Jusletter IT

«Social Plugin» ist ein von den Facebook-Entwicklern geprägter Begriff. Gemeint sind damit Erweiterungen für Webseiten Dritter, die ein Teilen der Inhalte mit Social Network Services (SNS) ermöglichen sollen.

Facebook bietet mittlerweile eine ganze Reihe solcher Social Plugins an¹. Der «like»-Button gibt Besuchern von Webseiten, auf denen er eingebunden ist, die Möglichkeit, ihre Wertschätzung für diese Webseite mit einem Klick auf den Button auf ihrem Facebook-Profil zu veröffentlichen. Anderen eingeloggten Besuchern derselben Seite kann dann angezeigt werden, welche ihrer Freunde diese Seite mögen.

Auch die Firma Google versucht ihre Möglichkeiten des Online Marketings zu erweitern, indem sie auf den Zug der Social Plugins aufsprang. Ihr +1-Button ist die neueste, wenige Wochen alte Entwicklung der Social Plugins. Er funktioniert wie der «like»-Button von Facebook. Um ihn zu benutzen, benötigt man ein Google-Profil. Dann lassen sich über den Button eigene Vorlieben für bestimmte Webinhalte zum Ausdruck bringen. Anderen Nutzern wird dann, sofern sie eingeloggt sind, bei einer Google-Suche angezeigt, dass man einen bestimmten Inhalt mit +1 versehen hat. Google´s Wettbewerbsvorteil der hohen Nutzung der Google-Suchmaschine könnte Facebook´s «like»-Button in Bedrängnis bringen².

Auch der Tweet-Button der Firma Twitter Inc. lässt sich einfach in die eigene Webseite implementieren. Auch hier ist dasselbe Procedere wie bei Facebook und Google zu erkennen. Der Code wird von der Tweet-Button-Seite³ frei zur Verfügung gestellt. Der Google+-Button hat den Tweed-Button von Twitter bereits in seiner Ausbreitung überholt⁴.

Der am weitesten verbreitete unter den Social Plugins ist immer noch unangefochten der «like»-Button von Facebook⁵. Er findet sich gegenüber 50.000 Webseiten im April 2010 mittlerweile auf über 2,5 Millionen Webseiten wieder⁶, auf welchen die Webseitenbesucher täglich durchschnittlich 50 Millionen Mal den «like»-Button klicken⁷. Laut einer Studie des Wall Street Journals⁸ ist der Facebook «like»-Button im Sammeln von Daten noch fleißiger als ein herkömmlicher Cookie, funktioniert also «wie ein kleines Tracking-Tool»⁹. Diese Verbindung führt zu einer großen Anzahl der datenschutzrechtlich potentiell Betroffenen und ist daher äußerst bedenklich.

Wegen dieser Bedenklichkeit hat jüngst die Hamburger Stadtverwaltung entschieden, Social Plugins von ihrem Webauftritt zu nehmen¹⁰. Wenige Wochen später erklärte das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutz-Aufsichtsbehörde für Unternehmen in Schleswig Holstein, es halte den Einsatz des Facebook «like»-Buttons für rechtswidrig und forderte Seitenbetreiber auf, diesen zu entfernen¹¹. Das ULD hat seine datenschutzrechtliche Bewertung der «Reichweitenanalyse durch Facebook» im Internet veröffentlicht¹². Insbesondere durch diesen Bericht hat das ULD eine Lawine an Reaktionen, vor allem auf Seite der Behörden, losgetreten.

Inzwischen heben sich die Aufsichtsbehörden Rheinland-Pfalz¹³, Mecklenburg-Vorpommern¹⁴ und Niedersachsen¹⁵ der Rechtsauffassung des ULD angeschlossen. Die bayerische Datenschutz-Aufsichtsbehörde riet dagegen zur Besonnenheit und setzte auf eine deutschlandweite Einigung¹⁶. Wie das ULD berichtet¹⁷, wurde diese nationale Einigung erreicht. Es haben sich der Grundhaltung des ULD die Datenschutzaufsichtsbehörden der übrigen Bundesländer bei ihrem Zusammentreffen im sogenannten «Düsseldorfer Kreis»¹⁸ angeschlossen. Sie gehen im Ergebnis übereinstimmend von der datenschutzrechtlichen Unzulässigkeit einer Nutzung eingebundener Social Plugins aus. Der Düsseldorfer Kreis begründet dies damit, dass de facto bereits gar keine Möglichkeit für (deutsche) Webseitenbetreiber existiere, eine einwillligungstaugliche Informationsgrundlage für Nutzer der Website bzw. des Buttons bereitzustellen.

Die erste Technik der technischen Einbindung ist die sogenannte XFBML-Technik, die Java-Script-Code nutzt. Der Java-Script-Code wird dabei im oder nach dem Body-Tag des HTML-Codes der jeweiligen Webseite eingebunden. Bei dieser Einbindung wird stets die einbindende Webseite mit einer eindeutigen, von Facebook übertragenen ID und teilweise auch der URL angegeben. Diese Informationen werden an Facebook übertragen.

Die Java-Script-Dateien werden lokal auf dem Rechner des Nutzers ausgeführt. Die Einbindung von Social Plugins führt dazu, dass der Browser des Nutzers beim Seitenaufruf das Plugin nicht vom Webseitenbetreiber, sondern von Servern aus den USA aufruft, somit «abholt». Denn als Antwort auf den initialen Aufruf sendet der SNS eine HTML-Seite oder einzelne HTML-Elemente zurück. In diesen HTML-Elementen finden sich zahlreiche Verweise auf nachzuladende Grafiken, Formatierungsangaben und Programmcode Java-Script.

Durch verschiedene Befehle innerhalb der Java-Script-Datei wird der «like»-Button in der richtigen Sprache eingebunden, die entsprechende Facebook-Library vom Facebook-Server abgefragt, diese geladen und der Login-Status des jeweiligen Nutzers der Webseite, auf der sich dieser gerade befindet, überprüft. In nahezu jeder Java-Script-Datei, die beim Aufruf eines Social-Plugins übertragen wird, wird zu Beginn eine Protokollierung durchgeführt (Logging).

Bei dieser Lösung wird der «like»-Button über ein sogenanntes iFrame in die Webseite eingebunden. Das bedeutet, dass ein rechteckiger Platz auf der Webseite mit Inhalten gefüllt wird, die nicht vom Server des jeweiligen Webseitenbetreibers stammen, sondern von Facebook-Servern selbst. Die Einbindung erfolgt dabei anhand einer Anleitung von Facebook¹⁹. Das bedeutet, dass der gesamte Inhalt des iFrame-Fensters von Facebook geliefert wird. Der Webseitenbetreiber kann anhand dieser Anleitung nur das Aussehen des «like»-Buttons bestimmen und die URL der Seite angeben, auf der der «like»-Button erscheinen soll. Ruft ein Nutzer die Webseite mit dem «like»-Button auf, so schickt der Browser des Nutzers, nachdem die Webseite geladen wurde, eine Anfrage an Facebook, um das fehlende iFrame-Fenster zu füllen.

Der Google +1 Button wird wie der Facebook «Like»-Button auch mittels eines kurzen Codes in die Webseite eingebunden. Auch hier kommt Java-Script zur Anwendung.

Im Gegensatz zu Facebook hält Google für seinen +1-Button spezielle Datenschutzbestimmungen bereit²⁰. Aus diesen geht hervor, welche Daten bei der Benutzung des Buttons gespeichert und wie diese verwendet werden. Demnach speichert Google «sowohl die Information, dass Sie für einen Inhalt +1 gegeben haben, als auch Informationen über die Seite, die Sie beim Klicken auf +1 angesehen haben». Die vergebenen +1 «können als Hinweise zusammen mit Ihrem Profilnamen und Ihrem Foto in Google-Diensten, wie etwa in Suchergebnissen oder in Ihrem Google-Profil, oder an anderen Stellen auf Websites und Anzeigen im Internet eingeblendet werden». Zudem werden Informationen über die +1-Aktivitäten aufgezeichnet. Google behält sich außerdem vor, zusammengefasste Statistiken über die +1-Aktivitäten der Nutzer an die Öffentlichkeit, Nutzer und Partner (z.B. Publisher, Inserenten, verbundene Websites) weiterzugeben (als Beispiel wird genannt: «10 Prozent der Nutzer, die dieser Seite +1 gegeben haben, befinden sich in Tacoma im US-Bundesstaat Washington.»).

Im Google Hilfebereich²¹ ist zu lesen, dass beim Betätigen des +1 Buttons Informationen über das Google-Profil des Nutzers, die empfohlene URL, seine IP-Adresse und andere browserbezogene Informationen an Google gesendet werden. Nimmt man das +1 zurück, würden diese jedoch wieder gelöscht. In diesem Text bestätigt Google, dass auch dann Daten erhoben werden, wenn der Button nicht aktiv betätigt wird, also bereits beim bloßen Aufruf der Seite, die den Button enthält. Diese würden zur «ordnungsgemäßen Verarbeitung der Anforderung durch die Google-Server» benötigt und dienten außerdem zur Fehlerbehebung. Sie würden nicht nach individuellen Profilen, Nutzernamen oder URLs strukturiert und normalerweise kürzer als zwei Wochen gespeichert.

Dabei reicht es aus, sehr wenig HTML-Code in die Seite einzubauen, um einen Tweet-Button in Betrieb zu nehmen. Hierfür wird ein kleiner iFrame in den eigenen Seitenquellcode eingebaut. Twitter nutzt also dieselbe technische Möglichkeite zur Einbindung des Tweet-Buttons wie Facebook.

Beim Besuch einer Seite baut der User eine IP-basierte Verbindung zum Server auf, z.B. zu spiegel.de. Würde bei Spiegel Online nun auch der neue Tweet-Button integriert, so würde der Browser des Besuchers eine weitere Verbindung zum Server «platform.twitter.com» aufbauen, um den Button und seine Funktionalität zu laden. Der «Footprint» des Besuchers würde demnach auch auf dem Twitter-Server hinterlassen, insbesondere die IP-Adresse. Auch hierbei wird also die IP-Adresse zwingend zur Funktionalität benötigt und Twitter nutzt Cookies zur Überprüfung des Anmeldestatus.

Allerdings sind die Datenschutzbestimmungen²² von Twitter nicht aufschlussreich, was die Art der durch den Tweet-Button übertragenen Daten anbelangt.

