Deutscher Bundestag – 17. Wahlperiode
5.8.3
77 –
–
–– 77
Drucksache 17/13000
Datenschutzgerechte Einbindung von
„Social Plugins“
In vielen Internetangeboten sind mittlerweile sog. Social
Plugins eingebunden, eines der bekanntesten davon ist
der „Facebook-Like-Button“. Dessen Verwendung ohne
besondere Vorkehrungen verstößt gegen geltendes Datenschutzrecht. Technisch, etwa durch ein „zwei-Klick-Verfahren“, lassen sich derartige Probleme entschärfen.
Durch die Einbindung von Social Plugins bekannter sozialer Netzwerke in die eigenen Websites versprechen
sich die Betreiber höhere Zugriffszahlen, da über diese
Portale Seitenempfehlungen ausgetauscht werden. Auch
bei Bundesbehörden gibt es Bestrebungen, durch Einbindung von Social Plugins in die Internetangebote auf sich
aufmerksam zu machen. Datenschutzrechtlich ist dies kritisch zu sehen, wie das Beispiel des Facebook-Like-Buttons zeigt.
Beim Facebook-Like-Button bindet Facebook selbst auf
der Website ein sog. Facebook-Frame in den Quellcode
ein. Hierdurch wird bei jedem Aufruf dieser Internetseite
auf dem Rechner ein Facebook-Cookie mit einer Gültigkeitsdauer von zwei Jahren gesetzt. Zusätzlich wird beim
Seitenaufruf der „Referer“ (die Internetadresse der Webseite, von der der Benutzer durch Anklicken eines Links
zu der aktuellen Seite gekommen ist) und die dazugehörige URL an den Facebook-Server geschickt. Damit erfährt der Diensteanbieter, welche Webseite ein Nutzer gerade aufgerufen hat. Somit ist eine Nutzerbeobachtung
auch von solchen Personen möglich, die gar nicht Mitglied bei Facebook sind. Wenn die Seite von einem angemeldeten Facebook-Mitglied aufgerufen wird, wird durch
das Skript zusätzlich die Sitzungs-ID an Facebook übertragen und kann dort der jeweiligen Person direkt zugeordnet werden. Für diesen Personenkreis ist dem Unternehmen eine umfassende namentliche Registrierung der
Internetnutzung und eine Profilbildung möglich.
Diese Datenübertragung steht im Widerspruch zu § 13
Absatz 1 TMG (vgl. Kasten zu Nr. 5.8.3).
Zur datenschutzgerechten Einbindung von Social Plugins hat
ein deutscher Verlag im November 2011 die sog. 2-Klick-Lösung vorgestellt. Bei diesem Ansatz sind Social Plugins
bei Aufruf der Seite zunächst inaktiv, so dass keine Datenübertragung stattfindet. Erst bei Anklicken der Plugins
können diese aktiviert werden. Bei diesem zweistufigen
Verfahren erhält der Nutzer nach Anklicken zunächst den
Hinweis gemäß TMG, dass personenbezogene Informationen an das entsprechende soziale Netzwerk übertragen
und unter Umständen auch im nichteuropäischen Ausland
gespeichert werden. Der Nutzer kann also selbst darüber
entscheiden, ob er dies möchte. Erst danach ist das eingebettete Programm wie oben beschrieben aktiv. Aus meiner Sicht stellt das Verfahren einen gangbaren Weg dar,
Social Plugins datenschutzgerecht in Internetangebote
einzubinden.
K a s t e n z u N r. 5 . 8 . 3
§ 13 Absatz 1 TMG
Pflichten des Diensteanbieters
Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten sowie
über die Verarbeitung seiner Daten in Staaten außerhalb
des Anwendungsbereichs der Richtlinie 95/46/EG des
Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien
Datenverkehr (ABl. EG Nr. L 281 S. 31) in allgemein
verständlicher Form zu unterrichten, sofern eine solche
Unterrichtung nicht bereits erfolgt ist. Bei einem automatisierten Verfahren, das eine spätere Identifizierung
des Nutzers ermöglicht und eine Erhebung oder Verwendung personenbezogener Daten vorbereitet, ist der
Nutzer zu Beginn dieses Verfahrens zu unterrichten. Der
Inhalt der Unterrichtung muss für den Nutzer jederzeit
abrufbar sein.
5.9
Kampf mit Giganten
Die Prüfung der neuen Datenschutzerklärung von Google
ist abgeschlossen. Sie wurde als Pilot-Projekt „einer für
alle“ der Artikel-29-Gruppe durch die französische CNIL
durchgeführt. Nun wird auch die Prüfung des geänderten
Nutzungsvertrags und der Datenschutzerklärung von Microsoft vorbereitet.
Google hatte Ende Januar 2012 angekündigt, seine neue
Datenschutzerklärung zum 1. März 2012 in Kraft zu setzen. Sie sollte umfassend überarbeitet und natürlich im
Sinne der Nutzer verbessert worden sein: einfach, klar und
transparent. Die Aufforderung der Artikel-29-Gruppe, den
Termin zu verschieben und so eine datenschutzrechtliche
Prüfung zu ermöglichen, wurde abgelehnt. Die Begründung überraschend: Die Nutzer hätten mehr als einen Monat Zeit gehabt, die neue Privacy Policy zu lesen und zu
verstehen. Und man sei zuversichtlich, dass die Anforderungen der europäischen Datenschutzgesetze erfüllt seien.
Was dann der Öffentlichkeit präsentiert wurde, entsprach
aber in wesentlichen Punkten keineswegs den Anforderungen des EU-Datenschutzrechts. Dies ergab schon eine erste
Analyse, die federführend von der französischen Datenschutzbehörde (CNIL) im Auftrag der Artikel-29-Gruppe
umgehend nach Bekanntwerden der Datenschutzerklärung
durchgeführt wurde. Zwar konnte es als Verbesserung angesehen werden, dass die zahlreichen Datenschutzerklärungen – immerhin 70 an der Zahl – nun in einem einzigen
Dokument zusammengefasst worden waren, das einigermaßen übersichtlich und für den normalen Internetnutzer
verständlicher daherkam. Aber dabei blieben Genauigkeit
und Detailtiefe auf der Strecke, an deren Stelle sich nun allgemeine Formulierungen befinden, etwa:
„Wir erfassen möglicherweise gerätespezifische Informationen (beispielsweise das von Ihnen verwendete Hard-
BfDI 24. Tätigkeitsbericht 2011-2012