Internetrecht

Facebook Gefällt mir -Button verstößt gegen Datenschutz

Das Landgericht Düsseldorf hat in einem Verfahren gegen den Bekleidungshersteller Peek & Cloppenburg der Verbraucherzentrale NRW weitestgehend recht gegeben. Verbraucherschützer bemängeln bereits seit langem insbesondere den fehlenden Datenschutz beim Facebook Gefällt mir -Button. Nun entschieden die Düsseldorfer Richter, dass sofern Unternehmen ein Gefällt mir -Plugin auf der eigenen Internetseite installiert haben, die dadurch gesammelten Kundendaten nicht ohne die ausdrückliche Zustimmung des Nutzers an Facebook weitergegeben werden dürfen. Für tausende Internetseiten in Deutschland besteht nun rascher Handlungsbedarf, meint  IT-Anwalt Christian Solmecke.

Die Verbraucherzentrale NRW hatte gegen den Bekleidungsriesen Peek & Cloppenburg Klage eingereicht, da über das Gefällt mir -Plugin bereits beim einfachen Aufrufen der Konzerneigenen Webseite Fashion-ID Daten über das Surfverhalten eines jeden Nutzers an Facebook weitergegeben wurden.

Der Kölner IT-Anwalt Christian Solmecke sah bereits im Vorfeld gute Chancen dafür, dass sich die Verbraucherzentrale NRW mit ihrer Ansicht in dem Verfahren durchsetzt: „Der Facebook Gefällt mir -Button hat die Besonderheit, dass er nicht auf Facebook selbst sondern auf tausenden Webseiten von Privatpersonen und Unternehmen zu finden ist. Schon beim Besuch dieser Seiten werden automatisch Daten der Besucher (zum Beispiel die IP-Adresse) an Facebook übertragen. Der Nutzer bekommt von diesem Übertragungsvorgang in der Regel nichts mit. Nach geltendem deutschem Datenschutzrecht müssen Nutzer allerdings informiert werden, wenn ihre persönlichen Daten an Dritte übertragen werden.“

LG Düsseldorf zum Facebook Gefällt mir -Button: Kundendaten dürfen nicht ohne Zustimmung des Nutzers weitergegeben werden

Die Richter am Landgericht Düsseldorf teilten die Ansicht und entschieden in dieselbe Richtung. Sollten Unternehmen ein Gefällt mir -Plugin auf der eigenen Internetseite installiert haben, so dürfen die dadurch gesammelten Kundendaten nicht ohne die ausdrückliche Zustimmung des Nutzers an Facebook weitergegeben werden, lautet es in der Urteilsbegründung. Unternehmen wie Peek & Cloppenburg müssen die Nutzer über die Weitergabe von Daten aufklären. Die Installation des Facebook Gefällt mir -Buttons verletze Datenschutzvorschriften, so die Richter, da dadurch unter anderem die IP-Adresse des Nutzers ohne dessen ausdrückliche Zustimmung an Facebook weitergeleitet werde.

Nutzer erfahren nichts über eine Datenweitergabe

Christian Solmecke: „Die Nutzer erfahren von der Daten-Verwertung zu Werbezwecken selbstverständlich nichts. Und: Nutzer müssen für die Datenweitergabe nicht einmal selbst beim Social-Media Giganten Facebook registriert sein. Ein klarer Verstoß gegen das deutsche Datenschutzgesetz.“

Das sieht auch die Verbraucherzentrale seit langem so. Bereits in der Vergangenheit mahnte die Verbraucherzentrale NRW daher im großen Stil diverse Unternehmen ab. Betroffen waren dabei die Hotelbuchungsplattform HRS, Beiersdorf und seine Marke Nivea, Payback, der Tickethändler Eventim sowie die Modehäuser Peek & Cloppenburg und KIK.

Zum Hintergrund: Das ist der Gefällt mir –Button

Facebook setzt mit dem Gefällt mir –Button Cookies auf die Computer der Seitenbesucher. Dadurch werden die individuellen Nutzerdaten automatisch an Facebook weitergeleitet, da der Internetbrowser eine Verbindung mit den Servern des Facebook Netzwerks aufbaut. Nutzer die im Internet nach Reisen, Fernsehern, Tickets oder eben nach Kleidung wie bei Peek & Cloppenburg suchen rechnen nicht damit, dass diese Aktivitäten sofort an Facebook weitergeleitet und vom Konzern mitgelesen werden. Der Besuch einer Internetseite mit integriertem Gefällt mir -Button bedeutet jedoch nicht zwangsläufig, dass sich Internetnutzer mit der Speicherung und Auswertung Ihres Surfverhaltens einverstanden erklären. In der Praxis können mit Hilfe der gesetzten Cookies einmal registrierte IP-Adressen wiedererkannt- und so anonyme Surfprofile der Nutzer erstellt werden.

