Wie wir berichteten, bestehen erhebliche datenschutzrechtliche Bedenken bei der Nutzung des Facebook-„Gefällt-mir“-Buttons durch die Betreiber von Homepages oder Fanpages bei Facebook. So sollen hierbei ungefragt umfassende Verkehrs- und Inhaltsdaten an Facebook in die USA übermittelt werden.

Sowohl das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) als auch die Datenschutzbeauftragten der Bundesländer Hamburg, Bremen, Mecklenburg-Vorpommern, Rheinland-Pfalz und Niedersachsen haben daher alle Stellen dazu aufgefordert, dieses Plugin bis zum 30.09.2011 von ihren Homepages bzw. Fanpages zu entfernen. Andernfalls drohen bis zu 50.000 Euro Bußgeld. Um diesem Problem abzuhelfen, bietet sich die „2-Klick-Lösung“ an. Diese datenschutzkonforme Einbindung des „Gefällt-mir“-Buttons haben wir bereits vorgestellt.

Stellungnahme von Facebook

Facebook hat inzwischen zu diesem Thema Stellung bezogen und eingeräumt, dass die Besuchsdaten (Datum, Zeit, URL und Browser) sowohl von Facebook-Nutzern als auch von nicht registrierten Nutzern beim Besuch einer Seite mit „Gefällt-mir“-Button an Facebook übermittelt und in den USA gespeichert werden. Auch die IP-Adresse des jeweiligen Nutzers würde gespeichert. Die IP-Adressen von nicht bei Facebook registrierten Nutzern würden allerdings in der Weise anonymisiert, dass zunächst ermittelt werde, in welchem Land sich der Nutzer aufhalte (durch das sog. Geo-IP Verfahren). Für den Fall, dass sich der Nutzer in Deutschland aufhalte, würde dann aus der individuellen IP-Adresse eine „generische IP-Adresse“ (etwa durch Ersetzen der letzten Ziffern durch „xxx“) erzeugt und nur diese zusammen mit den Besuchsdaten gespeichert.

Unser Fazit

Die von Facebook beschriebene Vorgehensweise kann datenschutzrechtlichen Anforderungen nicht genügen. Denn die IP-Adressen der nicht bei Facebook registrierten Nutzer werden in jedem Fall zunächst in nicht anonymisierter Form an die Server von Facebook in den USA übermittelt, bevor geprüft wird, ob sie zu anonymisieren sind. Dieser Zwischenschritt führt datenschutzrechtlich zu demselben Ergebnis, wie die sofortige und dauerhafte Speicherung von IP-Adressen und deren Verknüpfung mit den Besuchsdaten. Facebooks Datenschutzbemühungen greifen hier daher (wieder mal) zu kurz.