracking – ob Du Nutzer bist oder nicht!
Webseiten, die mit einem Facebook Social Plug-In wie den „Gefällt mir“-/“Like“- oder den „Teilen“-/“Share“-Button versehen sind, dienen Facebook dazu, die Besucher dieser Webseiten mittels sogenannter Tracking-Cookies zu kennzeichnen und zu verfolgen, welche anderen Internetseiten sie besuchen. Dafür installiert Facebook diesen Cookie auf dem Computer eines Internetnutzers, sobald der User eine Internetseite besucht, die ein Facebook Social Plug-In implementiert hat. Die Tracking-Cookies können den Computer identifizieren und das Surfverhalten über Webseiten hinweg verfolgen.
Laut einer Studie, durchgeführt von Forschern der Universität Leuven und der Vrije Universität in Brüssel für die belgische Datenschutzkommission, funktioniert dieses Tracking von Facebook jedoch unabhängig davon,
- ob der User den Facebook-Button auf der Webseite des Drittanbieters verwendet oder nicht,
- ob der Nutzer zu diesem Zeitpunkt bei Facebook eingeloggt ist,
- ob er die (in Europa bestehende) Option “Do Not Track“ gewählt hat,
- und sogar unabhängig davon, ob der Nutzer überhaupt ein Facebook Konto besitzt oder nicht.
Facebook Login– reger Datenaustausch
Neben den „Gefällt mir“- oder „Teilen“-Buttons findet man im Netz immer öfter die Möglichkeit, sich über einen „Login mit Facebook“-Button bei einer Webseite anzumelden. Solche Single Sign On-Buttons, wie sie mittlerweile auch Google, Amazon und viele mehr eingeführt haben, vereinfachen die Anmeldeprozedur bei Apps und Webseiten: Man kann sich einfach mit dem Facebook-Daten (Anmeldename und Passwort) einloggen und muss sich keine eigenen Daten für den jeweiligen Zugang ausdenken und merken.
Anders als beim Social-Plug-In fließen hier laut der Facebook Nutzungsbedingungen Daten nicht nur von der Webseite an Facebook, sondern auch von Facebook an die Webseite beziehungsweise die App. Zum einen erhält Facebook Informationen von der Webseite oder der App über den Nutzer und seine Aktivitäten und kann damit das Profil, das es über den Nutzer angelegt hat, erweitern. Zum anderen übermittelt Facebook seinerseits das „öffentliche Profil“, wozu Facebook neben dem Benutzernamen, dem Alter und dem Land/der Sprache auch die Freundesliste zählt. Der Nutzer kann diese Informationsweitergabe nicht verhindern. Auch Informationen, die ein Nutzer bei Facebook einstellt, ohne explizit die Zugänglichkeit einzuschränken, so dass sie von Dritten über das Facebook-Profil eingesehen werden können, werden als „öffentlich“ behandelt und dem Drittunternehmen mitgeteilt. In diesem Zusammenhang erscheint es befremdlich, dass die Freundesliste laut Facebook Nutzungsbedingungen stets übermittelt also als öffentlich angesehen wird – auch wenn ein Facebook-Mitglied diese Liste durchaus als nicht öffentlich einsehbar einstellen kann.
Datenschutzrechtliche Zulässigkeit
Datenerhebung, -verarbeitung und -nutzung ist nach § 4 Abs. 1 BDSG nur zulässig, wenn eine Norm dies erlaubt oder der Betroffene eingewilligt hat.
Hinsichtlich der Social Plug-Ins kommt mangels einschlägiger Erlaubnisregelungen lediglich die Einwilligung in Betracht. Der Nutzer muss bei Abgabe der Einwilligung genau erkennen können, welche seiner Daten von wem und zu welchen Zwecken verarbeitet werden. Es ist bereits fraglich, ob Facebooks Nutzungsbedingungen diese Voraussetzungen erfüllen können. Denn sie sind sehr verworren und im Hinblick auf die weitreichenden Tracking-Funktionen eher vage. Jedenfalls liegt eine Einwilligung in diese Nutzungsbedingungen bei Nicht-Facebook-Nutzern schon gar nicht vor. Diese Internetnutzer haben noch nicht einmal in die Facebook Nutzungsbedingungen eingewilligt. Ergo sind Facebooks Trackingaktivitäten zumindest hinsichtlich dieser Nutzer nicht von einer wirksamen Einwilligung gedeckt.
