gekennzeichnet.
Das Szenario
Auf Webseite wird des Öfteren das Social Media Plugin von Facebook eingebunden. Das sogenannte Widget wird über einen Javascript-Code in die Webseite integriert. Das Plugin gibt es in mehreren Ausprägungen, darunter:
- Tracking von Nutzern zum Zwecke des Retargeting (Facebook Pixel oder Facebook Connect)
- Anzeigen von Beiträgen oder Kommentaren der Facebook Seite auf der Webseite
- Facebook Like Button, oft mit Anzeige der Anzahl der schon vorhandenen Likes
Durch das Einbinden des Facebook Plugins in eine Webseite ergeben sich folgende Konsequenzen:
Beim Aufruf der Webseite wird zwangsläufig die IP-Adresse des Nutzers zu Facebook übertragen. Dies kann nicht verhindert werden, weil das Internet Protokoll es vorschreibt. Zudem werden Cookies übertragen.
Die gezeigten Dateien werden beim Einbinden des Facebook Scripts geladen. Sie sorgen weiterhin dafür, dass Cookies geladen werden:
Aus Datenschutzgründen mussten die Werte der Cookies unkenntlich gemacht werden. Zusätzlich zu den genannten (technischen) Third-Party Cookies wird auch das (technische) First-Party Cookie namens _fbp mit einer Laufzeit von 3 Monaten übertragen.
Rechtliche Bewertung
Seit 2017 sind IP-Adressen laut Bundesgerichtshof personenbezogene Daten. Diese dürfen ohne vorige Einwilligung des Nutzers nicht einfach so an Dritte weitergegenn werden. Möglich wäre es, wenn ein berechtigtes Interess vorliegt. Für ein Plugin von Facebook kann ein solches nur schlecht angeführt werden.
Bereits 2016 hatte das Landgericht Düsseldorf im Urteil vom 9.3.2016 (Az.: 12 O 151/15) den Einsatz des Facebook Plugins für rechtswidrig erklärt. Damals stand sogar noch nicht einmal fest, dass IP-Adressen als personenbezogen anzusehen sind.
Auch mit einer sogenannten Zwei-Click-Lösung ist ein rechtskonformer Einsatz eines Facebook Plugins wahrscheinlich nicht möglich.
Mir selbst ist keine rechtskonforme Lösung dieser Art bekannt.
Heutzutage gelten die Vorschriften der ePrivacy Richtline (bzw. des TMG im Sinne dieser Richtlinie) und der DSGVO. Zum einen nutzen viele Facebook Plugins Cookies. Damit bedürfen sie gemäß Art. 5 (3) der ePrivacy Richtline einer Einwilligung. Weiterhin handelt es sich beim Facebook Plugin um ein Tool, welches offenbar nicht notwendig ist. Ein berechtigtes Interesse scheidet jedenfalls meiner Meinung nach eindeutig aus. Deshalb muss gemäß Art. 6 DSGVO eine Einwilligung her, um eine Rechtsgrundlage zu schaffen.
Die ePrivacy Richtlinie gilt übrigens für Deutschland, wie aus einem BGH-Urteil aus dem Jahr 2020 hervorgeht. Der BGH hat entschieden, dass das Telemediengesetz richtlinienkonform auszulegen ist und die Einwilligungspflicht gemäß ePrivacy Richtlinie anzuwenden ist. Die Neufassung des BDSG bzw. des TTDSG enthält in § 9 gemäß Referentenentwurf nahezu wortgleich den Art. 5 (3) der ePrivacy-Richtlinie. Update: Das TTDSG in wahrscheinlich endgültiger Fassung enthält die Regelung zu Cookies und ähnlichen Technologien in § 25 TTDSG.
Kundenlisten, sogenannte Custom Audiences, die zum Retargeting auf der Facebook Plattform eingesetzt werden, bedürfen einer Einwilligung durch die betroffenen Personen, stellte das VG Bayreuth fest (Beschluss vom 08.05.018 – B 1 S 18.105, etwa Rn. 59ff). Dies gilt auch, wenn "nur" gehashte anstatt Klardaten verwendet werden.