Aktuell liegen keine Antworten auf weitere Fragen hinsichtlich des Tweet-Buttons vor: Findet eine Speicherung statt? Wenn ja, wird anonymisiert? Wenn ja, wie lange? Wenn ja, welche Auswertung findet hier statt? Wenn nein, wird dies überprüfbar versichert? Welchen Datenschutzrichtilinien und -gesetzen unterwirft sich der Tweet-Button?

Das deutsche Datenschutzrecht findet nach § 1 Abs. 5 Satz 2 BDSG nur dann «Anwendung, sofern eine verantwortliche Stelle, die nicht in einem Mitgliedsstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum gelegen ist, personenbezogene Daten im Inland erhebt, verarbeitet oder nutzt.» Das gilt auch für die in § 11 ff. TMG enthaltenen Datenschutzbestimmungen²³.

Entscheidend ist nach dem sogenannten Sitzlandprinzip regelmässig, in welchem Land die «verantwortliche Stelle» ihren Sitz hat. Nach § 1 Abs. 5 BDSG findet das deutsche Datenschutzrecht aber auch Anwendung, wenn – wie Facebook, Google und Twitter – ein Unternehmen mit einem Sitz außerhalb der EU (sogenanntes Drittland) und dort auch die Datenverarbeitung vornimmt, aber eine verantwortliche Niederlassung in Deutschland hat. Facebook hat zwar eine Niederlassung in Deutschland²⁴, diese ist aber nicht verantwortlich für die Datenverarbeitung.

Facebook betreibt in Irland eine verantwortliche Niederlassung. Es wäre dann für die Datenverarbeitung von Facebook gemäß den gesetzlichen Zuständigkeitsregelungen irisches Recht anwendbar (§ 3 Abs. 1 u. 3 Nr. 4 TMG i. V. m. § 1 Abs. 5 BDSG). Jedoch dient Facebook Irland nur als Anlauf- und Beschwerdestelle, nur hierfür ist dann irisches Datenschutzrecht anwendbar. Hinsichtlich der Datenverarbeitung selber ist Facebook Inc. Betreiber bzw. verantwortliche Stelle.

Entscheidend für «im Inland erheben» ist dann, ob hierbei auch auf Mittel zurückgegriffen wird, die im Hoheitsgebiet Deutschlands gelegen sind, Art. 4 (1) c der EU-Datenschutzrichtlinie 95/46/EG (EU-DSRL). Insoweit ist zu ermitteln, welcher Ort ausschlaggebend für die Erhebung von personenbezogenen Daten ist.

Es sind drei mögliche Anknüpfungspunkte zu unterscheiden: Einerseits der Standort des Servers, da die personenbezogenen Daten am Server endgültig anfallen, andererseits unabhängig von den Standorten der Hardware und des Besuches der Webseite durch den Nutzer der Erhebungswille der verantwortlichen Stelle. Eine dritte Anknüpfungsmöglichkeit besteht im Standort des Rechners des Webseitenbesuchers, da dieser seine personenbezogenen Daten an diesem Standort zur Verfügung stellt.

Die Social Plugins liegen auf Servern in den USA und werden durch den deutschen Webseitenbetreiber mittels iFrame oder Java-Script eingebunden. Die Webseitenbetreiber ermöglichen durch den Einbau der Plugins dem jeweiligen SNS, personenbezogene Daten zu erheben. Viele der Server, auf denen diese Webseiten gespeichert sind, befinden sich in Deutschland. Diese könnten dann ebenso «Mittel» im Sinne der Norm sein wie der Rechner eines deutschen Nutzers, der auf deutschem Territorium gelegen ist. Das BDSG erfasst allerdings keine Fälle, wenn die Datenträger – wie hier – nur zum Zweck des Transits durch das Inland eingesetzt werden (§ 1 Absatz 5 Satz 4 BDSG).

Es ließe sich hinsichtlich des Erhebungswillens der verantwortlichen Stelle argumentieren, dass das Angebot sich nicht explizit an deutsche Webseitenbetreiber richtet, da die Social Plugins generell weltweit in diversen Sprachen angeboten werden. Die deutsche Sprache könnte sich somit auch an das Nicht-EU-Land Schweiz richten. Auch steht einem Websitebetreiber grundsätzlich frei, ein solches Plugin in seiner Seite einzubinden oder nicht. Im Fall von Facebook werden die Plugins nur via einer englischsprachigen Website angeboten²⁵ – eine deutschsprachige Angebotswebsite steht nicht zur Verfügung.

Allerdings könnte der Rückgriff auf den Rechner des Nutzers die Anwendbarkeit auslösen. Fraglich ist, «welchen Grad an Einfluss der Verantwortliche bei der Datenerhebung auf den PC des Nutzers ausüben muss, damit er auf diesen «zurückgreift». Bereits der Wortsinn von «zurückgreifen» deutet darauf hin, dass sich der Verantwortliche hierzu die Mittel nutzbar machen muss»²⁶. Auf dem Rechner des Webseitenbesuchers befindet sich ein Cookie. Dieser ist ein Mittel, mit deren Hilfe der Verantwortliche Daten über das Verhalten des Nutzers sammelt. Besucht ein Nicht-Teilnehmer an einem SNS die betreffende Webseite, ist jedoch kein derartiger Cookie vorhanden. Dennoch könnte man dann argumentieren, dass die lokale Anwendung des Java-Scripts, welches die direkte Verbindung zum Server der SNS herstellt, für eine Bejahung des Inlandsbezuges ausreicht. Dies geschieht z.B. beim Musikdownloadservice iTunes von Apple. Bei technischer Betrachtung greift der Anbieter so auf die Rechner der Nutzer zurück, wenn er sich personenbezogene Daten mit Hilfe von Java-Script verschafft²⁷.

Im Ergebnis überwiegt wohl folgende Argumentation: Durch den Besuch der Webseite, die den Button mit entsprechend angepasstem Code eingebunden hat, werden die personenbezogenen Daten des Betroffenen unmittelbar vom Betroffenen an den SNS übermittelt. Damit findet eine Datenerhebung unmittelbar mit Hilfe des Computers des Betroffenen statt, welcher sich in Deutschland befindet²⁸.

Demnach sind auch hier die Vorschriften des deutschen Datenschutzrechts anwendbar.

Soziale Netzwerke sind zusammengesetzte Dienste, die sowohl Telekommunikations- wie auch Mediendienstleistungen erhalten. Bei diesen Dienstleistungen werden Daten verarbeitet. Welches Gesetz auf die Erhebung und Verarbeitung dieser Daten anwendbar ist, bestimmt sich nach der Art der Daten, sogenanntes Schichtenmodell²⁹:

Die datenschutzrechtliche Behandlung des Datentransports (Telekommunikation) richtet sich nach dem TKG. Handelt es sich dagegen um spezielle, «onlinespezifische» Daten, die im Zusammenhang mit der Nutzung von Telemediendiensten – also der Interaktion zwischen Nutzer und Anbieter (Nutzungsdaten) – erhoben werden, ist als lex specialis das TMG vorrangig anwendbar. Grundsätzlich vorrangig ist das BDSG für das Angebot von solchen Diensten, bei denen der Teledienst lediglich das Übertragungsmedium für andere Leistungen ist – also den Inhalt der Kommunikation (Inhaltsdaten).

Das TKG scheidet hier aus, da bei der Technik der Social Plugins nicht das Versenden von privaten Nachrichten und das Chatten in öffentlichen oder geschlossenen Räumen, also der Datentransport, im Vordergrund steht. Sondern es ist auf alle anderen Angebote von Sozialen Netzwerken grundsätzlich das TMG anwendbar, insofern nicht Inhaltsdaten betroffen sind.

Soweit es um die Übertragung der Information geht, dass ein Nutzer einen bestimmten Inhalt durch Betätigen des Buttons «mag» bzw. «gut findet», wird vertreten, dass diese Information zur Nutzung der Seite nicht erforderlich ist im Sinne des § 15 Abs. 1 TMG und es sich insofern um Inhaltsdaten handelt, deren Erhebung und Verarbeitung sich ausschließlich nach dem BDSG beurteilt³⁰.

Zu einem anderen Schluss käme man nur, wenn man die Seite und den Button als Einheit sieht, zu deren Nutzung, also auch bereits zum bloßen Seitenaufruf, die Datenerhebung notwendig ist. Allenfalls bei personenbezogenen Daten von eingeloggten Nutzern, die dann auch den Button tatsächlich verwenden, könnte es sich richtigerweise um Nutzungsdaten handeln.

Wenn ein Datum sowohl Nutzungs- wie auch Inhaltsdatum ist, wäre wohl das TMG vorrangig anwenden. Ohne jedoch genau zu wissen, welche Daten genau jeder SNS erhält und wozu diese genau verwendet werden, ist eine abschließende Beurteilung nicht möglich und es ist im Folgenden die Verantwortlichkeit sowohl nach TMG als auch nach BDSG zu untersuchen.

Die oben³¹ beschriebenen technischen Abläufe dienen dem Webtracking und einer Webanalyse (Reichweitenanalyse). Letztere umfasst das Sammeln, Analysieren und Rapportieren der Nutzung einer oder mehrerer Webseiten und des Verhaltens ihrer Besucher³². Dabei werden folgende Daten des Webseitenbesuchers – hier am Beispiel Facebook – abhängig vom Status des Webseitenbesuchers verwendet:

		A	B
		Nur Aufruf der Webseite mit Social Plugin	Aufruf der Webseite mit Social Plugin und Benutzung des Social Plugins
1	Kein Teilnehmer im SNS	IP-AdresseBrowserstring	Zusätzlich zu 1A: Adresse der Webseite, eindeutige ID der Webseite, Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins
2	Teilnehmer im SNS und dort während des Webseitenbesuchs NICHT angemeldet	IP-AdresseBrowserstringInhalte des bereits lokal gespeicherten «datr»-Cookie (eine zwei Jahre gültige, eindeutige ID der Browserinstanz, gleich einer Nutzer-ID)	Zusätzlich zu 2A: Adresse der Webseite, eindeutige ID der Webseite, Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins
3	Teilnehmer im SNS und dort während des Webseitenbesuchs angemeldet	IP-AdresseBrowserstringInhalte des bereits lokal gespeicherten «datr»-Cookie (eine zwei Jahre gültige, eindeutige ID der Browserinstanz, gleich einer Nutzer-ID)Inhalte der Cookies «s», «sct», «xs» (Session Cookie) und «c_user» (zur Authentifizierung)Facebook Insights wird aktiv	Zusätzlich zu 3A: Adresse der Webseite, eindeutige ID der Webseite, Ablaufumgebung des Browsers, Bildschirmauflösung, installierte Browser-Plugins

Facebook versichert zwar, man speichere diese Daten nur «für einen Zeitraum von 90 Tagen». Danach kombiniere Facebook diese Daten mit den Daten anderer Personen in einer Art und Weise, die keinen Rückschluss auf den einzelnen Nutzer persönlich zulasse³³. Auch behauptet das Unternehmen, dass ein «übliches Impressionsprotokoll» inklusive «Daten über Zeit, URL, Art des Browsers, Land und eine allgemeine (!) IP-Adresse» gespeichert werden, weist aber gleich darauf hin: «Facebook sammelt keinerlei persönliche Informationen von Nicht-Nutzern oder Facebook-Nutzern, die nicht bei Facebook eingeloggt sind»³⁴.

