Social-Plug-ins und Datenschutz: Tipps zur Rechtslage

Mit der wachsenden Popularität sozialer Netzwerke erfreuen sich auch Social-Plug-ins für Facebook, Twitter, Instagram und andere Plattformen großer Beliebtheit. Diese auf Websites eingebundenen Module ermöglichen es Nutzern, Internetangebote per Klick auf Social-Network-Profile zu verlinken und dort weiterzuempfehlen – etwa in Form von Likes, Shares, Pins oder Tweets. Solche praktischen Erweiterungen, die die Reichweite von Websites durchaus erhöhen können, sollten ihre Betreiber jedoch mit Bedacht nutzen – denn Social Plug-ins sind in puncto Datenschutz ein strittiges Thema. Das zeigt sich deutlich an der aktuellen Rechtslage. Erfahren Sie im Folgenden, womit Sie sich als Website-Betreiber vor dem Einsatz von Social-Plug-ins unbedingt auseinandersetzen sollten.

Die Rechtslage im deutschen Raum zum Thema Social-Plug-ins ist derzeit zwar noch nicht abschließend geregelt, allerdings haben neue landes- und EU-weite Gesetze sowie Gerichtsurteile in der jüngeren Vergangenheit zum Umdenken bei der Nutzung von Social-Media-Buttons geführt. Rechtsexperten raten deshalb sowohl privaten als auch kommerziellen Website-Betreibern, verstärkt Vorsorgemaßnahmen zu treffen, um sich vor Beschwerden und Abmahnungen wegen Datenschutzmängeln zu schützen: Denn in den meisten Fällen steht hierzulande der Datenschutz von Nutzern über kommerziellen Einzelinteressen.

Mit dem Inkrafttreten des „Gesetzes zur Verbesserung der zivilrechtlichen Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts“ am 24.Februar 2016 hat sich die Rechtslage in Deutschland geändert. Es erklärt den Datenschutz in Deutschland offiziell zum Verbraucherschutzrecht.

Da auch Social-Plug-ins den Datenschutz von Nutzern betreffen, sind Websites mit Social-Media-Buttons inzwischen ins Fadenkreuz zahlreicher Anwälte geraten. Denn im Zuge des neuen Gesetzes sind unvollständige oder fehlerhafte Datenschutzerklärungen im Internet abmahnfähig geworden: Wer personenbezogene Daten von Verbrauchern online erfasst und zu Werbe-, Profilerstellungs- oder Handelszwecken weiterverarbeitet, muss seine Nutzer vorab vollumfänglich darüber aufklären. Ist dies nicht der Fall, kann er mit entsprechendem Bußgeld abgemahnt und zur Unterlassung verpflichtet werden. Diese Regelung betrifft besonders den Datenschutz im Bereich E-Commerce bzw. bei Onlineshops, wo dezidierte Verbraucherinformationen wie ausführliche AGBs oder Widerrufsbelehrungen ohnehin Pflicht sind.

Daten mit Personenbezug dürfen aber auch auf Websites ohne Onlineshop nur dann erhoben werden, wenn sie zu einem vorher klar festgelegten und rechtmäßigen Zweck (etwa der Erfüllung eines Vertragsverhältnisses oder zur notwendigen Mediennutzung) erfasst werden, also eine eindeutige Zweckbindung haben. Damit diese Erhebung rechtens ist, muss ihr der Nutzer nach vorheriger Erläuterung über Art und Umfang der Datennutzung explizit zustimmen. Ein Beispiel hierfür ist etwa die Zustimmung von Nutzern eines Newsletter-Abonnements via Double-Opt-in-Verfahren. Dabei bestätigt der Nutzer durch Klick auf einen ihm zugesandten Link, dass er in die Verarbeitung seiner Daten einwilligt. Existiert auf einer Website keine entsprechende Datenschutzerklärung über die Verwendung solcher Nutzerdaten, ist der Website-Betreiber juristisch angreifbar.

Die Einbindung von Social-Plug-ins, wie den sogenannten „Like-Buttons“ („Gefällt-mir-Knöpfen“) von Facebook, ist in Deutschland oft problematisch. Da Betreiber von Websites mit Like-Button allgemeinen Datenschutz-Anforderungen ebenfalls genügen müssen, ergibt sich in diesem Fall ein zumindest diskussionswürdiges Problem, das sich anhand des Social-Plug-ins von Facebook illustrieren lässt:

Nutzer, die Webseiten aufrufen, übermitteln Anbietern allein dadurch bereits Daten – wie etwa Browsernamen, präferierte Sprache und die IP-Adresse ihres Endgeräts. Diese mittels sogenannter „Cookies“ gespeicherten Daten können mit Zustimmung des Nutzers zu Analyse- und Marketingzwecken für das Retargeting verwendet werden.

