Vor einiger Zeit hat der Einsatz des sogenannten Like Button eine weit reichende Diskussion zur datenschutzrechtlichen Zulässigkeit dieser Funktion ausgelöst. Die datenschutzrechtliche Relevanz resultiert dabei daraus, dass personenbezogene Daten zwischen der Webseite, die den Like Button einbindet und Facebook ausgetauscht werden, ohne dass eine entsprechende datenschutzrechtliche Legitimation vorliegt. Seinerzeit hatten auch die Datenschutzbehörden reagiert.
In vielen Fällen wird nicht gesehen, dass sich die identische Problematik bei vielen anderen Diensten von Facebook & Co (sogenannten Social Plugins) ebenso stellt.
Der nachfolgende Beitrag beschäftig sich deshalb mit der datenschutzrechtlichen Zulässigkeit des sogenannten Facebook Logins, einem Angebot von Facebook, das es Betreibern von eigenen Präsenzen (z.B. Internetshops) ermöglicht, Nutzer zu personalisieren, indem sich diese mittels ihrer Facebook-Kontakdaten bei der eigenen Webseite registrieren. Dabei werden von Facebook Nutzerdaten inklusive der Freundeslisten an den Anbieter, der die Registrierung via „Facebook-Login“ zulässt, übertragen (weitere Details im Developer Bereich).
Ob es für die Rechtmäßigkeit genügt, allein in den allgemeinen Datenschutzbestimmungen darauf zu verweisen, dass auch Facebook Daten verarbeitet, wie dies vielfach aktuelle Praxis ist, dürfte im Hinblick auf den Umfang der Daten, die hierbei übermittelt werden, datenschutzrechtlich äußerst fraglich sein.
Auch wenn der Facebook Login es Nutzern sehr einfach und unkompliziert macht, fremde Internetangebote zu nutzen, ohne selbst umfangreich Persönliches angeben zu müssen und insofern einige Vorteile bietet und offensichtlich auch die Verweildauer erhöht, ist den meisten Verwendern wohl kaum bewußt, welche Daten wann und wie weitergegeben werden.
A. Funktionsweise des Facebook Login
Mit dem „Facebook-Login” wird dem Nutzer eine vereinfachte Authentifizierung bei Online-Angeboten Dritter durch die Verwendung seiner Facebook-Kontaktinformationen ermöglicht. Formuliertes Ziel ist es, die Angebote auf anderen Seiten „sozialer” zu gestalten und so ein verbessertes Nutzererlebnis zu ermöglichen. Der Einzelne soll sich auf verschiedenen Internetseiten mit derselben Identität bewegen können. Nicht der sich anmeldende Nutzer gibt seine persönlichen Angaben unmittelbar ein, sondern Facebook übermittelt diese an den Webseitenbetreiber. Dieser verarbeitet dann im Rahmen seines Angebots die Daten, die ihm von Facebook übermittelt wurden. Sodann werden Daten, die bei der Nutzung des Internetangebots entstehen, wiederum zurück an Facebook übertragen.
B. Die Datenschutzbestimmungen von Facebook
In den Datenschutzbestimmungen von Facebook wird hinsichtlich der Daten erklärt:
„Wenn du dich mittels Facebook anmeldest, leiten wir deine Nutzerkennnummer an die betreffende Webseite weiter (…), wir teilen im Rahmen dieses Prozesses jedoch nicht ohne deine Erlaubnis deine E-Mail-Adresse oder dein Passwort mit dieser Webseite.“
Es würden nur die Daten, die im „öffentlichen Profil“ gespeichert sind, übermittelt. Zu diesen zählt das Netzwerk sowohl die Informationen, die „auf eigenen Wunsch öffentlich zugänglich“ sind als auch „diejenigen Daten, die immer öffentlich zugänglich sind“. Das sind Name, Profil- und Titelbilder, Nutzername und Nutzerkennung. Daneben werden auch die „Nutzerkennnummern deiner Freunde“ (die Freundesliste) übermittelt. Dies diene dazu, „dass die Anwendung dein Nutzungserlebnis umfeldorientierter gestalten kann, weil du dadurch deine Freunde innerhalb der Anwendung auffinden kannst“. Facebook weist sodann darauf hin , dass durch die Einstellungen, was öffentlich zugänglich sein soll und was nicht, die Verarbeitung der meisten Informationen kontrolliert werden könne.