Nach einer Analyse der technischen Einbindung sieht die datenschutzrechtliche Wirklichkeit allerdings anders aus:

Facebook ermittelt generell bei jedem Aufruf eines in einer Webseite eingebundenen Social Plugins die IP-Adresse und den Browserstring. Eine IP-Adresse ist eine dem Anschluss während einer Sitzung zugewiesene Nummer, mit Hilfe derer die Kommunikation zwischen dem Anbieter der Information und Nutzer durchgeführt wird. Die IP-Adresse ist somit eine grundsätzlich bei der Teilnahme am Internet anfallende Information, sie kann auch ohne einen Cookie übermittelt werden. Dies gilt auch dann, wenn der Nutzer im Zeitpunkt des Aufrufs der Webseite Nicht-Teilnehmer (also nicht registriert oder nicht eingeloggt) bei Facebook ist.

Die Prüfung des Login-Status geschieht anhand eines sogenannten Cookies³⁵. Ein Cookie ist eine Textdatei mit einer Identifikationsnummer (ID), die auf dem Rechner des Nutzers abgelegt wird und die der Anbieter beschreiben und wieder auslesen kann. Er kann prinzipiell alle Informationen aufnehmen, unter anderem auch besuchte Webseite und Nutzerkennung. Diese Speicherung erfolgt im Hintergrund und ist für den technisch nicht versierten Nutzer nicht sichtbar.

Loggt sich ein Nutzer bei Facebook ein (Authentifizierung), so setzt (die Möglichkeit bestimmter Nutzerseitiger Browser-Erweiterungen einmal außer Acht gelassen) Facebook mehrere Cookies (datr, s, sct, xs, c_user) auf dessen Rechner. Diese sind zumindest für einen Monat gültig.

Wenn der Nutzer anschließend eine Webseite besucht, die den «like»-Button integriert hat, wird über den vom Webseitenbetreiber eingebundenen Code eine direkte Verbindung zwischen dem Browser des Nutzers und Facebook hergestellt und es werden die genannten Cookies übertragen. Anhand dieser kann Facebook erkennen, ob der Besucher eingeloggt war oder ist, um wen es sich handelt und welche Webseiten dieser in der Zwischenzeit aufgerufen hat³⁶. Ist der Nutzer gleichzeitig bei Facebook angemeldet, werden weitere Cookie-Inhalte an Facebook übersandt. Dazu zählen besondere Session Cookies.

Auch können aus dem Cookie weitere Daten ausgelesen werden, je nachdem wie der jeweilige SNS den Cookie-Inhalt gestaltet hat, insbesondere welchen Inhalt das «Value»-Feld des Cookies hat. Denn dieses Feld ist das einzige Feld, in dem der Anbieter beliebige Daten eintragen kann. Alle anderen Felder sind dem Standard RFC 2109³⁷ unterworfen und somit vorgegeben. Die unternehmens-abhängige Gestaltung des Value-Feldes entzieht sich aber leider regelmäßig der Kenntnis.

Facebook stellt mit Hilfe seines Werkzeugs «Insights» detaillierte Statistikinformationen über Teilnehmerinnen und Teilnehmer zur Verfügung, die von Webseitenbetreibern, die den Social Plugin implementiert haben, abrufbar sind. Diese Statistiken beziehen sich auf angemeldete Teilnehmer und die ihnen (durch Cookies) zugeordneten Facebook-Seiten.

Wird der «like»-Button benutzt, werden Informationen über weitere Komponenten des Rechners des Webseitenbesuchers verarbeitet. Schon auf Basis solcher Informationen über die installierten Komponenten eines Computers kann man den Rechner des Besuchers sehr gut von anderen Rechnern unterscheiden³⁸.

Wann ein personenbezogenes Datum vorliegt, richtet sich wegen des Verweises in § 12 Abs. 4 TMG nach § 3 Abs. 1 BDSG. Personenbezogene Daten sind danach «Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person», 3 Abs. 1 BDSG. Diese Definition stimmt mit der in Art. 2 a) der Datenschutzrichtlinie 95/46/EG^ERR überein⁴⁰.

Wann ein personenbezogenes Datum vorliegt, richtet sich wegen des Verweises in § 12 Abs. 4 TMG nach § 3 Abs. 1 BDSG. Personenbezogene Daten sind danach «Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person», 3 Abs. 1 BDSG. Diese Definition stimmt mit der in Art. 2 a) der Datenschutzrichtlinie 95/46/EG⁴⁰ überein⁴¹.

Bei Teilnehmern sind besondere Cookies im Einsatz, s.o.

Ist die im Cookie gespeicherte Information über den Nutzer im Klartext durchgeführt worden, ist allein dadurch schon ein Personenbezug gegeben.

Fraglicher ist dies, wenn die Informationen nur pseudonymisiert vorhanden sind. Ein Pseudonym besteht aus einer langen Nummer, die auf den ersten Blick keinen Personenbezug hat. Dies ändert sich allerdings, wenn der Nutzer durch sein späteres Surfverhalten den Cookie mit weiteren Angaben füllt, beispielsweise durch eine persönliche Anmeldung (Vorname, Name, Adresse, etc.) auf einer Webseite, insbesondere lassen sich die Informationen aus dem Cookie und die Informationen aus dem eingebundenen like-Button miteinander verbinden.

Der Cookie kann dann einen technischen Rückschluss mittels der Nummer des Cookies auf die Identität des Nutzers herstellen. Die während der direkten Verbindung erhobenen Daten sind dann derart kombinierbar, dass sicherlich ein Personenbezug angenommen werden kann, § 3 I BDSG. Dann würde das ehemals Pseudonym zu einem personenbezogenen Datum.

Bei Nicht-Teilnehmern werden keine Cookies verwendet, datenschutzrechtlich relevant ist also nur die IP-Adresse. Bei dieser ist zwischen statischer und dynamischer IP-Adresse zu unterscheiden:

Bei statischen IP-Adressen wird dem Nutzer bei jeder Anmeldung zur Internetnutzung beim ASP die gleiche IP-Adresse zugewiesen. Eine statische IP-Adresse wird nach allgemeiner Meinung als personenbezogenes Datum angesehen⁴², da grundsätzlich für jedes Angebot im Internet, bei denen Identifizierungspflicht besteht, die Zuordnung der statischen IP-Adresse zu ihrem Inhaber möglich, das Risiko einer Wiedererkennung des Nutzers insofern hoch ist.

Dies gilt allerdings nur, sofern der Inhaber keine juristische Person ist, bei welcher mehrere Personen dieselbe ausgehende IP-Adresse benutzen und diese insofern eben nicht zuordenbar ist. Eine Ausnahme von dieser Ausnahme bildet das Ein-Mann-Unternehmen, bei welchem von der juristischen Person auch auf den Inhaber als natürliche Person geschlossen werden kann.

Bei einer dynamischen IP-Adresse wird dem Nutzer bei jeder Anmeldung zum Internet eine neue Adresse aus dem IP-Adressen-Pool des ASP zugeteilt. Diese Zuordnung wird wegen §§ 88 TKG, 206 StGB nicht allgemein bekannt. Für die dynamische IP-Adresse besteht eine einfache Zuordnung zu einer Person daher nicht und es müssen weitere Voraussetzungen (s.u.) für die Annahme eines Personenbezugs hinzutreten.

Zu beachten ist, dass unter dem demnächst in der Praxis vermutlich verstärkt verwendeten neuen IP-Adressen-Standard IPv6 internetfähigen Geräten jeweils eine individuelle und einzigartige IP-Adresse zugewiesen werden kann. Kann also jedermann die Zuordnung vornehmen, dürfte die Tendenz wieder hin zu einer Behandlung gleich wie eine statische IP-Adresse gehen.

Es ist weiterhin zu unterscheiden, ob ein ASP oder andere privatwirtschaftliche Unternehmen Daten erhebt. Ersterer kann durch Verknüpfung der IP-Adresse mit den bereits erhobenen Vertragsdaten seines Kunden eindeutig dessen Person feststellen, solange er Zugriff auf die Log-Dateien hat. Dementsprechend muss unstreitig sein, dass in diesem Fall auch eine dynamische IP-Adresse ein personenbezogenes Datum ist⁴³.

Andere privatwirtschaftliche Unternehmen erfassen auch dynamische IP-Adressen, doch können sie den Zusammenhang zwischen IP-Adresse und deren Nutzer nicht ohne weiteres selber herstellen.

Der Fokus der weiteren Prüfung muss daher auf der noch strittigen zweiten Fallkonstellation liegen.

Fraglich ist, welche Anforderungen an die Bestimmbarkeit zu stellen sind. Es werden zwei verschiedene Auslegungsmöglichkeiten des § 3 Abs. 1 BDSG vertreten. Weder aus dem Wortlaut des § 3 Abs. 1 BDSG noch aus dem des Art. 2 a) der EG-Datenschutzrichtlinie ergeben sich für oder gegen eine der beiden Theorien zur Bestimmbarkeit Anhaltspunkte.

Nach einer Ansicht⁴⁴ genügt bereits die theoretische Möglichkeit einer Identifizierung des Betroffenen anhand seiner IP-Adresse.