Sofern User dies nicht ausdrücklich über ihre Einstellungs-Optionen blockieren, schickt der eigene Browser bereits vorhandene Cookies zur betreffenden Domain automatisch mit. Über die Zeichenketten eines solchen Cookies lassen sich einzelne User zuordnen. Datenschützer stehen dem insbesondere deswegen kritisch gegenüber, weil der jeweilige Dienst solche Informationen mit anderen bereits über den User gespeicherten Daten zusammenführen kann. Mithilfe dieser schon bekannten Daten kann er über Social-Plug-ins den User also relativ genau identifizieren. Ist man dazu noch in ein soziales Netzwerk wie Facebook eingeloggt (oder hat dort einen Account), lässt sich nach dem Öffnen einer Seite via Gefällt-mir-Button herausfinden, welche Seite gerade besucht wird. Der Like-Button gefährdet den Datenschutz also insofern, als hierdurch personenbezogene Daten ohne den Zwischenschritt einer offiziellen Zustimmung ausgewertet werden können.

Was aus Sicht des allgemeinen Datenschutzes begrüßenswert ist, hat jedoch oft negative Folgen für Anbieter von Webinhalten. Bereits im Jahr 2011 kam es aufgrund des Social-Plug-ins von Facebook zur ersten datenschutzrechtlichen Abmahnung eines Unternehmens, das den Like-Button offenbar ohne größere Bedenken in ihre Website eingebettet hatte. In einem Urteil vom 9. März 2016 erklärte das Landgericht Düsseldorf die einfache Einbindung des Facebook-Like-Buttons schließlich für rechtswidrig, da die Übertragung von Nutzerdaten ohne explizite Zustimmung gegen deutsches Recht verstoße. Der Hinweis innerhalb der Datenschutzerklärung allein reicht also hier zum Schutz nicht aus. Vielmehr müssten Verbraucher in jedem Fall vorab über Umfang und Art der Daten informiert werden, die bei der Nutzung von Social-Plug-ins übertragen würden. Andernfalls widerspräche die Nutzung von Social-Media-Buttons dem Datenschutz.

Da Social-Plug-ins in Verbindung mit Datenschutz-Regelungen erst seit jüngerer Zeit öffentliches Thema sind, kann sich die diesbezügliche Rechtslage schnell ändern. Es gibt weder einen hundertprozentig sicheren Schutz gegen Abmahnungen noch kann die Nutzung von Social-Media-Buttons generell als Verstoß betrachtet werden – es kommt eben auf die Datenschutzbedingungen an. Für Seitenbetreiber gibt es derzeit 3 sinnvolle Möglichkeiten, sich besser abzusichern:

• Verzicht auf Social-Plug-ins: Wenn Sie ganz sicher gehen möchten, verzichten Sie einfach auf die Nutzung von Social-Media-Buttons. Dann müssen Sie allerdings in Kauf nehmen, dass Ihre Website weniger Reichweite durch Direktverlinkung mit sozialen Netzwerken generiert.

• 2-Klick-Lösung: Um wenigstens zu vermeiden, dass schon vor dem ersten Klick auf Sharing-Buttons Nutzerdaten übertragen werden, sollten Sie auf die Original-Share-Buttons verzichten. Ersatzweise können Sie ein Plug-ins zwischenschalten, bei dem Nutzer erst durch erneuten Klick die Zustimmung zum Sammeln ihrer Nutzerdaten geben. Diese Option ist jedoch nur eine Teilsicherheit, da sie die grundsätzliche Datensammlung nicht verhindert, sondern lediglich um einen Klick verzögert. Manche Experten sehen hier trotzdem noch Restrisiken hinsichtlich der Datenschutzregelungen.

• Sicherheits-Plug-in: Falls Sie nicht gänzlich auf Social-Media-Buttons verzichten wollen, können Sie auch ein Plug-in zwischenschalten, das ein direktes und umfassendes Daten-Tracking durch Social Networks verhindert. Das von heise initiierte Plug-in „Shariff“ ersetzt beispielsweise den Social-Media-Button unauffällig durch einem statischen Link, der die Nutzerdaten erst dann freigibt, wenn der Button aktiv durch den Nutzer geklickt wird.

Wie risikofreudig man als Betreiber in diesem Punkt ist, bleibt jedem selbst überlassen. Es empfiehlt sich aber, die juristische Entwicklung in Deutschland aufmerksam zu verfolgen.