Was ist den Unternehmen zu raten?

Unternehmen, die den Like Button nutzen, sollten – sofern sie diesen nicht entfernen möchten – die sogenannte Zwei-Klick-Lösung anwenden. Bei diesem Verfahren wird zunächst nur ein Bild des Facebook-Like Buttons eingebunden. Klickt der Nutzer auf das Bild, wird zunächst eine Datenschutzerklärung angezeigt. Erst nachdem der Nutzer diese Daten zur Kenntnis genommen und bestätigt hat, wird der echte Button nachgeladen.

Alternativ können Unternehmen die Shariff-Button-Lösung verwendet. Im Gegensatz zur Zwei-Klick-Lösung reicht hier ein einziger Button-Klick, um die gewünschten Informationen mit anderen zu teilen. Beim Shariff-Button wird erst ein Kontakt zwischen Facebook und dem Nutzer hergestellt, wenn der Nutzer bewusst und aktiv auf den Button klickt und nicht bereits beim alleinigen Seitenaufruf.

Rechtsanwalt Christian Solmecke sieht allerdings noch einen Haken: „Theoretisch müssten die Datenschutzerklärungen mitteilen, was Facebook und Co. mit den übermittelten Daten machen. Das weiß allerdings niemand, sodass auch diese Datenschutzerklärungen streng genommen nicht den Anforderungen des Datenschutzgesetzes genügen. Mir ist allerdings kein einziger Fall bekannt, in dem die Verbraucherschützer oder Aufsichtsbehörden gegen die Verwender dieser Zwei-Klick-Lösung vorgegangen sind. Unternehmen, die auf der ganz sicheren Seite sein wollen, sollten den Facebook-Like-Button gar nicht erst auf der Unternehmenswebseite einbauen, sondern von dort lediglich auf ihre Facebook Fan Page verlinken. Auf diese Weise findet überhaupt keine Übertragung von Daten der Nutzer statt.“

Entscheidung des LG Düsseldorf hat nicht nur Auswirkung auf den Facebook-Like-Button

Nun besteht für tausende Internetseiten in Deutschland ein sehr rascher Handlungsbedarf. „Die Entscheidung des LG Düsseldorf kann nun zudem Auswirkungen auf alle Social Plugins haben“, erklärt RA Solmecke: „ Die Knöpfe von Google, Twitter und Pinterest funktionieren nach einem ähnlichen Prinzip. Bereits beim Aufruf der Internetseite werden Nutzerdaten an die sozialen Netzwerke übertragen. Sind die Nutzer bei diesen Netzwerken schon eingeloggt, so kann immer ganz genau nachvollzogen werden, welche Internetseiten von diesen Nutzern besucht worden sind. Es entsteht de facto eine Überwachung der Nutzer im Netz, die den Verbraucherschützern ein Dorn im Auge ist.“

(ToS)

Christian Solmecke ist Partner der Kanzlei WILDE BEUGER SOLMECKE und inbesondere in den Bereichen des IT-, des Medien- und des Internetrechts tätig. Darüber hinaus ist er Autor zahlreicher juristischer Fachveröffentlichungen in diesen Bereichen.

Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 Bewertungen, Durchschnitt: 5,00 von 5)

RSSKommentare (6)

Kommentar schreiben | Trackback URL

  1. René Datenschutz sagt:

    Ähm, damit wäre faktisch Werbung verboten, wenn diese extern gehostet wird, was zu 90% der Fall ist, da ich um die Werbung zu laden ja auch auf deren Servern zugreife ohne dass ich mich ausdrücklich damit einverstanden erklärt habe, das gleiche gilt für eingebundene Videos, Bilder oder andere Applikationen.

    Noch nichtmal das JQuery Framework darf dann extern eingebunden werden und ihr verkündet das erstmal mit Symbolik mit einem eingebundenen Video 😀

  2. Boris sagt:

    Der FB-Share Button überträgt in etwa die selben Daten wie der FB Like Button.
    Da stellt sich mir grade die Frage, warum ist die Opt-In Variante nicht in Ihrem FB-Teilen Button integriert?

