Bewertungen und Social Plugins im Allgemeinen sowie der „Gefällt-mir-„Button von Facebook im Besonderen sind bei Blogbetreibern äußerst beliebt. Aber Vorsicht: Webseitenbetreiber müssen ihre Nutzer über den Einsatz der Plugins in den Datenschutzhinweisen informieren. Dieser Gastbeitrag von Rechtsanwalt Dr. Thomas Helbing erläutert, worauf Sie achten müssen.
Von Dr. Thomas Helbing
Was sind Facebook Social Plugins?
Schon seit langem können Mitglieder des sozialen Netzwerks Facebook bestimmte Inhalte mit dem „Gefällt mir“ (Like) Button bewerten. Mit dem Klick auf das „Daumen-hoch“-Symbol sympathisieren Nutzer mit Gruppen, Fanseiten oder Statusmeldungen von Freunden. Das entstehende Netz an Beziehungen (Person X gefällt Y und Z) wird als Social Graph bezeichnet. Mithilfe des Social Graphs kann Facebook Nutzerprofile erstellen und auf die Vorlieben des jeweiligen Mitglieds angepasste Werbung einblenden.
Seit Ende April 2010 erlaubt Facebook Webseitenbetreibern auf den eigenen Seiten „Gefällt mir“ Buttons und andere Elemente des Facebook Netzwerkes einzubauen. Durch diese so genannten Social Plugins können Facebook User auch auf fremden Seiten zum Beispiel einen Facebook „Gefällt mir“ Button, wie in der folgenden Abbildung dargestellt, anklicken.
Neben dem „Gefällt mir“ Button stellt Facebook noch eine Reihe anderer Social Plugins zur Verfügung, zum Beispiel eines, über das Kommentare abgegeben werden können.
Facebook kann mit den Social Plugins Daten über die Vorlieben seiner Nutzer nicht nur auf der eigenen Webseite, sondern im ganzen Netz sammeln. Die Webseitenbetreiber profitieren von höheren Besucherzahlen, weil die Links auf den Profilseiten von Facebook-Besuchern deren Freunde auf die eigene Seite leiten. Außerdem können Seitenbetreiber ihrem Internetauftritt ohne großen Programmieraufwand einen sozialen Touch verleihen, indem sich die Besucher über die Inhalte austauschen können.
Wie funktionieren Facebook Social Plugins?
Facebook stellt eine Programmbibliothek und Code-Schnipsel zur Verfügung, die der Webseitenbetreiber in den Code seiner eigenen Webseite einbindet. Der Webseitenbetreiber kontrolliert so, ob, welche und wo Social Plugins auf seiner Webseite erscheinen.
Loggt sich ein Nutzer bei Facebook ein, so setzt Facebook einen Cookie (kleine Textdatei) auf dessen Rechner. Wenn der Nutzer anschließend – ohne sich bei Facebook ausgeloggt zu haben – eine Webseite besucht, die Facebook Social Plugins integriert hat, wird über den vom Webseitenbetreiber eingebundenen Code eine Verbindung zwischen dem Browser des Nutzers und Facebook hergestellt. Anhand des dabei übermittelten Cookies, erkennt Facebook, dass der Besucher bei Facebook eingeloggt ist und um wen es sich handelt. Facebook schickt dann an den Nutzer den „Gefällt Mir“ Button, der Browser des Nutzers bindet den „Gefällt Mir“ Button in die Webseite ein. Wird dieser vom Nutzer angeklickt, wird diese Interaktion direkt an den Facebook-Server übermittelt und dort als Teil des Social Graph gespeichert.
