Der Bekanntheitsgrad einer Website ist die entscheidende Voraussetzung für erfolgreiches Business im Internet. Gerade bei einer Unternehmensgründung stellt sich die Frage, wie die eigene Webpräsenz von möglichst vielen Nutzern gefunden und weiter verbreitet wird. Webanalysetools, Social-Plugins sowie Fanpages stehen hier für erfolgssteigernde Komponenten. Diese standen aufgrund von Datenschutz-Fragen zuletzt allerdings in der Verbotsdiskussion. Dem Gründer stellt sich die Frage, wie man mit solchen Entscheidungen umgehen soll. Lieber kein Risiko eingehen und sich aus den Web-2.0-Inhalten heraushalten oder Augen zu und weitermachen? Neben ordnungsbehördlichen Maßnahmen besteht die Gefahr, von Wettbewerbern abgemahnt zu werden. Dieser Beitrag bietet eine Entscheidungshilfe und zeigt die wesentlichen Kritikpunkte der Datenschützer auf.
Webanalysetools und Facebook-Plugins im Fokus des Datenschutzes
Analysetools helfen zu erkennen, wie die eigene Website genutzt wird. Inzwischen haben die deutschen Datenschutzaufsichten entschieden, dass auch unentgeltliche Analysetools wie Google Analytics datenschutzrechtlich zulässig genutzt werden dürfen, obwohl sie aus den USA betrieben werden. Google Analytics war mit der Gestaltung seines Dienstes den Forderungen der deutschen Aufsichten entgegen gekommen.
Doch schon taucht ein neues Ungemach am Horizont auf: Neben der klassischen Suchmaschinenoptimierung (SEO) gehören Social-Plugins von Facebook, Google, Twitter und Facebook Fanpages zum derzeitigen Standard und sind in der Praxis kaum noch wegzudenken. Kaum zu fassen war für einen Schleswig-Holsteiner Websitebetreiber ein Verbot im August 2011, welches der schleswig-holsteinische Beauftragte für den Datenschutz, Thilo Weichert, ankündigte. Fanpages bei Facebook und Social-Plugins wie der „Gefällt mir“-Button („Like“-Button) sollten abgeschaltet werden. Website-Betreiber wurden aufgefordert, bis Ende September 2011 entsprechende Dienste zu deaktivieren.
Weshalb wird der „Like“-Button von Datenschützern kritisiert?
Die Aufsicht stützt ihre Aufforderung vor allem auf das Telemediengesetz (TMG), die Rechtsbibel für das Internet. Die Argumente der Aufsicht zeigen, dass ihr Verbot nicht einfach ignoriert werden kann.
Im Kern geht es um die Frage, ob die mit Social-Plugins und Fanpages einhergehende Übermittlung von Nutzerdaten in Drittländer (häufig die USA) ohne die – faktisch kaum zu erlangende – ausdrückliche Einwilligung des Nutzers zulässig ist. Die schleswig-holsteinische Aufsicht ist der Auffassung, dass allein durch die Zustimmung zu Facebooks Datenschutzerklärung durch registrierte Nutzer die Datenweitergabe nicht erlaubt sei. Es fehle an hinreichend konkreten Informationen. Dem Nutzer werde durch die Erklärung nicht deutlich, welche Daten Facebook bei der Verwendung der Plugins erhält. Deshalb bleibe nur die Einwilligung des Nutzers in die Weitergabe der Daten.
Dies führt jedoch in der Praxis zu der kaum umsetzbaren Forderung, dass der Nutzer vor dem Anklicken des „Like“-Buttons zunächst die Zustimmung der Nutzer abzufragen hat (sogenannte „Zwei-Klick-Lösung“). Der „Like“-Button darf danach nicht – wie heute üblich – gesetzt werden. Vielmehr muss erst eine Schaltfläche bestätigt werden, die zum „Like“-Button führt. Ein schwerfälliges Vorgehen und obendrein von Facebook als Verstoß gegen deren AGB nicht akzeptiert.