Im Hinblick auf die Single Sign On-Funktion ist ebenfalls keine Rechtsgrundlage ersichtlich, die diese Datenverarbeitung in vollem Umfang erlaubt. Eine Erlaubnis folgt nicht aus dem § 14 TMG, da davon nur die Übermittlung von Bestandsdaten, also Daten die für das jeweilige Vertragsverhältnis erforderlich sind, umfasst ist. So wäre hiervon zum Beispiel die Übermittlung der Freundesliste nicht gedeckt, da sie in der Regel nicht zur Erbringung des Dienstes, bei dem man sich via Facebook einloggt, erforderlich ist. Auch § 28 Abs. 1 Nr. 3 BDSG (Ausnahme für allgemein zugängliche Daten) ist nicht einschlägig, da die Freundesliste bei Facebook gerade nicht stets öffentlich einsehbar ist. Somit kommt es auch hier auf eine wirksame Einwilligung an.
Da nur Mitglieder von Facebook diese Funktion nutzen können, liegt jedenfalls eine Einwilligung in die Facebook Nutzungsbedingungen vor. Wie bereits angedeutet, ist dennoch sehr zweifelhaft, ob die verworrenen Ausführungen von Facebook deutschen Datenschutzstandards gerecht werden. Jedenfalls kann sich eine solche Erklärung nur auf die Verarbeitung von Daten durch Facebook beziehen – nicht auf die Verarbeitung durch die anderen App- oder Webseitenanbieter. Auch wenn der Nutzer vor dem Login via Facebook eine Information darüber erhält, auf welche Daten(-arten) der Webdienst Zugriff erhält, unterliegt die eigentliche Verarbeitung dieser Daten durch das andere Unternehmen dessen Bedingungen. Das ergibt sich schon aus der Tatsache, dass Facebook weder weiß, was das Unternehmen mit den Daten macht, noch dass es diese Verarbeitung kontrollieren und beeinflussen kann. Das Drittunternehmen muss den Nutzer dementsprechend vor der Anmeldung über die eigenen Datenverarbeitungsprozesse aufklären. Nur dann kann der Nutzer informiert und bewusst entscheiden kann, ob er darin einwilligt.
Fazit
Die datenschutzrechtliche Zulässigkeit sowohl der Facebook Plug-Ins als auch der Single Sign On-Funktion ist zweifelhaft. Jedenfalls verstößt die Praxis von Facebook, die Aktivitäten auch der Internetnutzer zu tracken, die kein Facebook-Mitglied sind oder ein Tracking Opt-out gewählt haben, gegen Datenschutzrecht. Darüber hinaus werden Nutzer oftmals über die vielfältigen Prozesse zum Datenaustausch und der Datenverarbeitung nicht hinreichend aufgeklärt – weder von Facebook noch von kooperierenden Unternehmen. Eine wirksame Einwilligung, die zur datenschutzrechtlichen Zulässigkeit führen könnte, ist dann ebenfalls nicht möglich.
Da angesichts dieser komplizierten Lage ist nicht davon auszugehen, dass ein Einzelner gegen diese Praktiken vorgeht bzw. vorgehen kann. Bisher haben sich auch die Datenschutzbeauftragten in diesem Bereich stark zurückgehalten. Es bleibt zu hoffen, dass die Datenschutzbehörden diese Zurückhaltung aufgeben und die Datensammelwut der privaten Unternehmen wie Facebook zu begrenzen suchen. Vielleicht ist die Beauftragung des Gutachtens durch die belgische Datenschutzbehörde ein erstes Zeichen für einen Schritt in diese Richtung. Teilweise wird zudem ein Trend in der Rechtsprechung ausgemacht, in Datenschutzverstößen eine Verletzung von Marktverhaltensregeln (§ 4 Nr. 11 UWG) zu erblicken. Das könnte dazu führen, dass Datenschutzverstöße auch von Konkurrenten mit Abmahnungen und Unterlassungsklagen geahndet werden könnten.
Foto: User:Ksayer1 / Flickr, CC BY-SA 2.0
Dieser Beitrag spiegelt die Meinung der Autorinnen und Autoren und weder notwendigerweise noch ausschließlich die Meinung des Institutes wider. Für mehr Informationen zu den Inhalten dieser Beiträge und den assoziierten Forschungsprojekten kontaktieren Sie bitte info@hiig.de
Jetzt anmelden und die neuesten Blogartikel einmal im Monat per Newsletter erhalten.
Forschungsthemen im Fokus
Plattformdaten und Forschung: Zugangsrechte als Gefahr für die Wissenschaftsfreiheit?
Neue Digitalgesetze gewähren Forschenden Zugangsrechte zu Plattformdaten, doch strikte Vorgaben werfen Fragen zur Wissenschaftsfreiheit auf.
Beschäftigte durch Daten stärken
Arbeitsplätze werden zunehmend datafiziert. Doch wie können Beschäftigte und Gewerkschaften diese Daten nutzen, um ihre Rechte zu vertreten?
Zwei Jahre nach der Übernahme: Vier zentrale Änderungen im Regelwerk von X unter Musk
Der Artikel beschreibt vier zentrale Änderungen im Regelwerk der Plattform X seit Musks Übernahme 2022 und deren Einfluss auf die Moderation von Inhalten.