Auch das AG Berlin-Mitte stellte fest⁴⁵: Bei einer dynamischen IP-Adresse handelt es sich um personenbezogene Daten im Sinne des Telemediengesetzes, da es sich um Einzelangaben über eine bestimmbare natürliche Person handelt. Darauf, ob diese Bestimmbarkeit dabei nur mit illegalen Mitteln möglich ist, kommt es in diesem Zusammenhang nicht an. Ansonsten bestünde die Gefahr, «dass diese Daten ohne Restriktionen an Dritte, z.B. den Access-Provider, übermittelt werden können, die ihrerseits die Möglichkeiten haben, den Nutzer aufgrund der IP-Adresse zu identifizieren».

Jedoch ist selbst nach dieser Ansicht kein Personenbezug gegeben, wenn die IP-Adresse an eine juristische Person⁴⁶ (auch hier muss dann aber die Ausnahme des Ein-Mann-Unternehmens gelten) vergeben oder wegen der Vielzahl der Nutzer einer IP-Adresse⁴⁷ nicht feststellbar ist, welche Person den Anschluss letztlich genutzt hat. Es ist also auch am Nutzerseitigen Ende der direkten Verbindung eine Unterscheidung zu treffen. Bezüglich des Anschlussinhabers könnte man einen Personenbezug noch vertreten (einmal die Tatsache, dass ein normaler Webseitenbetreiber nicht an den Inhaber gelangt, außer Acht gelassen), nicht aber mehr betreffend der Person, die den PC gerade nutzt, denn diese muss nicht der Anschlussinhaber sein.

Die wohl (noch) herrschende Meinung⁴⁸ möchte die Frage der Bestimmbarkeit nach den Möglichkeiten des jeweiligen Dienstanbieters ermitteln (relative Bestimmbarkeit). Das gleiche Datum könne danach für den einen Dienstanbieter Personenbezug haben, weil dieser aus dem Informationsgehalt des Datums eine Person bestimmen kann, während für andere Dienstanbieter dieses Datum keinen Gehalt hat, da sie mit diesem keine dahinter stehende Person identifizieren können. Nicht erforderlich ist die Vornahme einer solchen Zuordnung. Vielmehr reicht die tatsächliche Möglichkeit mit den ihm konkret zur Verfügung stehenden Mitteln für den Dateninhaber aus, die Zuordnung muss ihm unter vertretbarem Aufwand möglich sein⁴⁹.

Dem entspricht auch ein Urteil des AG München⁵⁰. Nach dessen Auffassung «stellen die IP-Adressen deswegen keine personenbezogenen Daten dar, weil ihnen die notwendige Bestimmbarkeit fehlt. Bestimmbarkeit ist dann gegeben, wenn die datenspeichernde Stelle die hinter der Einzelangabe stehende Person mit den ihr normalerweise zur Verfügung stehenden Kenntnissen und Hilfsmitteln und ohne unverhältnismäßigen Aufwand identifizieren kann» ⁵¹. Damit stellen nach Auffassung des Münchener Gerichts dynamische IP-Adressen für den Webseitenbetreiber keine personenbezogenen Daten dar. Denn die nur «theoretisch denkbare» Möglichkeit einer Identifizierung der Nutzer setze eine Herausgabe der Daten des ASP an den jeweiligen Webseitenbetreiber voraus. Da eine solche Herausgabe aber gerade illegal sei, könne eine solche Handlung für die Frage des Personenbezugs nicht berücksichtigt werden.

Ein ASP kann über die Bestandsdaten «auch später den entsprechenden Nutzer ermitteln» und somit den Personenbezug herstellen. Ein SNS selbst als Dienstanbieter kann nicht auf die Informationen des ASP zugreifen und hat daher keine Kenntnis, welche Person hinter der IP-Adresse steht. Jedem ASP ist es untersagt, die erforderliche Information weiterzugeben (§§ 88 TKG, 206 StGB). Nur in Ausnahmefällen ist es dem SNS daher möglich, an solche Informationen zu gelangen. Ein Personenbezug besteht für den SNS daher nach der relativen Theorie nicht.

Zu einem anderen Ergebnis kann aber führen, wenn andere kombinierbare Informationen hinzukommen. Wird etwa innerhalb eines Angebots eines Dienstleisters im Internet eine «Zuordnung zu in Cookies gespeicherten Login-Daten vorgenommen oder kann ein Tracking-Dienstleister aus den gespeicherten Daten auf eine bestimmte Person schließen, ist Personenbezug gegeben»⁵². Nach Schirmbacher liegt dies insbesondere dann nahe, wenn der Betroffene auch einen Google Account hat. «Diese Bestimmbarkeit durch den Dienstleister muss sich der Website-Betreiber zurechnen lassen. In diesen Fällen ist die erhobene IP-Adresse auch für den Website-Betreiber personenbezogen»⁵³.

Der Düsseldorfer Kreis, ein informeller Zusammenschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich in Deutschland, hat im November 2009 festgestellt,

«dass bei Erstellung von Nutzungsprofilen durch Web-Seitenbetreiber die Bestimmungen des Telemediengesetzes (TMG) zu beachten sind. Demnach dürfen Nutzungsprofile nur bei Verwendung von Pseudonymen erstellt werden. Die IP-Adresse ist kein Pseudonym im Sinne des Telemediengesetzes. […] «Die Analyse des Nutzungsverhaltens unter Verwendung vollständiger IP-Adressen (einschließlich einer Geolokalisierung) ist aufgrund der Personenbeziehbarkeit dieser Daten daher nur mit bewusster, eindeutiger Einwilligung zulässig. Liegt eine solche Einwilligung nicht vor, ist die IP-Adresse vor jeglicher Auswertung so zu kürzen, dass eine Personenbeziehbarkeit ausgeschlossen ist.»

Mit diesem Beschluss schien die Diskussion um die Bewertung von IP-Adressen als personenbezogenes Datum für die Praxis beendet. Das ULD hat am 19. August 2011 in seinem Arbeitspapier⁵⁴ festgestellt, dass es sich auch bei dynamischen IP-Adressen generell um personenbezogene Daten handelt. Diese pauschale Feststellung wurde zu Recht von Härting⁵⁵ kritisiert.

Eine Entscheidung des OLG Hamburg vom 3. November 2010 zur Ermittlung von IP-Adressen in «File-Sharing-Fällen» hat sich gegen einen Personenbezug entschieden. Das OLG stellt darin darauf ab, dass mit normalen Mitteln ein Personenbezug der IP-Adresse nicht hergestellt werden kann. Vielmehr sei ein weiterer Schritt von dritter Seite – der Staatsanwaltschaft (Auskunftsanfrage an den Provider über §§ 161 Abs. 1 Satz 1 i.V.m. 163 StPO oder §§ 101 Abs. 9 UrhG) – notwendig.

Aktuell stehen sich somit höchstrichterliche Rechtsprechung und die Meinung der Datenschutzaufsichtsbehörden in einer Art Waffenstillstand gegenüber und es bleibt abzuwarten, welche Seite obsiegen wird. Im Zweifel wird die Praxis wohl der Entscheidung des OLG Hamburg zu folgen haben, da erstens jünger als der Beschluss des Düsseldorfer Kreises und zweitens ist letzterer der Überprüfung durch die Judikative unterworfen.

Es ist unklar, ob und wo die Vertreter der objektiven Theorie die Grenze ziehen wollen, welches Wissen Dritter noch relevant für eine Personenbestimmung sein soll. Konsequenz der objektiven Theorie wäre, wie Spindler/Nink richtig feststellen, dass «jedes Datum, bei dem auch nur irgendein beliebiger Dritter die dahinter stehende Person durch Zusatzwissen oder Schlüsseldaten⁵⁶ bestimmen könnte, für jede speichernde Stelle ein personenbezogenes Datum darstellen würde, das regelmäßig – mangels Erlaubnistatbestand – rechtswidrig erhoben und gespeichert würde»⁵⁷. Die absolute Theorie hätte daher täglich einen millionenfachen Verstoß gegen das Datenschutzrecht zur Folge, der Personenbezug wäre für die Exekutive faktisch unkontrollierbar.

Auch liefe der Betroffene Gefahr, dass die Bestimmbarkeit seiner Daten von der Beurteilung dieser Schlüsseldaten abhängt, derjenige, der die Schlüsseldaten besitzt, hätte es in der Hand, schon den Personenbezug entfallen zu lassen, indem er die Schlüsseldaten löscht. Zugestimmt werden kann Spindler/Nink, die anführen: «Ob und wie viele Schlüsseldatenbesitzer existieren, ist für Daten verarbeitende Stelle meist gar nicht ersichtlich und somit auch nicht, ob sie die Daten erheben und speichern dürfen oder nicht. Letztlich führt die objektive Auslegung des Personenbezugs für die Daten verarbeitende Stelle zu großen Rechtsunsicherheiten» ⁵⁸.

Diesen Streit zusammenfassend stellt Meyerdierks fest: «Die Ansicht, die die Personenbeziehbarkeit von IP-Adressen in den Serverlogs des Webseitenbetreibers bejaht, bezieht – dem objektiven Begriff der Personenbeziehbarkeit entsprechend – diese Schlüsseldaten des Access-Providers bei der Beurteilung der IP-Adressen mit ein. Die Gegenmeinung legt den relativen Personenbezug zu Grunde. Sie bezieht die Schlüsseldaten nicht mit ein und verneint daher die Personenbeziehbarkeit»⁵⁹.

Selbst wenn man diesen Meinungsstreit offenlassen möchte, reicht die Verwendung von Schlüsseldaten für die objektive Theorie nicht aus. Denn dem Webseitenbetreiber fehlen in der Regel solche Schlüsseldaten. Die ASPs sind weder berechtigt, noch – mit wenigen Ausnahmen – verpflichtet, diese Daten zur Zuordnungsmöglichkeit herauszugeben. Letzteres kann nur der Staatsanwalt, den Verdacht einer Straftat vorausgesetzt, der im Normalfall der Nutzung einer Webseite natürlich fehlt.

Einige Kritik ist daher angebracht an einer allzu vorschnellen Bejahung des Personenbezugs bei IP-Adressen, die absolute Theorie geht sicherlich zu weit. Daher ist der Personenbezug weiterhin relativ zu bestimmen und die Daten zur Bestimmung des Personenbezugs immer in Relation zu dem Datenverwender zu betrachten.