C. Datenschutzrechtliche Fragen
Datenschutzrechtliche Fragen des „Facebook-Login“ wurden bislang allein im Kontext der Einführung des Musikanbieters „Spotify“ diskutiert. Hier wurde vornehmlich kritisiert, dass der Zugang zunächst ausschließlich über Facebook möglich war, damit eine pseudonyme Nutzung nicht möglich sei und zudem grundsätzlich Bedenken gegen die Datenverarbeitung durch Facebook bestünden. Zwischenzeitlich hat sich ein zweigleisiges Verfahren etabliert: alternativ zum „Facebook-Login“ kann man sich – bei „Spotify“ wie auch bei zahlreichen anderen Anwendungen -– auch „klassisch“ registrieren. Damit sind jedoch nicht sämtliche rechtlichen Bedenken ausgeräumt.
D. Personenbezug des „öffentlichen Profils“
Bei den übermittelten Daten handelt es sich um „personenbezogene Daten“ im Sinne des § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG), da sowohl die öffentlichen Nutzerinformationen als auch die in einer Freundesliste enthaltenen Angaben die persönlichen Verhältnisse einer bestimmbaren Person betreffen.
Grundsätzlich gilt daher, dass die Verarbeitung nur zulässig ist, wenn ein Erlaubnistatbestand erfüllt ist. Also entweder eine gesetzliche Bestimmung die Datenverarbeitung erlaubt oder der Betroffene eingewilligt hat.
E. Verantwortlichkeit für die Datenverarbeitung des Facebook Login
Wer für die Datenverarbeitung des Login verantwortlich ist und ob überhaupt deutsches Datenschutzrecht anwendbar ist, hängt zunächst davon ab, wer beim Einsatz des Login-Tools als „verantwortliche Stelle“ im Sinne des § 3 Abs.7 BDSG anzusehen ist.
Im Hinblick darauf, dass es sich um ein Angebot handelt, welches Facebook konzeptioniert hat, könnte man zunächst meinen, dass verantwortliche Stelle allein das soziale Netzwerk ist, und Angebote, die den Login nutzen, Daten im Auftrag von Facebook verarbeiten.
Genau genommen ist es aber genau anders herum: Nicht das Internetangebot verarbeitet Daten für Facebook, sondern eigentlich will der Anbieter, der die Registrierung via „Facebook-Login“ ermöglicht, primär die Daten von Facebook für seinen eigenen Dienst nutzen. Es handelt sich damit letztlich um eine Funktionsübertragung mit der Folge, dass wohl beide beteiligten Parteien – sprich der Webseitenbetreiber und Facebook – voll für die Verarbeitung verantwortlich sind.
Nach der Verwendung des Facebook Logins durch den Nutzer (siehe 1) folgen prinzipiell vier einzelne rechtfertigungsbedürftige Schritte des Umgangs mit Nutzerdaten:
Die Übermittlung der Nutzerdaten von Facebook an den Webseitenbetreiber (siehe 2), dessen Verarbeitung (siehe 3), die Zurückübermittlung der hinzugewonnenen Kenntnisse an Facebook (siehe 4), und schließlich deren Verarbeitung durch Facebook (siehe 5).
Für den zweiten und fünften Schritt muss eine Rechtsgrundlage im Verhältnis zwischen Facebook und dem Nutzer vorliegen. Für den dritten und vierten Schritt hängt die Rechtmäßigkeit davon ab, ob der Webseitenbetreiber gegenüber dem Nutzer eine Rechtfertigung vorweisen kann.
Daraus folgt, dass der Webseitenbetreiber, der den Zugang über den Facebook Login ermöglicht, benötigt daher für die Verarbeitung der Daten eine gesetzliche Ermächtigung (siehe nachfolgend F.) oder eine Einwilligung des Nutzers (siehe nachfolgend G.).
F. Gesetzliche Legitimation des Facebook Login
Da über den Facebook Login unterschiedlichste Daten (Bestands-, Nutzungs- und Inhaltsdaten) übermittelt werden, die auch nicht alle für die Inanspruchnahme des jeweiligen Dienstes erforderlich sind, wird sich eine Legitimation über § 14 Abs. 1 TMG oder § 15 TMG nicht argumentieren lassen.