    Anyway, Vielen Dank für den Beitrag 🙂

  3. DJ sagt:

    Naja Eigentlich ist damit auch SPAM-Schutz wie „recaptcha“, oder wie oben erwähnt das komplette Dynamische Internet als solches „Einbettungen oder Querverweise Illegal “ oder ? Ich vermute dieses Urteil hat größere Ausmaße als wir bisher auf den ersten blick sehen.

  4. Thomas sagt:

    Wie verhält es sich eigentlich mit der Darstellung der Share-Buttons via ADDthis-Plugin?

  5. Thomas sagt:

    Nachtrag:
    Fällt unter die Problematik der Page-Plugins auch die Timeline von twitter, dieman in seine Homepage einbauen kann.
    hierm werden ja eigentlich nur tweets gestreamt, allerdings sind auch Buttons oder Links zum Selber-Tweeten integriert und innhalb der Timeline sind ja auch die Like und Retweet-Funktionen aktiv???

  6. Stefan F sagt:

    Diese Entscheidung hat unfassbare Auswirkungen auf das Internet wie wir es kennen. Kaum eine Seite sendet keine Userdaten an externe Dienstleister – vorausgesetzt natürlich man betrachtet die IP-Adresse als „Übertragung von Nutzerdaten“, was zumindest in Düsseldorf wohl so entschieden wurde.

    Die IP wird bei jeder Verbindung zu einem externen Server übertragen, das ist schließlich die Aufgabe dieser ominösen IP. Auch die IP-Anonymisierung in Google Analytics betrifft nur die Speicherung, nicht aber die Übertragung.

    Als Websitebetreiber bleiben eigentlich nur zwei Möglichkeiten: 1) komplett auf externe Resourcen verzichten oder 2) externe Resourcen über einen eigenen Proxy zu laden.

    Option 1) ist kaum zu realisieren da ein Großteil der freien Webseiten auf Werbung angewiesen sind. Hier müsste der Websitebetreiber das komplette Hosting der Werbematerialen usw. übernehmen was in der Praxis nicht realisierbar ist, da meist überhaupt kein direkter Kontakt zwischen Werbenden und Betreiber vorhergegangen ist. Dazu kommen noch Services wie Google Analytics, Social Sharing, Disqus, Gravatar, Image oder Webfont Hosting Provider, Content Delivery Networks (CDNs) usw. All diese Services sind von diesem Urteil betroffen.

    Option 2) ist technisch nicht ganz einfach. Während es bei Webfonts, Bildern und anderen statischen Inhalten noch einigermaßen einfach ist wird es besonders bei JavaScript Inhalten schon sehr schwierig. Prinzipiell würde es aber funktionieren.

    Noch ein wichtiger Punkt kommt aber hinzu. Selbst bei einem einfachen Seitenaufruf ohne exterene Inhalte wird die IP Adresse an Infrastruktur-Dienstleister übertragen. Das sind vornehmlich ISPs auf der Nutzerseite aber vorallem auch Server-Hosting-Provider auf der anderen. Gerade Amazon Web Services (AWS) ist da zu nennen. Auf AWS laufen Seiten wie Netflix, Dropbox, Reddit und viele mehr. Bei jedem Aufruf einer Seite oder eines Videos auf Netflix wird die IP Adresse also an Amazon übertragen, was damit abmahnbar wäre. Das betrifft aber natürlich nicht nur AWS sondern sämtlich Webhosting Dienstleister. Einigermaßen verhindern lässt sich das nur durch den durchgehenden Einsatz von Verschlüsselung, sprich HTTPS. Aber auch das ist kein Allheilmittel. Beim Hosting in der Cloud oder wenn der Server nicht vom Websitebetreiber kontrolliert wird – was in der Realität meistens so ist – ist auch eine verschlüsselte IP irgendwann wieder lesbar.

    Viele andere Fragen bleiben unbeantwortet: Was ist zum Beispiel mit den Millionen Seiten auf WordPress? Muss ich den Nutzer darüber informieren, dass die IP an WordPress übertragen wird? Und wie soll ich das machen ohne die Adresse zuvor an WordPress zu übertragen?

    Ganz ehrlich, jedes mal wenn ich eine Cookie-Warnung bestätigen muss möchte ich einen „Datenschützer“ mit einem nassen Handtuch prügeln. Aber das hier … das ist nochmal eine ganz andere Dimension.

Kommentar schreiben

Mit dem Absenden des Kommentars erklären Sie sich mit den Datenschutzbestimmungen einverstanden.

Jetzt unseren Newsletter abonnieren

E-Mail-Adresse eingeben und immer auf dem Laufenden bleiben:
×