Zusätzlich zur relativen Theorie und zur Auflösung der verschiedenen konträren Standpunkte ließe sich das Argument der Schutzbedürftigkeit verwenden. Ein Schutz im datenschutzrechtlichen Sinn entsteht erst, wenn der Personenbezug tatsächlich hergestellt wird und nicht schon bei einer abstrakten Gefährdung. Mit Recht stellt Voigt fest: «Sinn und Zweck des Datenschutzrechts würde ad absurdum geführt, wenn letztendlich das «Weltwissen» dem Dateninhaber «zugerechnet» werden würde. Eine Bedrohung, der das aus dem Allgemeinen Persönlichkeitsrecht hervorgehende Datenschutzrecht vorbeugen soll, ist in solchen absoluten Fällen regelmäßig nicht gegeben»⁶⁰.

Der Webseitenbetreiber, der den like-Button in seine Seite implementiert hat, kann die IP-Adresse des Besuchers der Webseite nicht einer Person zuordnen, es liegt keine Gefährdungslage vor und somit kein personenbezogenes Datum. Es ist zu bezweifeln, ob ein SNS wie Facebook, Google und Twitter dies kann, wenn der betreffende Nutzer Nicht-Teilnehmer ist. Insbesondere Facebook sammelt bekanntermaßen vielfach personenbezogene Daten von Nutzern weltweit und gibt diese an Server in den USA weiter. Es wäre nicht überraschend, wenn Facebook weitere Datensätze vorliegen, die es erlauben, die erhobene IP-Adresse des Besuchers der Webseite mit like-Button derart miteinander zu verknüpfen, dass ein Personenbezug hergestellt wird. Es gibt Hinweise darauf, dass Facebook diese Tracking-Techniken aktiv nutzt: Loggt man sich von einem neuen Rechner aus bei dem Dienst ein, fragt Facebook im Rahmen seines Dienstes zur Kontosicherheit nach, wie man diesen neuen Rechner nennen will. Facebook erkennt zuverlässig einzelne Computer wieder und kann auch mehrere Computer in einem Firmennetzwerk unterscheiden.

Facebook räumt sogar ein, solche Informationen auch beim Aufruf von Partnerseiten mit Plugins zu sammeln. Facebook erhalte «weitere technische Informationen über die IP-Adresse, den Browser und das verwendete Betriebssystem»⁶¹. Enthalten sei auch die Nutzerkennnummer, wenn der Besucher bei Facebook angemeldet sei.

Es können also Daten, die Facebook sowohl wegen den Cookies, als auch wegen dem like-Button erhält, offensichtlich miteinander kombiniert werden. Dadurch kann das Nutzerverhalten im Internet protokolliert werden. In diesem Moment liegt sicherlich eine abstrakte – wenn nicht gar konkrete Gefährdungslage – vor. Jedenfalls aber dann, wenn ein Facebook-Teilnehmer die Webseite mit dem Button aufruft, liegt für diesen Nutzer eine datenschutzrechtlich konkrete Gefährdungslage vor und somit ein personenbezogenes Datum.

Es ließe sich daher im Fall der Social Plugins argumentieren, dass a) auch eine abstrakte Gefährdungslage ausreichend ist und/oder b) diese Form des Online Marketings und – Profilings künftig in den Bereich der konkreten Gefährdung subsumiert werden muss. Eine Entscheidung von Legislative oder Judikative darüber bleibt abzuwarten.

Das BDSG regelt die datenschutzrechtliche Zulässigkeit der Erhebung, Verarbeitung und Nutzung von Inhaltsdaten. Darunter werden solche Daten verstanden, die einen über das bloße Nutzungsverhältnis hinausgehenden Inhalt haben.

Problematisch ist an dieser Stelle der Prüfung die Informationspolitik jedes SNS. Insbesondere Facebook und Twitter klären nicht umfassend und abschließend darüber auf, welche Daten genau erhoben werden. Lediglich Google gibt hierzu wenige Informationen heraus. Sicher ist, dass zumindest die IP-Adresse der Webseiten-Besucher erhoben wird, um das Social Plugin technisch überhaupt nutzbar zu machen, s.o.

Die personenbezogenen Daten werden zu dem entsprechenden SNS in die USA übertragen und dort «gespeichert» im Sinne des § 3 Abs. 3 Nr. 1 BDSG.

Es ist fraglich, ob diese Übertragung datenschutzrechtlich als Übermittlung (§ 3 Abs. 4 Nr. 3 BDSG) einzustufen ist oder nicht.

Es wird eine direkte Verbindung zwischen dem vom SNS für die Webseite gelieferten Code und den Servern des SNS aufgebaut, s.o. Es ließe sich daher argumentieren, dass nicht der Webseitenbetreiber selbst die Daten erhebt und speichert, insofern auch nicht weitergeben könnte, sondern sich der SNS als «verantwortliche Stelle» (§ 3 Abs. 7 BDSG) diese selbst abholt.

Dennoch kann auch der Webseitenbetreiber «verantwortliche Stelle» sein. Eine Verantwortung des Webseitenbetreibers kann schon dann begründet sein, wenn er nach Würdigung aller Gesamtumstände aufgrund des tatsächlichen Einflusses den Prozess der Datenverarbeitung steuert⁶². Dies gilt umso mehr, wenn der Webseitenbetreiber in seinem Webauftritt Dienste Dritter zumindest auch zu eigenen Zwecken nutzt. Dazu gehören hier Dienste zur Reichweitenanalyse (Facebook Insights) oder der verhaltensbasierten Online-Werbung⁶³. Erstere sind untrennbar mit der Nutzung eines Social Plugins verbunden.

Ein Webseitenbetreiber, der Social Plugins einbindet, benutzt den Code des entsprechenden SNS, also Mittel «fremder» Verarbeitungsprozesse. Dadurch wird ein Verarbeitungsprozess bei einem dritten Dienstleister, hier dem SNS, ausgelöst. Dies stellt eine Bekanntgabe gespeicherter oder durch Datenverarbeitung gewonnener personenbezogener Daten an einen Dritten in der Weise dar, dass der SNS zur Einsicht oder zum Abruf bereitgehaltene Daten einsehen oder abrufen kann. Es spricht daher vieles dafür, von einer Übermittlung (§ 3 Abs. 4 Nr. 3 b BDSG) auszugehen.

Eine Übermittlung würde dann ausscheiden, wenn ein Fall der Auftragsdatenverarbeitung (§ 11 BDSG) vorliegt. Es fehlt allerdings schon am Auftragsverhältnis zwischen SNS und Webseitenbetreiber und auch eine Weisungsbefugnis des Webseitenbetreibers gegenüber dem SNS ist in der Praxis sehr abwegig. Außerdem haben alle SNS ihren Sitz außerhalb von EU und EWR, womit eine unmittelbare Anwendung des § 11 BDSG ausscheidet.

Den SNS als auch den Webseitenbetreiber, beide sind Verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG, trifft die Pflicht zur Einhaltung dieser gesetzlichen Vorschriften:

Da zumindest die IP-Adresse als personenbezogenes Datum übermittelt wird, ist diese Übermittlung grundsätzlich verboten (§ 4 Abs. 1 BDSG) und nur dann erlaubt, wenn eine datenschutzrechtliche Erlaubnis in Form einer Einwilligung oder eines gesetzlichen Erlaubnistatbestands vorliegt.

Eine Einwilligung müsste den Anforderungen der §§ 4, 4a BDSG genügen. Danach kann die Einwilligung «elektronisch erklärt werden, wenn der Diensteanbieter sicherstellt, dass

1. der Nutzer seine Einwilligung bewusst und eindeutig erklärt hat,
2. die Einwilligung protokolliert wird,
3. der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und
4. der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.»

Gegebenenfalls ließe sich bezüglich solcher Webseitenbesucher, die gleichzeitig SNS-Teilnehmer sind, eine Sonderregelung finden, wenn etwa Regelungen in den Allgemeinen Geschäftsbedingungen des SNS bzw. dessen zunehmend komplexer werdenden⁶⁴ Datenschutzrichtlinien einbezogen werden.

Allen Richtlinien der SNS ist gemein, dass während des Anmeldeprozesses keine klare Information über die Art, den Umfang und den Zweck der Erhebung, Verarbeitung und Nutzung der Daten erfolgt. Das «Registrieren» bei dem betreffenden SNS kann nicht mit einer datenschutzrechtlich wirksamen Einwilligung gleichgesetzt werden, weil damit keine ausdrückliche Einbeziehung des Willens der Nutzerinnen und Nutzer in sämtliche vorgesehenen und als Standard konfigurierten Formen der Datenverarbeitung erfolgt. Vielmehr wird lediglich pauschal auf eine Vielzahl von Dokumenten verwiesen, die durchzuarbeiten keinem Nutzenden zumutbar ist

Als Beispiel dienen hier die Facebook-Datenschutzrichtlinien, in denen insbesondere unklar bleibt, welche konkreten Zwecke Facebook mit der Analyse der Verwendung der Daten von registrierten Teilnehmern verfolgt. Unter Ziffer 5 der Richtlinien⁶⁵ werden die Zwecke der Nutzung nur vage beschrieben. («Verwaltung des Dienstleistungsangebots» und «um potenziell rechtswidrige Handlungen zu unterbinden»). Unter Ziffer 9⁶⁶ heisst es: «Zustimmung zur Datenerfassung und -verarbeitung in den Vereinigten Staaten von Amerika. Durch die Verwendung von Facebook stimmst du der Übertragung und Verarbeitung deiner persönlichen Daten in die bzw. in den USA zu.»

Auch Google und Twitter arbeiten mit ähnlichen Erkärungsinhalten. Ob diese «Einwilligungen» ausreichend sind, ist somit mehr als zweifelhaft. Erstens wurde sie von dem SNS eingeholt und nicht vom Webseitenbetreiber. Die Einholung einer Einwilligung durch den Webseitenbetreiber scheitert daher, weil sich der Nutzer bei diesem nicht registriert haben muss, um die Social Plugins zu nutzen. Zweitens ist unklar, ob der SNS-Teilnehmer den Datenschutzhinweisen vor Ausführung des Social Plugins überhaupt wirksam zustimmen konnte.