Die Rechtslage zum Thema Datenschutz, und somit auch zu Social-Plug-ins wird im Allgemeinen durch nationale Gesetze bestimmt. So fällt die Rechtsprechung je nach Land unterschiedlich aus. In Deutschland, Österreich und der Schweiz gelten weitgehend ähnliche und vergleichsweise strenge Datenschutzregelungen. Eine Datenübermittlung ins Nicht-EU-Ausland ist laut Deutschem Bundesdatenschutzgesetz (BDSG) nur dann erlaubt, wenn das jeweilige „Drittland“ einen vergleichbaren Datenschutz gewährleistet oder eine Ausnahmeregelung für die jeweilige Übermittlung vorliegt. Als unsichere Länder werden bislang zum Beispiel Japan, Indien und China eingestuft.

Die USA gelten, im Gegensatz zu Deutschland, in puncto Datenschutz als besonders liberal, da es dort kein branchenübergreifendes Datenschutzgesetz gibt. Bislang soll das sogenannte EU-US-Privacy Shield-Abkommen einen rechtssicheren Datentransfer zwischen den USA und Europa garantieren – hierbei obliegt es international agierenden Unternehmen, die sich zu dem Abkommen verpflichten, bestimmte Mindeststandards einzuhalten. Allerdings ist unklar, wie lange die geltende Vereinbarung im Rahmen der politischen Entwicklungen in den USA noch bestehen bleibt. Manche Experten und Bürgerrechtler zweifeln die Rechtssicherheit des Verfahrens an – vor allem in Bezug auf die datenschutzrechtliche „Privilegierung“ von Nicht-US-Bürgern.

Beim Thema Hosting wird es jedoch etwas komplizierter: Im Allgemeinen lässt sich sagen, dass nur dann Datenschutz nach deutschem Recht garantiert werden kann, wenn der jeweilige Hosting-Provider mit seinem Rechenzentrum auch in Deutschland sitzt – dort unterliegt der Datenschutz grundsätzlich deutschem Recht. Sind Server, die persönliche Daten verarbeiten, in ausländische Rechenzentren ausgelagert (wie etwa bei manchen Cloud-Anbietern), unterliegen diese prinzipiell den jeweiligen Landesgesetzen. Daher sollten sich Nutzer vorab informieren, ob über ihren Hoster Datenschutz nach deutschem bzw. EU-Recht gewährleistet wird. Ansonsten bleibt durchaus ein Restrisiko bestehen. Im März 2017 haben sich allerdings mehrere Service-Provider über die Organisation CISPE (Cloud Infrastructure Services Providers in Europe) zu einem alternativen „Code of Conduct“ verpflichtet, die Kunden von Cloud-Services die Option bieten, Daten nur in EU-/EWR –Ländern zu speichern und verarbeiten zu lassen.

Im Dezember 2015 erfolgte die Verabschiedung der EU-Datenschutz-Grundverordnung (EU-DSGVO) als Ersatz der vorangegangenen EU-Datenschutzrichtlinie 95/46/EG. Die neue Datenschutz-Grundverordnung der EU (DSGVO) sieht vor, dass zum 25. Mai 2018 einheitliche Vorschriften für alle EU-Mitgliedsstaaten gelten. Unter anderem sollen hierdurch der Anspruch von Nutzern auf Transparenz der gesammelten Daten gestärkt und die Bußgeldhöhe flexibilisiert werden. Außerdem soll eine Einwilligung in die Verarbeitung personenbezogener Daten mit der neuen Verordnung erst ab 16 Jahren möglich sein (vorher war das Mindestalter 13 Jahre). Die Datenschutz-Vorgaben sind dann auch außerhalb Europas bindend, also etwa für US-Unternehmen im europäischen Markt.

Die Rechtslage zu Social-Plug-ins und Datenschutz ist derzeit in stetiger Entwicklung. Theoretisch kann sich mit jedem weiteren Gerichtsurteil und neuen technischen Funktionen die Situation für Website-Betreiber ändern. Wer also in puncto Datenschutz ganz sichergehen will, sollte sich daher immer bei Experten und Fachmagazinen über den aktuellsten Stand informieren bzw. bei konkreten rechtlichen Fragen Fachanwälte für IT- und Medienrecht konsultieren. Nur so können Sie gewährleisten, dass Ihre Website in allen Belangen den derzeitigen Auflagen gerecht wird. Fest steht, dass sich zumindest EU-weite Betreiber von Websites bald auf strengere Richtlinien einstellen müssen. Daher ist es in jedem Fall geboten, die Daten der eigenen Nutzer zu jedem Zeitpunkt so gut wie möglich zu schützen