Einsatz von iFrames und die Folgen
Technisch kommt bei den Facebook Social Plugins ein Inlineframe (iframe) zum Einsatz. Dies hat zur Folge, dass der Facebook Rechner nicht weiß, auf welcher Seite der „Gefällt Mir“ Button eingebunden ist. Deshalb muss der Webseitenbetreiber die URL (Internetadresse) seiner Seite, in den Plugin-Code integrieren. Auf diese Weise erfährt Facebook, wo der Button eingebunden ist und worauf sich das „Gefällt mir“ bezieht. Einzelheiten ermittelt Facebook dann aus Metadaten, die der Webseitenbetreiber für den Nutzer unsichtbar in den Code seiner Webseite integrieren kann. Facebook vertraut dabei auf die Richtigkeit der vom Webseitenbetreiber angegebenen URL, wodurch es leicht zu Manipulationen kommen kann (wer auf einer Seite der Band „The New Stones“ den „Gefällt mir“ Button klickt, kann nicht sicher sein, dass in seinem Facebook-Profil steht: „Thomas mag ‚The New Stones’“, genauso gut könnte dort stehen „Thomas mag ‚Schmutzige Wäsche’“ oder beliebiger anderer Unsinn).
Die Daten des „Gefällt Mir“ Buttons (oder eines anderen Social Plugins) werden aufgrund des iframes direkt zwischen Facebook und dem Rechner des Nutzers übermittelt und nicht über den Server des Webseitenbetreibers transportiert. Der Webseitenbetreiber hat den Vorgang durch Einbinden des entsprechenden Codes in seine Seite angestoßen, er weiß aber zum Beispiel nicht, welcher Facebook-Nutzer wann seine Seite besucht oder „Gefällt mir“ geklickt hat. Die Informationen des Social Graph (Wer mag was) werden ausschließlich und zentral bei Facebook gespeichert.
Was muss in die Datenschutzhinweise?
Die Verwendung von Facebook Social Plugins muss der Webseitenbetreiber in seinen Datenschutzhinweisen erläutern. Dies ergibt sich aus § 13 (1) Telemediengesetz (TMG). Danach hat ein Diensteanbieter (Webseitenbetreiber) den Nutzer über „Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten“ sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU/EWR in „allgemein verständlicher Form“ zu unterrichten.
Zwar hat der Webseitenbetreiber wegen der Nutzung des iframes keinen Zugriff auf den Datenaustausch zwischen Facebook und dem Nutzer, weiß also nicht, für welche Facebook User der Button angezeigt wurde und wer auf den Button geklickt hat, jedoch öffnet er durch den Einbau des Social Plugins in seine Webseite Facebook die Tür, die entsprechenden Daten seiner Seitenbesucher zu erheben und zu verarbeiten. Außerdem „verrät“ er über den Einbau des Codes auf seiner Webseite Facebook, wer wann welche Webseite besucht hat.
Nutzerprofile en passant
Kaum ein Nutzer dürfte erwarten, dass sein Browser eine Anfrage an Facebook sendet, wenn er eine beliebige Webseite aufruft, die einen kleinen „Gefällt mir“ Button von Facebook enthält (wovon er zuvor meist auch gar nichts weiß). Erst recht erwartet er nicht, dass Facebook erfährt, wann und welche Seite er besucht hat, unabhängig davon ob er mit dem Social Plugin interagiert oder es gänzlich ignoriert. Zur Erinnerung: Auch ohne Betätigung des „Gefällt mir“ Buttons kann Facebook den Nutzer schon bei Auslieferung, also Anzeige, des Buttons identifizieren. Auf diese Weise erhält Facebook nicht nur einen Social Graph, mit dem Wissen wem was gefällt, sondern auch Informationen darüber, wer welche Seiten im Netz besucht hat. Je mehr Seiten die Social Plugins nutzen, desto umfassender kann Facebook das Surfverhalten seiner User erfassen.
Was können Sie konkret tun, um sich zu schützen?