Dies gilt insbesondere für diejenigen Webseitenbesuchers, die Nicht-Teilnehmer sind. Bei diesen kann nur schwer mit einer Einwillungserklärung gearbeitet werden, sonst müsste jeder Besucher der betreffenden Webseite, der dort auch nur kurz Informationen einsehen will, vorab einen datenschutzrechtlich zulässigen Anmelde- und Registrierungsprozess durchlaufen.

Für Webseitenbetreiber gilt daher: Will man die Webseiten nicht nach der Unterscheidung zwischen Teilnehmer und Nicht-Teilnehmer unterschiedlich ausrichten, so müsste sich der Webseitenbetreiber an den Nicht-Teilnehmern orientieren.

Man könnte überlegen, ob das Abrufen einer Seite, auf der ein Button zu finden ist, einer konkludenten Einwilligung gleichkommt. Zum einen aber hat der Nutzer vor dem Aufruf einer Seite keine Kenntnis davon, ob sie einen Like-it-Button beinhaltet oder nicht; ohne diese Kenntnis kann aber der Aufruf der Seite kein konkludentes Einverständnis darstellen. Zum anderen muss eine Einwilligung «bewusst und eindeutig» abgegeben werden, also letztlich per Opt-in. Der bloße Seitenaufruf kann also nicht darunterfallen.

Ein etwaiger späteres Anklicken des Like-it-Buttons durch einen Nutzer könnte anders zu beurteilen sein: Denn dieses Anklicken und die damit verbundene Information, dass dem Nutzer die Seite, auf der der Button gesetzt ist, gefällt, stellt genau genommen kein Nutzungsdatum mehr dar, sondern ein Inhaltsdatum. Die Übermittlung könnte dann möglicherweise zulässig sein. Für ein Inhaltsdatum gilt nämlich nicht das TMG, sondern das BDSG, und § 4a Abs. 1 BDSG schreibt keine explizite Einwilligung vor, auch eine konkludente Einwilligung wäre möglich. Dann aber greift die seit 1. September 2009 neue Norm des § 28 Abs. 3a BDSG: Danach muss eine nicht-schriftliche Einwilligung schriftlich (!) bestätigt werden, wenn sie nicht in elektronischer Form erklärt wird. Eine solche schriftliche Bestätigung scheidet aus praktischen (und Kosten-)Gründen aus.

Es wäre denkbar, den Prozess einer wirksamen Einwilligung über die technische Seite zu lösen, indem die Social Plugins modifiziert eingebunden werden⁶⁷.

Dieser Einwilligung bedürfte es nicht, wenn eine gesetzliche Erlaubnis vorliegt. Da die Daten in die USA übermittelt werden, bedarf es zweier Erlaubnisse:

• Zum einen für die Weitergabe an sich (1. Stufe)
• Zum anderen für die Weitergabe an ein Unternehmen außerhalb der EU / des EWR (2. Stufe)

Zunächst kommt § 28 Abs. 1 S. 1 BDSG in Betracht. Dazu müssten die Daten benötigt werden, um ein zwischen der verantwortlichen Stelle und der betroffenen Person bestehendes Schuldverhältnis zu ermöglichen und sich aus diesem ergebende Pflichten zu erfüllen. Über das Social Plugin erhobene und verarbeitete Inhaltsdaten gehen jedoch über Informationen hinaus, die der SNS zur Durchführung des Vertrages mit seinen Teilnehmern benötigt. Es kann und darf hierfür nicht relevant sein, wann ein Nutzer mit welchem Browser etc, auf einer Webseite online ist, es fehlt also an einem Geschäftszweck. § 28 Abs 1 S. 1 BDSG scheidet hier aus.

Für eine Anwendung des § 28 Abs. 2 BDSG ergeben sich schon deshalb keine Anhaltspunkte, da es an einer Forschungseinrichtung, berechtigten Interessen eines Dritten oder Gefahren für die staatliche oder öffentliche Sicherheit oder der Verfolgung von Straftaten sowie an der allgemeinen Zugänglichkeit der Daten fehlt.

Für Zwecke der Werbung (§ 28 Abs. 3 BDSG) wäre eine Einwilligung des Betroffenen notwendig. Es gilt hierzu wieder das oben Gesagte. Auch § 28 Abs. 3 BDSG scheidet aus.

Allenfalls § 29 BDSG wäre hier ausführlicher zu diskutieren. SNS erheben und verarbeiten Daten ihrer Teilnehmer nicht zur Erfüllung eines Geschäftszwecks (s.o), sondern vielmehr werden die Daten, die im Laufe der Zeit auf der Plattform des jeweiligen SNS gespeichert sind, zum Abruf bereitgehalten und bei Ansicht eines Profils eines Teilnehmers an Dritte übermittelt. Eine solche Übermittlung ist dann geschäftsmäßig im Sinne des § 29 Abs. 1 S. 1 BDSG und zulässig, wenn kein Grund zu der Annahme besteht, dass der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Erhebung oder Verarbeitung hat. Hierbei muss eine Abwägung der beiden widerstreitenden Interessen erfolgen. Schwerwiegendstes Interesse ist hier wohl das der Nicht-Teilnehmer eines SNS auf informationelle Selbstbestimmung. Auf Seiten der SNS lässt sich kein schützenswertes Interesse erkennen, welches überwiegt.

Auch einer Übermittlung der Daten (§ 29 Abs. 2 BDSG) stehen selbige schutzwürdige Interessen entgegen.

Selbst wenn man die Weitergabe an sich als erlaubt ansehen würde, weil man – sehr großzügig – die Erforderlichkeit bejaht, wäre eine zweite Erlaubnis notwendig. Namentlich dafür, dass die Daten die EU/EWR verlassen.

Da alle SNS ihren Sitz in den USA haben, ist eine Übermittlung nur zulässig, wenn ein «angemessenes Datenschutzniveau» bei den SNS sichergestellt ist, § 4b BDSG. Die Ausnahme nach § 4c BDSG liegt nicht vor, da eine wirksame Einwilligung wohl nicht gegeben ist.

Facebook und Google haben das sogenannte Safe Harbour Abkommen unterzeichnet, Twitter nicht. Gemäß der Safe Harbor Entscheidung der EU Kommission ist damit ein angemessenes Datenschutzniveau sichergestellt. Deutsche Datenschutzbehörden sehen Safe Harbor dagegen kritisch. Sie verlangen von Unternehmen, die Daten an Safe Harbor Unternehmen übermitteln, dass sie sich nicht auf deren Zusicherung verlassen, an dem Safe Harbor Programm teilzunehmen, sondern sich die Einhaltung der Safe Harbor Prinzipien nachweisen lassen und hierfür eine gewisse Mindestprüfung vornehmen.

Eine Vereinbarung von individuellverrtaglichen Regelungen wie den EU-Standardvertragsklauseln zur Herstellung eines ausreichenden Datenschutzniveaus scheitert an der Praktikabilität, denn es ist faktisch nicht machbar, jeden potentiell Betroffenen mit dem SNS eine solche vereinbarung treffen zu lassen.

Die Weitergabe an ein Unternehmen in den USA ist daher mangels ausreichendem Datenschutzniveau gesetzlich nicht erlaubt.

An dieser Stelle sind die Grenzen der Zulässigkeit bei einer möglichen Erhebung und Verarbeitung von Nutzungsdaten zu untersuchen. Die Erhebung und/oder Verarbeitung personenbezogener Daten ist nur dann gerechtfertigt, wenn der Betroffene seine Einwilligung erklärt hat oder ein gesetzlicher Erlaubnistatbestand vorliegt (§ 12 Abs. 1 TMG).

An einer ausdrücklichen Einwilligung (§ 12 Abs. 1 TMG i.V.m. §§ 4, 4a BDSG) durch den Betroffenen wird es regelmäßig fehlen, da weder die Nutzungsbedingungen noch die Datenschutzrichtlinien der SNS dazu Auskunft geben bzw. eine solche ausdrückliche Einwilligung vorsehen. Für Nicht-Teilnehmer an dem jeweiligen SNS kann die allgemeine datenschutzrechtliche Einwilligung der jeweiligen AGBs ohnehin keine Wirkung entfalten.

Sofern ein Teilnehmer an einem SNS den Social Plugin betätigt bzw. auslöst, wird vertreten, dass der Teilnehmer dann gerade eine Weiterempfehlung der das Social Plugin verwendenen Webseite wünscht und auch weiß, dass diese Empfehlung mit seiner Nutzeroberfläche im jeweiligen SNS verknüpft wird⁶⁸. Dem muss man jedoch entgegenhalten, dass zweifelsohne mehr Daten erhoben werden, als dem einzelnen Teilnehmer bekannt sein wird, die volle Tragweite seiner konkludenten Einwilligung ihm also nicht bewusst sein kann⁶⁹ . Zudem ist zu beachten, dass § 4a Abs. 1 S. 3 BDSG nur ausnahmsweise unter «besonderen Umständen» von der Schriftform der Einwilligung absieht, stets jedoch weiterhin eine «andere Form» der Einwilligung gefordert wird. Selbst wenn man argumentiert, es läge hier ein Fall des § 13 abs. 2 TMG vor, so lässt sich diese «elektronische Einwilligung» nicht auf den vorliegenden Fall übertragen. Denn allein die Betätigung des Social Plugins kann unmöglich selbiger genügen.

Verschärft werden diese Feststellungen noch, wenn das Social Plugin durch einen Nicht-Teilnehmer eines SNS betätigt wird. Dann scheitert eine konkludente Einwilligung schon an der mangelnden Kenntnis der oder des Betroffenen über die Reichweite seiner Handlung. Gerade dann muss eine konkludente Einwilligung abgelehnt werden.

Noch klarer wird die Diskussion für den Autor dieses Beitrages, wenn der Betroffene das Social Plugin nicht betätigt, sondern die das Social Plugin enthaltene Webseite lediglich aufruft. Eine konkludente Einwilligung liegt dann sicherlich nicht vor.

Erlaubt wäre die Erhebung und Verarbeitung der personenbezogenen Daten, wenn diese «erforderlich ist, um die Inanspruchnahme von Telemedien zu ermöglichen […]». Erforderlichkeit liegt sicherlich dann vor, wenn die Inanspruchnahme durch die Datenerhebung und -verarbeitung unmittelbar gefördert wird.