Dennoch gibt es bisher keine anerkannte Lösung, das Erfordernis einer Einwilligung zu umgehen. Die Auffassung der Schleswig-Holsteiner Aufsicht wird von vielen Experten geteilt. Ohne explizite Einwilligung in die Datenübertragung an Facebook bleibe diese unzulässig. Ein Verweis auf die Datenschutzerklärung der eigenen Webpräsenz scheide mangels Transparenz aus.
Ein weiterer Kritikpunkt ist der Einsatz von Cookies durch den „Like“-Button. Facebook setzt ein permanentes Cookie namens „datr“ mit einer Lebensdauer von mindestens zwei Jahren ein. Dieses wird auch bei nicht angemeldeten Nutzern mit einer ID versehen, die Facebook die Wiedererkennbarkeit ermöglicht. Auch über diese Profilbildung wird der Websitebesucher weder informiert noch wird seine Einwilligung eingeholt. Aus diesem Grund wird auch dieses Verfahren als unzulässig eingestuft.
Warum sind auch Fanpages unzulässig?
Hauptkritikpunkt der Fanpages sind die mangelnden Informationspflichten der Unternehmen. Jede deutsche Website muss nach § 5 TMG Angaben zu deren Inhaber machen, um eine schnelle Kontaktaufnahme zu ermöglichen („Impressumpflicht“). Da die Betreiber einer Fanpage als Verantwortliche angesehen werden, erstreckt sich die Pflicht auch auf den dortigen Auftritt. Der bloße Verweis auf die Datenschutzbestimmungen Facebooks genügt nach Ansicht der Aufsicht in Kiel nicht.
Daneben wird das Verhalten der Fanpage-Besucher durch Facebook analysiert und mit Hilfe des Dienstes „Insights“ für die Fanpage-Inhaber ausgewertet. Auch darüber gäbe es keine hinreichende Aufklärung in der Datenschutzerklärung, was nach Einschätzung der Aufsicht ebenfalls zur Unzulässigkeit der Fanpage führe. Den Nutzern fehle auch die Möglichkeit, gegen die Analyse ihres Surfverhaltens zu widersprechen. Dieses Recht ist in § 13 Abs. 4 TMG normiert.
Werden überhaupt personenbezogene Daten verarbeitet?
Nicht unumstritten ist der Personenbezug der übermittelten Daten an Facebook. Facebook selbst erhebt und verarbeitet zweifelsohne personenbezogene Daten innerhalb des Netzwerks. Doch beim Plugin geht es um die Verantwortlichkeit der Unternehmen, die diese setzen und damit die Weiterleitung von Browserdaten wie der IP-Adresse ermöglichen. Name und weitere Personenmerkmale werden nicht übermittelt, können jedoch von Facebook gegebenenfalls identifiziert werden.
Die europäischen und deutschen Datenschutzbehörden halten bereits die Übermittlung der – auch dynamischen – IP-Adresse für datenschutzrelevant, da anhand der IP-Adresse der dahinter stehende Nutzer über den Provider identifiziert werden kann. Hierzu gibt es erste untergerichtliche Entscheidungen, die sich sowohl für als auch gegen die Personenbeziehbarkeit von IP-Adressen aussprechen. Auch wenn gegenläufige Ansichten vertreten werden, sollte man die Auffassung der Aufsichtsbehörden berücksichtigen. Folge: Das Bundesdatenschutzgesetz (BDSG) und die Datenschutzbestimmungen des TMG finden bereits bei der Übermittlung der IP-Adresse Anwendung.
Warum sind die Unternehmen für Facebook-Dienste verantwortlich?
Tatsächlich ist dieser Punkt der umstrittenste. Die Aufsicht vertritt die Auffassung, dass diejenige Stelle verantwortlich für die Datenverwendung ist, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Vor diesem Hintergrund sei ein Unternehmen als Nutzer des Dienstes Facebook als Mitverantwortlicher anzusehen, soweit es z. B. personenbezogene Inhalte Dritter einstelle.