Auf das Verwenden von Social Plugins und die daraus entstehenden Konsequenzen muss der Webseitenbetreiber seine Nutzer in den Datenschutzhinweisen der Webseite in verständlicher Form hinweisen, zum Beispiel so:
„Verwendung von Facebook Social Plugins
Unser Internetauftritt verwendet Social Plugins („Plugins“) des sozialen Netzwerkes facebook.com, welches von der Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA betrieben wird („Facebook“). Die Plugins sind mit einem Facebook Logo oder dem Zusatz „Facebook Social Plugin“ gekennzeichnet.
Wenn Sie eine Webseite unseres Internetauftritts aufrufen, die ein solches Plugin enthält, baut Ihr Browser eine direkte Verbindung mit den Servern von Facebook auf. Der Inhalt des Plugins wird von Facebook direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden.
Durch die Einbindung der Plugins erhält Facebook die Information, dass Sie die entsprechende Seite unseres Internetauftritts aufgerufen haben. Sind Sie bei Facebook eingeloggt kann Facebook den Besuch Ihrem Facebook-Konto zuordnen. Wenn Sie mit den Plugins interagieren, zum Beispiel den „Gefällt mir“ Button betätigen oder einen Kommentar abgeben, wird die entsprechende Information von Ihrem Browser direkt an Facebook übermittelt und dort gespeichert.
Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch Facebook sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatssphäre entnehmen Sie bitte den Datenschutzhinweisen von Facebook.
Wenn Sie nicht möchten, dass Facebook über unseren Internetauftritt Daten über Sie sammelt, müssen Sie sich vor Ihrem Besuch unseres Internetauftritts bei Facebook ausloggen.“
Hinweis: Der Text ist kein Muster, sondern ein Beispiel und bietet deshalb keine Gewähr für Vollständigkeit, Richtigkeit und Aktualität. Datenschutzhinweise müssen für den jeweiligen Internetauftritt individuell erstellt werden.
Der Verweis auf die Datenschutzhinweise von Facebook erscheint sinnvoll, auch wenn sich dort keine nützlichen Informationen zu den Plugins finden. Welche Daten Facebook erhält und wie lange es diese speichert, wird nicht erläutert.
Soweit ersichtlich, genügt bisher noch kaum ein Webseitenbetreiber in Deutschland, der Facebook Social Plugins verwendet (etwa bild.de oder focus.de) der diesbezüglichen Hinweispflicht des TMG.
Verstöße werden mit Bußgeld geahndet
Ein Verstoß gegen die Hinweispflicht des § 13 (1) TMG ist gemäß § 16 (2) Nr. 2 TMG eine Ordnungswidrigkeit und kann nach § 16 (3) TMG mit einem Bußgeld von bis zu 50.000 Euro geahndet werden. Da sich deutsche Datenschutzbehörden schwer tun, US-Unternehmen wegen Datenschutzverstößen zu belangen, treten Sie gerne – wie im Fall Google Analytics – an die hier ansässigen Webseitenbetreiber heran. Dies wäre auch bei den Facebook Plugins denkbar.
Eine Abmahnung durch Wettbewerber dürfte dagegen wenig Aussicht auf Erfolg haben, da Gerichte zur Vorgängerregelung des § 13 TMG, dem außer Kraft getretenen § 4 Teledienstedatenschutzgesetz (TDDSG), entschieden haben, dass es sich um eine Vorschrift handelt, deren Verstoß nicht wettbewerbswidrig ist.
Weiterführende Links zum Thema
- Google Fonts datenschutzkonform einbinden
- Tutorial: Gefällt-mir-Button in WordPress einbinden
- Meinung: Warum der Gefällt-mir-Button doof ist
- Update/14.07.2010 – Tutorial: Facebook beim Surfen auf Drittseiten aussperren
Über den Autor
Dr. Thomas Helbing ist Rechtsanwalt und hat zum Telekommunikationsrecht promoviert. Er arbeitete über vier Jahre bei einer internationalen Wirtschaftskanzlei im Bereich „Technik, Medien und Telekommunikation“. Heute ist er selbstständiger Rechtsanwalt (Website) und berät Unternehmen zum IT- und Datenschutzrecht.