Auch das Bundesdatenschutzgesetz weist keine gesetzlichen Legitimationstatbestände auf, die die unterschiedlichen Datenverarbeitungsvorgänge für die unterschiedlichen Daten umfassend rechtfertigen können.
G. Einwilligung durch Nutzung des Facebook-Login
Vereinzelt wird jedoch darauf hingewiesen, dass der Nutzer, der den Facebook Login verwendet, ja genau diese Art Legitimation über „sein“ Facebook Konto wünsche und insofern damit natürlich auch im datenschutzrechtlichen Sinne einverstanden sei. Insoweit stellt sich allerdings die Frage, ob die Datenverarbeitung durch den Facebook Login tatsächlich auf Grund einer Einwilligung des Nutzers gemäß § 4a Abs. 1 BDSG gerechtfertigt ist.
Tatsächlich erklärt sich das Mitglied eines sozialen Netzwerks bei der Anmeldung im jeweiligen Netzwerk in der Regel auch mit der Geltung der Nutzungsbestimmungen und auch der Datenschutzerklärung einverstanden. Zwingende Voraussetzung einer wirksamen Einwilligungserklärung ist allerdings, dass es sich um eine aufgeklärte Willenserklärung handelt. Sie muss freiwillig, für den konkreten Fall und mit entsprechender Kenntnis der Sachlage erfolgen (§ 4a Abs. 1 BDSG). Diese Regelungen sind Ausdruck des datenschutzrechtlichen Transparenzgebots und sind wegen dessen überragender Bedeutung nicht abdingbar.
Nicht zuletzt aufgrund der Komplexität und der unübersichtlichen Gestaltung der entsprechenden Bedingungen bei Facebook (siehe etwa die Datenverwendungsrichtlinien), kann faktisch aber wohl kaum davon ausgegangen werden, dass die Mitglieder von Facebook wirklich wissen, welche Daten wann an wen übermittelt werden.
Auf Grundlage der (diskutablen) Entscheidung des OVG Schleswig-Holstein ist allerdings bezüglich Facebook zumindest fraglich, ob deutsches Datenschutzrecht für die Datenverarbeitung des Sozialen Netzwerks selbst überhaupt anwendbar ist.
Im Hinblick auf den Webseitenbetreiber, der die Facebook Login Funktion einbindet, wird jedoch von deutschem Datenschutzrecht ausgegangen werden können und damit von der Verpflichtung eine datenschutzkonforme Einbindung des entsprechenden Social Plugins sicherzustellen.
H. Ergebnis und Handlungsempfehlungen
Mangels hinreichender Transparenz der Datenschutzbestimmungen von Facebook, bestehen also erhebliche Bedenken gegen die Annahme, dass bereits mit der Mitgliedschaft bei Facebook eine wirksame Einwilligung in die Datenverarbeitung vorliegt. Auch kann die Verwendung des Login-Tools nicht als Einverständnis gewertet werden. Für eine aufgeklärte Einwilligung genügt es nicht lediglich in den Datenschutzbestimmungen auf die Nutzungsbedingungen von Facebook zu verweisen.
Für einen datenschutzkonformen Einsatz des Login-Tools empfiehlt es sich daher, dass vor dem Abschluss des Registrierungsvorgangs via „Facebook-Login“ der Nutzer über eine eigene zustimmungsplichtige Datenschutzerklärung (Opt-In) informiert wird, welche Daten in der Folge von dem sozialen Netzwerk und an dieses übermittelt werden.
Dieses Ergebnis legt auch die Entschließung der 85.Konferenz der Datenschutzbeauftragten des Bundes und der Länder „Soziale Netzwerke brauchen Leitplanken“ nahe. In der am 15. 3 2013 verabschiedeten „Orientierungshilfe Soziale Netzwerke“ gehen die Datenschutzbeauftragten davon aus, dass die Einbindung von Social Plug-Ins auf Webseiten deutscher Anbieter unzulässig ist, wenn diese automatisch eine Datenübertragung an den jeweiligen Anbieter auslöst und die Internetznutzer nicht hinreichend vorher darüber informiert wurden.