Dieser Auffassung wird entgegengehalten, dass die Unternehmen durch die bloße Einbindung eines HTML-Codes nicht für die dahinterstehende Verarbeitung des Dritten verantwortlich seien. Käme man zu dieser Annahme, wäre jegliche Verlinkung auf fremde Webseiten unzulässig, wenn der dahinter stehende Content nicht mit deutschem Datenschutzrecht einherginge.
Nach dieser Ansicht fehlt es bereits an einer Datenverarbeitung im Sinne des Datenschutzrechts. Es bestehen also Zweifel an der Verantwortlichkeit der Unternehmen, denn nicht das Unternehmen, sondern Facebook hat die Kontrolle über die erhobenen Daten. Letzten Endes wird dies durch ein Gericht geklärt werden müssen.
Muss ich mit Abmahnungen rechnen?
Fehlende Informationspflichten auf Websites nach dem TMG können von Mittbewerbern abgemahnt werden. Das Landgericht Aschaffenburg hat dies nun erstmalig auch für die Impressumpflicht auf Facebook bestätigt (Urteil vom 19.08.2011, Az.: 2 HK O 54/11). Ein Medienunternehmen hatte gegen einen Konkurrenten geklagt, da das Unternehmen auf seiner Facebook-Fanpage kein juristisch korrektes Impressum aufgeführt hatte. Dieser wettbewerbsrechtliche Verstoß wurde von den Richtern anerkannt, und es wurde betont, dass die Impressumpflicht für alle gesellschaftlich genutzten Seiten im Netz gelte. Hierzu zähle auch der Auftritt in sozialen Netzwerken. Ein versteckter Verweis auf die Firmenhomepage genüge diesen Anforderungen nicht.
Neben einem Bußgeldbescheid bei Sitz des Unternehmens in Schleswig-Holstein könnten sich also auch bekannte Abmahnanwälte auf den Weg machen, die unklare Rechtslage auszunutzen, um Ihrem Unternehmen unnötige Kosten zu verursachen. Fanpage-Betreiber sollen daher umgehend ihre Angaben bei Facebook überprüfen und den Anforderungen des § 5 TMG entsprechend anpassen.
Daneben könnte auch die Einbindung des „Like“-Buttons zur Abmahnung eines Konkurrenten führen. Dies gilt insbesondere dann, wenn es an einem Hinweis in der Datenschutzerklärung des Unternehmens fehlt. Allerdings sind sich auch hierzu die Gerichte uneinig, ob die mangelnde Aufklärung tatsächlich einen hinreichenden Wettbewerbsbezug darstellt. Konkrete Unterlassungsansprüche wurden bisher immerhin nicht gerichtlich festgestellt.
Fazit und Lösungsvorschläge
Zumindest die Datenschutzerklärung sollte detailliert darauf überprüft sein, ob über gegebenenfalls genutzte Social-Plugins hinreichend informiert wird. Fehler können zu ärgerlichen Abmahnungen führen, die nicht nur Kosten verursachen, sondern auch mit Vertragsstrafeerklärungen einhergehen.
Auch beim Betrieb einer Fanpage sollte so gut wie möglich das Datenschutzrecht erfüllt werden – jedenfalls durch Informationen in der Datenschutzerklärung. Dazu gehört auch, das Impressum auf der Fanpage aufzunehmen. Das gelingt mittels zulässigen Verweises. Unter der Rubrik „Info“ geben Sie im Formularfeld „Info“ den Link zum Impressum Ihrer allgemeinen Websitepräsenz ein. Dann erscheint auf der Startseite der Fanpage typischerweise auch das Stichwort Impressum, auf das es dem Landgericht Aschaffenburg ankommt.
Beachten Sie noch: Im Impressum Ihrer allgemeinen Websitepräsenz ist darauf hinzuweisen, dass dieses Impressum auch für die Fanpage bei Facebook gilt. Über ein vollständiges Abstandnehmen von Social-Plugins und Fanpages muss jedes Unternehmen selbst entscheiden. Die vorgenannten Stichworte sollten Ihnen dabei eine Hilfe sein.