Arbeitspapier zu Facebooks Like-Button
Jetzt wird es ernst: Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein fordert Betreiber von Webseiten auf, Facebooks Like-Buttons zu entfernen. Wer dem bis Ende September nicht nachkommt, soll mit Konsequenzen zu rechnen haben. Das ULD stützt sich dabei auf ein ausführliches Arbeitspapier, das ebenfalls im Internet veröffentlicht wurde. Wir haben uns dieses Papier genauer angeschaut.
Der Facebook Like-Button
Zunächst zum Hintergrund: Fast jeder dürfte im Netz schon einmal über die „Like-Buttons” von Facebook gestolpert sein. Mit einem einfachen Klick auf einer Webseite kann man sich so auf Facebook als „Fan” dieser Seite outen, bzw. den Link empfehlen. Facebook bietet diesen Service kostenlos an. Und dennoch hat die Einbindung des Buttons einen Preis: Facebook kann so Daten über die Nutzer der Webseite sammeln.
Welche Daten erhebt Facebook
Welche Daten Facebook genau erhebt, hat das ULD in seinem Arbeitspapier untersucht. Eine sehr mühsame Arbeit, denn der Code der Javascript-Dateien, die Facebook ausliefert ist äußerst komplex.
Die Untersuchung ist durchaus interessant, fördert aber keine Sensationen zu Tage. Klar ist, dass Facebook diverse Aktionen von Nutzern – sowohl solchen, die bei Facebook registriert und angemeldet sind, als auch von „anonymen” – aufzeichnet. Klar ist auch, dass Facebook diverse Cookies setzt, um die Nutzer später erneut identifizieren zu können. Neu ist das alles jedoch nicht. Schließlich bietet Facebook den Nutzern der Like-Buttons diverse Analyse-Möglichkeiten an. Dass Facebook dazu auch Daten aufzeichnet, ist selbstverständlich. Dennoch lohnt es sich, auf die genauen Vorgänge einen Blick zu werfen.
Datenschutzrechtliche Einordnung
So kommt das ULD in seinem Arbeitspapier auch relativ schnell zur datenschutzrechtlichen Einordnung. Dass jegliche Daten, die Facebook von registrierten Nutzern aufzeichnet einen Personenbezug aufweisen, ist offensichtlich – schließlich kann Facebook die Daten einem konkreten Account zuordnen, bei dem häufig sogar der volle Name des Nutzers hinterlegt ist. Bei nicht-registrierten Nutzern sieht das ULD in der Erhebung der IP-Adresse und den diversen Cookies einen Personenbezug. Das entspricht der herrschenden Meinung, ist aber nicht gänzlich unumstritten.
Verantwortlichkeit
Interessant sind jedoch die Fragen der Verantwortlichkeit der einzelnen Beteiligten. Schließlich werden die Daten zunächst nur durch Facebook erhoben. Die Webseitenbetreiber binden lediglich einen Code ein, der dann vom Browser der Nutzer aufgerufen wird. Das ULD begründet die Verantwortlichkeit der Betreiber von Webseiten wie folgt:
„Diensteanbieter begründen eine eigene Verantwortlichkeit, soweit und solange sie nach Würdigung aller Gesamtumstände aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuern. Diese Verantwortung begründet sich auch bei der Einbindung „fremder“ Verarbeitungsprozesse in das eigene Angebot des Diensteanbieters. Wird durch die Konfiguration z. B. einer Webseite ein Verarbeitungsprozess bei einem weiteren Dienstleister ausgelöst, trägt der Diensteanbieter die datenschutzrechtliche Verantwortung für die dadurch ausgelöste Verarbeitung. Dies gilt umso mehr, wenn der Diensteanbieter mit seinem Angebot Dienste Dritter zu eigenen Zwecken nutzt. Dazu gehören insbesondere Dienste der Reichweitenanalyse oder der verhaltensbasierten Online-Werbung.”
Hier liegt das eigentliche Problem des „Like-Buttons” und es offenbart sich ein generelles Problem beim Datenschutz im Internet. Auf der einen Seite ist es natürlich richtig, dass sich der Betreiber einer Webseite nicht dadurch aus der Verantwortung stehlen kann, dass er datenschutzkritische Dienste einfach auslagert. Vor allem angesichts des sehr unterschiedlichen Datenschutzniveaus in Europa und den USA.
Auf der anderen Seite entfernt sich diese Sichtweise sehr vom eigentlichen technischen Vorgang: Es ist gerade nicht der Betreiber der Webseite, der die Kontrolle darüber hat, welche Daten wann und in welchem Umfang von Facebook erhoben werden. Er bindet lediglich einen kleinen Code in seine Webseite ein, der dann vom Browser des Nutzers ausgeführt wird. Sofern dieser es denn erlaubt – schließlich ist es mit sehr einfachen Mitteln möglich, seinem Browser den Aufruf der Like-Buttons zu verbieten. Von einer „Steuerung des Prozesses der Datenverarbeitung” kann also kaum die Rede sein. Ignoriert man diesen technischen Vorgang, besteht die Gefahr willkürlicher Ergebnisse. Wo beginnt die Verantwortung für die Einbindung externer Dienste und wo endet sie?
Das Dilemma des Netzes
Hier zeigt sich das Dilemma des Datenschutzes im Internet. Die technischen Abläufe lassen sich mittlerweile nur noch mit gehöriger juristischer Akrobatik vom Gesetz erfassen. Gleichzeitig ist die Realität im Netz eine völlig andere, als das Idealbild des Datenschutzes: Fast jede Webseite bindet irgendwelche externen Daten ein. Seien es Javascript-Dateien, die über externe Dienste eingebunden werden, Google Webfonts oder spezielle Fotodienste – das Einbinden externer Dateien hat viele Vorteile. Es beschleunigt das Netz, nimmt den Betreibern Arbeit ab und spart Kosten. Das Nutzen all dieser Dienste wäre rechtswidrig, würde man die Ansicht des ULD konsequent anwenden – schließlich kann auch hier der Betreiber des CDN zumindest die IP-Adresse der Nutzer erheben.
Andererseits darf datenschutzkritischen Diensten wie Facebook oder Google-Analytics natürlich auch kein Freibrief erteilt werden. Eine schwierige Situation, die eigentlich nur der Gesetzgeber vernünftig auflösen könnte. Dennoch tut das ULD gut daran, nun eine stringente Linie anzukündigen. Schon seit Monaten dauern die Diskussionen um den Like-Button an, immer wieder haben sich auch die Datenschutzbehörden kritisch dazu geäußert. Passiert ist jedoch – wie so häufig im Datenschutzrecht – nichts. In kaum einem Gebiet des Medienrechts mangelt es derart an Rechtsprechung und gerichtlicher Klärung wie im Online-Datenschutzrecht. Schlägt das ULD nun einen konsequenten Weg ein, könnte sich das ändern. Und möglicherweise wird dann auch dem Gesetzgeber klar, dass es so mit dem deutschen Datenschutzrecht nicht weitergehen kann.
Das Arbeitspapier „Datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook” als PDF.