Empfehlung
Eine ordentliche Datenschutzerklärung zu den eingesetzten Social Media Plugins ist in jedem Fall erforderlich. Sie löst das Problem aber nicht.
Der Facebook Like Button oder ein ähnliches Social Media Widget sollten in keinem Fall in der Originalform eingesetzt werden. Stattdessen empfehle ich dringend, mindestens ein Plugin wie Shariff zu verwenden. Shariff sorgt dafür, dass erst, nachdem der Nutzer auf einen Like Button oder das Widget geklickt hat, ein datenschutzkritischer Vorgang stattfindet. Auch dies ist nicht rechtssicher, da die Shariff Einwilligungsabfrage den rechtlichen Anforderungen wahrscheinlich nicht genügt.
Wie die Datenschutztexte zu gestalten sind, bleibt allerdings ungeklärt. Wie soll etwas erklärt werden, wovon niemand außer Facebook weiß, was dies sein könnte? Bitte verraten Sie mir, was Facebook mit welchen Daten tut und an wen diese Daten oder Erkenntnisse daraus weitergegeben werden? Unter diesem Beitrag gibt es die Möglichkeit zum Kommentar!
Die Datenschutzgrundverordnung der EU zwingt generell zum Nachdenken, wenn personenbezogene Daten zu Unternehmen in den USA übertragen werden sollen.
Alternativen
Neben dem Einsatz von Tools wie Shariff sollte darüber nachgedacht werden, ob Like Buttons mit Live-Anzeige der bisherigen Likes nötig sind. Oft reicht auch ein einfacher Button ohne Statistikanzeige. Manchmal tut es sogar ein Link direkt auf die Social Media Präsenz. Die DSGVO zwingt jedenfalls dazu, sich mit Datensparsamkeit zu beschäftigen.
Dass es auch anders geht, zeigt eine funktional ausreichende und zugleich datenschutzkonforme Möglichkeit zum Teilen von Beiträgen für WordPress. Diese verwende ich auch in meinem Blog.
Weiterhin möchte ich dazu anregen, den Nutzen einer Facebook Präsenz infrage zu stellen. Was für das lokale Geschäft möglicherweise sinnvoll ist, ist beispielsweise für den bundesweit tätigen Beratungsbetrieb völlig ungeeignet, um den Umsatz zu steigern. Meine Erfahrung ist, dass die meisten Unternehmen über Facebook keine Umsatzsteigerung erzielen werden. Anstelle dessen verschwenden sie dort oft ihre Zeit und riskieren zudem rechtliche Auseinandersetzungen.
Facebook Fan Pages (Unternehmensseiten)
Oft wird der Facebook Pixel für Retargeting-Maßnahmen verwendet. Dabei spielen oft auch Facebook Fan Pages eine Rolle. Diese Unternehmensseiten sind aber auch ohne den Facebook Pixel kritisch zu beurteilen. Der EuGH hatte festgestellt, dass eine gemeinsame Verantwortlichkeit zwischen Fanpage-Betreiber und Facebook existiert (Urteil vom 05.06.2018 – C‑210/16).
Vor kurzem hat der Deutsche Datenschutzbeauftragte, Ulrich Kelber, die öffentlichen Stellen aufgefordert, deren Facebook Präsenzen einzustellen.
Dieses Schreiben von Herrn Kelber sollten Sie an Ihre Stadt oder Kommune schicken, wenn diese eine Facebook Seite unterhält. Fordern Sie Ihre Stadt auf, dies zu unterlassen und beziehen Sie sich dabei auf den Bundesdatenschutzbeauftragten unter Nennung seines Schreibens vom 16.06.2021
Kernaussagen dieses Beitrags
Das Einbinden von Facebook Plugins auf Webseiten ist aus Datenschutzgründen problematisch, da es ohne Einwilligung der Nutzer zu Datenübertragungen führt.
Der Einsatz von Facebook-Features wie Like-Buttons und Retargeting erfordert die Einwilligung der Nutzer und birgt datenschutzrechtliche Risiken.
Die Stadt sollte ihre Facebook-Seite löschen, weil das Datenschutzrecht verletzt wird.
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die 