Idealerweise sollte auch die Möglichkeit eingeräumt werden, dass der sich registrierende Kunde selbst entscheiden kann welche Daten übermittelt werden sollen – ob etwa auch die Freundesliste übermittelt werden soll.
Abhängig davon, ob und in welchem Ausmß die jeweilige Funktion personenbezogene Daten weitergibt, stellen sich die obenstehenden datenschutzrechtluchen Fragen in unterschiedlichem Ausmaß bei sämtlichen nachfolgenden Facebook Plugins:
- Like Button
- Send Button
- Follow Button
- Comments
- Share Dialog
- Activity Feed
- Recommendations Box
- Recommendations Bar
- Like Box
- Login Button
- Registration
- Facepile
I. Fazit
Die Einbindung des „Facebook-Logins“ auf deutschen Webseiten führt ein datenschutzrechtliches Dilemma zu Tage: Der Einzelne hat kaum noch die Kontrolle über seine Daten – denn kaum einer wird wissen, welche Daten übermittelt werden.
Der Schutz informationeller Selbstbestimmung zu dem die deutschen Anbieter verpflichtet sind, droht leer zu laufen. Das Datenschutzrecht stößt hier derzeit an seine (nationalen) Grenzen.
Das Interesse an immer neuen Instrumenten zur Gestaltungen einer individuell ausgerichteten, sozial gestalteten digitalen Präsenz bleibt ungebremst – gleichzeitig steigt gesamtgesellschaftlich das Bewusstsein für Datenschutz. Die Herausforderung für Anbieter von Onlinediensten wie auch für Gesetzgebung und Juristen besteht darin im Angesicht einer zunehmenden Individualisierung der Internetnutzung der informationellen Selbstbestimmung der Nutzer dennoch Geltung zu verschaffen.
Grundvoraussetzung ist zunächst, dass Facebook die notwendige Transparenz herstellt, indem Nutzer hinreichend deutlich aufgeklärt werden, aber auch Anbieter von entsprechenden Plugins durch entsprechende Informationen in die Lage versetzt werden, ihre Seitenbesucher ordentlich zu informieren.
Dann aber kann die Verantwortlichkeit nicht allein auf die Betreiber des sozialen Netzwerks abgewälzt werden.
Insoweit sollten sich auch all jene, die Social-Plugins einsetzen, für die Datenverarbeitung der Besucher „ihrer“ Webseite verantwortlich fühlen. Der Webseitenbetreiber, der den „Facebook-Login“ ermöglichen möchte, sollte durch entsprechende Aufklärung Bewußtsein erzeugen, indem offen aufgezeigt wird, welche Daten wann an wen übermittelt werden und zu welchen Zwecken verwertet werden. Dann sollte über eine nachfolgende Einwilligungserklärung (Opt-In) bzw. entsprechende Funktionen (sog. Privacy-by-Design) eine möglichst weitgehend Kontrollierbarkeit sichergestellt werden. Wenn dies gelingt, könnten datenschutzrechtliche Bedenken ausgeräumt und informationelle Selbstbestimmung gestärkt werden.
Dieser Artikel entstand mit freundlicher Unterstützung von Frau Rechtsreferendarin Antonia Moser-Knierim.
Bei entsprechenden datenschutzrechtlichen Fragen oder bei weitergehenden Interesse an einem spezifischen Inhouse-Workshop stehen wir selbstverständlich jederzeit gerne zur Verfügung (Tel. 0711 228 54 50).
Weiterführend:
- Facebook & Datenschutz – Erste Abmahnungen wegen Einbindung des Facebook Like-Buttons
- Zusammenschluss der deutschen Datenschutzbehörden zur (Un-)zulässigkeit des Facebook Like Buttons und anderer Social Plugins
- Urteil des LG Berlin: Facebook Nutzungsbedingungen und Datenschutzerklärung teilweise rechtswidrig
Vielen Dank für diesen ausführlichen Beitrag. Mich würde interessieren, welche Daten genau von der Website an Facebook zurückübermittelt werden. Bei innerhalb der Facebok-Developer-Docs fand ich dazu keine Angaben,
Ist es Facebook möglich, an sensible Nutzerangaben (z.B. Kontodaten), die der Nutzer in der Website vornimmt, zu gelangen?