Liest man erforderlich als «zwingend erforderlich», würde diese Erlaubnis ausscheiden, da die Webseiten auch ohne den like-Button betrieben werden können. Versteht man «erforderlich» im Sinne von «nützlich», wäre die Lage anders, da ein solcher Button durchaus nützlich sein kann.

Es ließe sich argumentieren, dass für den Webseitenbetreiber der Social Plugin bedeutende Marketing-Vorteile hat, oder auch dass schließlich jeder Betreiber selber festlegen sollte, was zur Nutzung der Webseite nützlich ist. Ersteres muss jedoch abgelehnt werden, da die Popularität einer Webseite nicht mit deren Funktionalität, welche auch ohne ein Weltpublikum funktioniert, verwechselt werden sollte. Letzteres Argument muss verneint werden, da dies dem Sinn und Zweck des TMG zuwider liefe.

Auch würde diese Interpretation gegen die gesetzlichen Vorgaben und den Grundsatz der restriktiven Auslegung der gesetzlichen Erlaubnisse im Datenschutzrecht verstoßen. Denn selbst wenn § 15 Abs. 1 TMG ausreichen mag für Webseitenbesucher, die den like-Button aktivieren und ausdrücklich die Verlinkung vornehmen, so kann dies nicht für die Nutzer gelten, die den Button nicht anklicken (erst recht nicht von den Webseitenbesuchern, die nicht bei Facebook registriert sind). Man kann die Datenerhebung durch Facebook daher als zu umfangreich ansehen und daher ablehnen.

Zudem ist an die personenbezogenen Daten Dritter zu denken. In dem Moment, wenn das Social Plugin betätigt wird, werden auch Daten von Nicht-Teilnehmern an einem SNS erhoben und verarbeitet. Die Erhebung solcher Daten ist sicherlich nicht erforderlich.

Letztlich fehlt es also schon an einer gesetzlichen Erlaubnis nach § 15 Abs. 1 TMG.

Nach aktueller Rechtslage würde die verantwortliche Stelle somit gegen datenschutzrechtliche Vorgaben verstoßen und damit in das Recht auf informationelle Selbstbestimmung als Ausprägung des allgemeinen Persönlichkeitsrechts (Art. 2 Abs. 1 GG, Art. 1 Abs. 1 GG) des Nutzers eingreifen.

Folge könnten deliktische Ansprüche der betroffenen Nutzer auf Unterlassung (§§ 823 Abs. 1 BGB, 1004 S. 1 BGB analog i.V.m. Art. 2 Abs. 1, Art. 1 Abs 1. GG) oder Schadenersatz (§ 823 Abs. 1 BGB i.V.m. Art. 2 Abs. 1, Art. 1 Abs 1. GG) sein. Zudem liefe der Betreiber Gefahr, dass die deutschen Aufsichtsbehörden Unterlassungsverfügungen (§ 38 Abs. 5 BDSG) oder Bußgeldverfahren (§ 43 BDSG, § 16 TMG) anstrengen.

Grundlage der ersten technischen Lösung ist die Überlegung, dass Social Plugins meist als iFrame in eine Website eingebunden werden. Um nun vor der Anzeige des Plugins die Einwilligung des Besuchers einzuholen, könnte ein weitere iFrame vorgeschaltet werden. In diese Datei, die beispielsweise einwilligung.html genannt werden kann, könnte dann eine Einwilligungserklärung aufgenommen werden. Die Datei einwilligung.html kann nun an der gewünschten Stelle, an der auch der Social Plugin erscheinen soll, mit folgendem Code eingebunden werden :

Auch Grimme⁷⁰ bietet eine Lösung an – hier am Beispiel Facebook: Danach würde die Internetseite zuerst ohne das Plugin und damit ohne eine Datenübermittlung an den SNS aufgerufen. Stattdessen ist ein Link sichtbar, über den der Button eingeblendet werden kann. Es wird darauf hingewiesen, dass dann Daten an Facebook übermittelt werden. Der Nutzer muss den Link bewusst anklicken. Um dies technisch umzusetzen, binden Sie den nachfolgenden Code in die Webseite ein. Tauschen Sie das Wort PLATZHALTER durch die individuelle Facebook-URL aus (achten Sie darauf, dass Anführungszeichen und Semikolon um die URL herum stehen bleiben). Die Facebook-URL erhalten Sie, wenn Sie den Code-Generator von Facebook⁷¹ ausführen. Suchen Sie in dem für Sie individuell erstellten Code nach der Stelle, an der Ihre Webadresse auftaucht, kopieren Sie diese komplett (das heißt, alles nach "?href=" und vor dem ersten Leerzeichen) und fügen Sie sie in den nachfolgenden Code anstelle von PLATZHALTER ein.

Auch könnte ein «vorgeschalteter Button» programmiert werden. Zur Demonstration hat Dorian Roy⁷² einen Opt-In-Button entwickelt, den man vor den Facebook-Button schalten kann. Erst wenn dieser Button durch Anklicken aktiviert wird, bekommt Facebook das Cookie mit den Daten eines bei Facebook eingeloggten Besuchers zugesandt.

Rechtsanwalt Christian Solmecke⁷³ rät Webseitenbetreibern, den like-Button zunächst ohne Funktionalität als reines Bild auf einer Webseite einzubinden. Erst mit dem Klick auf dieses Bild soll dann der eigentliche like-Button mit seiner vollen Funktionalität durch Laden der Facebook Libraries aktiviert werden. In diesem Fall aktiviere der Nutzer die Übertragung dann bewusst selbst. Er habe dann auch vorher die Möglichkeit, eine entsprechende Datenschutzbestimmung zur Kenntnis zu nehmen und sich genau zu überlegen, ob er den Button aktivieren wolle oder nicht.

Für diese Lösung wurde schon ein Tool zum Download bereitgestellt, welches die datenschutzrechtlich einwandfreie Einbindung von Social Plugins gewährleisten soll. Das von Jens Ferner⁷⁴ entwickelte und schon seit einiger Zeit im Einsatz befindliche Zusatz-Plugin wurde auch von der Datenschutz-Aufsichtsbehörde in Schleswig-Holstein für im Grundsatz zulässig erachtet. Dieses Tool «aktiviert» den Facebook Like-Button erst nach dem Klick auf eine entsprechende Einwilligung.

Eindeutig und bewusst wäre die Einwilligung allerdings nur dann, wenn durch dieses aktive Anklicken des Nutzers abgegeben. Dabei kann streitig sein, ob – wenn das Wort «Einwilligung» fehlt – dem Nutzer tatsächlich bewusst ist, dass er eine datenschutzrechtlich relevante Einwilligung erteilt. Denkbar wäre aber, einen Einwilligungstext zu verwenden wie «Ich willige in die Einblendung des Gefällt-Mir-Buttons ein» verwenden würde.

In jedem Fall sollte in die Datenschutzerklärung (s.u.) ein Teil zu den Social Plugins aufgenommen und dort detailliert auf die Hintergründe hingewiesen werden, u.a. auch auf den Umstand, dass beim Betätigen eben eine datenschutzrechtliche Einwilligung erteilt wird, dass Daten an das Soziale Netzwerk übermittelt werden.

Insofern sollte eine technische Lösung auch einen Teil enthalten, der deutlich macht, das Daten an das jeweilige Soziale Netzwerk übermittelt werden («Hinweis: Es werden Daten an Facebook/Google/Twitter übermittelt; Details siehe unsere Datenschutzerklärung»). Dadurch könnte man argumentieren, dass die Datenschutzerklärung rechtlich Teil der Einwilligung wird.

Bezüglich der Protokollierung könnte man argumentieren, dass diese in Form des Cookies und damit auf dem Rechner des Nutzers, wo der Cookie abgelegt wird, protokolliert wird. Ob eine solche client-seitige Protokollierung ausreicht, ist gerichtlich noch nicht entschieden, wäre aber zumindest vertretbar. Das Problem läge eher darin, dass dann, wenn der Nutzer seine Cookies löscht, der Webseitenbetreiber nicht mehr auf das Cookie und damit das «Protokoll» zugreifen kann, er also ein Beweisproblem hätte.

Denkbar wäre, auch server-seitig ergänzend dazu die Protokollierung vorzunehmen; es ist allerdings technisch schwierig, aufgrund der meist nur vergebenen dynamischen IP-Adressen der Nutzer nach Ende eines Besuchs und bei einem neuen Besuch eine erneute Zuordnung zu erreichen. Wenn dies technisch möglich ist, wäre dies damit vorzugswürdig, ansonsten bliebe die Möglichkeit über das (client-seitige) Cookie mit den beschriebenen Nachteilen.

Schwierig ist auch die Sicherstellung des jederzeitigen Abrufs der erteilten Einwilligung. Denkbar wäre hier, deren Inhalt ergänzend noch in die Datenschutzerklärung aufzunehmen. Gerade dann, wenn direkt unter dem «angedeuteten» Button ein eigener und direkter Link auf die Datenschutzerklärung zu finden ist, ließe sich auch diese Lösung gut vertreten, vor allem da der Inhalt der Einwilligung minimal ist (nämlich die Weitergabe bestimmter Daten an das Soziale Netzwerk).

Ein möglicher Widerruf würde auf tatsächlicher Ebene dadurch erfolgen, dass der Nutzer beispielsweise den Link «Facebook ausblenden» anklickt und im Anschluss wieder die Seite ohne «richtigen» Facebook-Button, vielmehr mit dem nur angedeutetem Button sieht. Dabei sollte das Wort «Widerruf» genannt werden, etwa nur per Ergänzung: «Facebook ausblenden (Widerruf der Einwilligung».

Bezüglich des zeitlich vor der Einwilligungsabgabe zu erteilenden Hinweises bliebe ebenfalls (wohl nur) der Weg mit in die Datenschutzerklärung aufzunehmenden Hinweisen zu arbeiten. Nach Meinung der Literatur ist es trotz der strengen Formulierung im Gesetz ausreichend, wenn – dies betrifft aber den allgemeinen Fall – auf der Startseite ein direkter Link auf die jeweilige Datenschutzerklärung klar sichtbar und erreichbar ist. Bestenfalls findet sich zusätzlich und direkt unter dem (angedeuteten) Button ein direkter Link, dann dürfte die räumliche «Nähe» damit jedenfalls gegeben sein. Insofern sollte in dem Button auf die Datenschutzerklärung hingewiesen werden, um diese über den Hinweis quasi zum Teil der zu erklärenden Einwilligung zu machen.

Daneben wird sich die Frage stellen, ob die Datenschutzerklärung des Webseitenbetreibers hinreichend ausformuliert ist.

Die Verwendung von Social Plugins muss der Webseitenbetreiber in seinen Datenschutzhinweisen angeben . Dies ergibt sich aus § 13 Abs. 1 TMG. Danach hat ein Diensteanbieter den Nutzer über «Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten» sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU/EWR in «allgemein verständlicher Form» zu unterrichten.

Zwar hat der Webseitenbetreiber wie oben beschrieben keinen Zugriff auf den Datenaustausch zwischen dem SNS und dem Nutzer, weiß also nicht, für welche anderen Nutzer des SNS der Button angezeigt wurde und wer auf den Button geklickt hat, jedoch «vermittelt» er erst die Möglichkeit für den SNS, die entsprechenden Daten seiner Seitenbesucher zu erheben und zu verarbeiten. Außerdem «verrät» er über die Einbindung des Social Plugins auf seiner Webseite dem SNS, wer wann welche Webseite besucht hat.

Es ist dem technisch «normal» versierten Nutzer wohl kaum erkennbar, dass sein Browser eine Anfrage an den SNS sendet, wenn er eine beliebige Webseite aufruft, die einen solchen Button enthält; und erst recht nicht, dass ihn der SNS auch ohne Betätigung des Buttons identifizieren kann und auf diese Weise sein Surfverhalten protokollieren und ein Profil erstellen kann (Social Graph).

Ein Verstoß gegen die Hinweispflicht des § 13 Abs. 1 TMG ist gemäß § 16 Abs. 2 Nr. 2 TMG eine Ordnungswidrigkeit und kann nach § 16 Abs. 3 TMG mit einem Bußgeld von bis zu € 50.000 geahndet werden. Da es für deutsche Datenschutzbehörden schwer sein wird, ein US-Unternehmen wegen einem solchen Verstoß zu belangen, läuft der Webseitenbetreiber Gefahr, von den deutschen Datenschutzbehörden belangt zu werden.

Die Gefahr einer Abmahnung durch Wettbewerber dürfte dagegen insbesondere seit Mai 2011 gering sein, da die fehlende Abmahnfähigkeit eines unterbliebenen Datenschutzhinweises zum Facebook like-Button nun auch das Land- und Kammergericht Berlin bestätigt hat⁷⁵ mit dem Hinweis, dass es sich bei § 13 TMG um eine Vorschrift handelt, deren Verstoß nicht wettbewerbswidrig ist.

Die Hinweispflicht des Webseitenbetreibers könnte durch folgende Formulierung⁷⁶ erfüllt werden, die die jüngsten Entwicklungen miteinbeziehen:

Verwendung von Social Plugins

1) Der Webseiten-Auftritt der XXX verwendet «Social Plugins» des

a) Sozialen Netzwerkes «Facebook», aufrufbar unter facebook.com, das von der Firma Facebook Inc., 1601 S. California Ave., Palo Alto, CA 94304, USA angeboten und betrieben wird. Das Plugin ist mit einem Facebook Logo gekennzeichnet.

b) Sozialen Netzwerkes «Google +», aufrufbar unter plus.google.com, das von der Firma Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA angeboten und betrieben wird. Das Plugin ist mit einem Google + Logo gekennzeichnet.

c) Sozialen Netzwerkes «Twitter», aufrufbar unter twitter.com, das von der Firma Twitter Inc., 795 Folsom St., Suite 600, San Francisco, CA 94107, USA angeboten und betrieben wird. Das Plugin ist mit einem Twitter Logo gekennzeichnet.

 

2) Die Inhalte dieser Plugins werden von diesen Firmen direkt an Ihren Browser übermittelt und von diesem in die Webseite eingebunden. Wenn Sie eine unserer Webseiten aufrufen, die eines oder mehrere dieser Social Plugins enthält, stellt ihr Browser eine direkte Verbindung mit einem oder mehreren Servern einer oder mehrerer der oben genannten Firmen her. Wir haben auf diese Verbindung keinen Einfluss.

 

3) Bei dieser Verbindung können Ihre personenbezogenen Daten betroffen sein. 

a) Sind Sie zum Zeitpunkt oder waren Sie vor dem Zeitpunkt des Aufrufs unseres Webseiten-Auftritts bei einem oder mehreren dieser Sozialen Netzwerke nicht angemeldet, so erhalten diese Firmen dennoch diese personenbezogenen Daten über Sie:

- die IP-Adresse Ihres Rechners

b) Sind Sie zum Zeitpunkt oder waren Sie vor dem Zeitpunkt des Aufrufs unseres Webseiten-Auftritts bei einem oder mehren dieser Sozialen Netzwerke angemeldet, so erhalten diese Firmen diese personenbezogenen Daten über Sie:

- die IP-Adresse Ihres Rechners

- Informationen über das Profil des Nutzers im Social Network (Nutzer-ID)

- andere durch die Sozialen Netzwerke nicht näher benannte browserbezogene Informationen

 

4) Die Sozialen Netzwerke können Ihr Nutzerverhalten im Internet dann Ihrem Nutzer-Konto im entsprechenden Sozialen Netzwerk zuordnen, und die entsprechende Information in Ihrem Profil angezeigen. Es ist den Sozialen Netzwerken dann möglich, ein individuelles Profil über Ihr Nutzerverhalten im Internet zu erstellen.

 

5) Wenn Sie eine solche Datenübermittlung unterbinden möchten, müssen Sie sich vor dem Besuch unseres Internetauftritts unter Ihrem Facebook-Account ausloggen. Sofern Sie sich vor Ihrem Besuch auf unserem Webseiten-Auftritt bei Facebook ausgeloggt haben und die entsprechenden Cookies in Ihrem Browser gelöscht wurden oder Sie Cookie-blockende bzw. -entfernende Erweiterungen Ihres Browser verwenden, ist eine solche Zuordnung nicht mehr möglich.

 

6) Die über Sie erhobenen Informationen werden an einen oder mehrere Server dieser Firmen am entsprechenden Standort in den USA übermittelt und dort gespeichert. 

 

7) Als Betreiber von http://www.XXX.XX haben wir keinen Einfluss auf die technische und inhaltliche Ausgestaltung der Social Plugins. Auch werden in diesem Zusammenhang von uns keine personenbezogenen Daten erhoben, verarbeitet oder genutzt. Die Übermittlung Ihrer personenbezogenen Daten geschieht, ohne dass wir auf diesen Übermittlungsvorgang technischen Einfluss haben.

 

8) Sie können unsere Seite besuchen, ohne Angaben zu Ihrer Person zu machen. Personenbezogene Daten werden nur erhoben, wenn Sie uns diese im Rahmen Ihres Besuchs unseres Internetauftritts freiwillig mitteilen.

 

9) Zweck und Umfang der Datenerhebung durch die Sozialen Netzwerke sowie die dortige weitere Verarbeitung und Nutzung Ihrer Daten wie auch Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatssphäre entnehmen Sie bitte den Datenschutzhinweisen von 

Facebook: https://www.facebook.com/policy.php

Google: http://www.google.com/privacy/privacy-policy.html

Twitter: https://twitter.com/privacy

 

10) Bei Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten sowie bei Auskünften, Berichtigung, Sperrung oder Löschung von Daten wenden Sie sich bitte an:

(Name, Anschrift des Ansprechpartners für Datenschutz, ggf. Datenschutzbeauftragter)

Die datenschutzrechtliche Zulässigkeit ist nach wie vor umstritten. Es ist daher die weitere rechtliche Entwicklung zu beobachten. Bis dahin muss aus datenschutzrechtlicher Sicht von einer Nutzung der Social Plugins abgeraten werden, will man nicht bei den zwei Kernfragen gegen datenschutzrechtliche Normen verstoßen. Letztlich hängt dies aber auch von der genauen Ausgestaltung der technischen Lösung auf der Webseite ab. Gerade Webseiten-Betreiber in Schleswig-Holstein und Niedersachsen sollten eine Anpassung der Social Plugins, insbesondere des like-Buttons von Facebook, dringend in Erwägung ziehen. Neben der Möglichkeit einer Auseinandersetzung mit der Datenschutzaufsichtsbehörde sollten Webseitenbetreiber auch die wettbewerbsrechtliche Seite (Abmahnrisiko) in ihre Entscheidung über den Einsatz von Social Plugins mit einfließen lassen.

---

Philipp E. Fischer, LL.M. (London/Dresden)
Wirtschaftsjurist; Geistiges Eigentum und Datenschutzrecht
Datenschutzbeauftragter und -auditor (TÜV)

 

Herr Philipp E. Fischer, Wirtschaftsjurist mit Sitz in München, absolvierte den Master of Laws (LL.M.) im Schwerpunkt Geistiges Eigentum an der Queen Mary School of Law London und der Technischen Universität Dresden. Neben seiner Teilnahme an Kursen im Computer Law, Cyberspace Law, E-Commerce Law und Privacy and Information Law an den Lehrstühlen von Prof. Ian Walden und Prof. Christopher Millard schrieb Herr Fischer dort eine Abschlussarbeit zum Thema «Will Privacy Law in the 21st Century Be American, European or International?». Seitdem widmet er sich der Entwicklung des Internationalen Datenschutzrechts auch in wissenschaftlichen Beiträgen und Konferenzvorträgen.

 

Nach seiner Tätigkeit für die Firma Amazon.de GmbH (2005) sowie die Anwaltskanzlei mmm&m in Madrid (2006-2007) gründete Herr Fischer eine Beratungsfirma im Sektor E-Commerce- und Datenschutzberatung. Im Jahr 2010 war Herr Fischer als Datenschutzreferent am Max-Planck-Institut für Immaterialgüter- und Wettbewerbsrecht in München im Rahmen des CLIP-Projektes beschäftigt und erhielt ein Stipendium von der Deutschen Gesellschaft für Recht und Informatik (DGRI). 2011 übernahm Herr Fischer den Aufgabenbereich des Datenschutzauditors in der Kanzlei S-S-H Rechtsanwälte in München. Herr Fischer ist offiziell zertifiziert als interner und externer Datenschutzbeauftragter, Datenschutzmanager und Datenschutzauditor (TÜV).
 

---