Das ULD fordert deshalb sowohl Behörden als auch Unternehmen mit Sitz in Schleswig-Holstein dazu auf, ihre Fanseiten bei facebook, die Social-Plugins sowie den „Gefällt mir“-Button auf ihren Webseiten bis Ende September 2011 zu entfernen. Bei Nichtbeachtung drohen Bußgelder, die bei Verstößen gegen das TMG bei maximal EUR 50.000 liegen.

Allerdings besteht auch für Unternehmen in anderen Bundesländern Handlungsbedarf: Das ULD hat bereits angekündigt, diese Maßnahmen nicht im Alleingang sondern zusammen mit anderen deutschen Datenschutzbehörden vorzunehmen.

1.           Zum Hintergrund der datenschutzrechtlichen Unzulässigkeit

Das ULD bemängelt, dass bei Nutzung von facebook-Diensten, wie beispielsweise des „Gefällt mir“-Buttons oder anderen Social-Plugins, facebook ungefragt umfassende Verkehrs- und Inhaltsdaten in die USA übermittelt. Diese Daten könnten dabei helfen, eine persönliche – bei den Mitgliedern sogar personenbezogene – Profilbildung durchzuführen. Die Anwender würden dabei nicht über die Nutzung der Daten informiert und seien auch nicht dazu in der Lage, frei zu entscheiden, ob sie ihre Daten zur Verfügung stellen möchten oder nicht. Diese Abläufe verstießen deshalb gegen deutsches und europäisches Datenschutzrecht. Zudem werde der Nutzer nicht genügend in den Nutzungsbedingungen auf diese Tatsache hingewiesen.

Die datenschutzrechtliche Bewertung der Reichweitenanalyse durch Facebook der ULD ist abrufbar unter https://www.datenschutzzentrum.de/facebook/facebook-ap-20110819.pdf.

2.           Derzeit keine Alternative einer datenschutzrechtskonformen Gestaltung von Fanpages bei facebook

Wer den „Gefällt mir“-Button oder andere Social-Plugins weiterhin auf seinem Firmenprofil anbieten will, muss diese Funktionen technisch rechtswirksam gestalten. Das ULD sieht derzeit aber keine Möglichkeit, Fanpages datenschutzkonform zu nutzen. Nach Ansicht des ULD seien dazu weitgehende Änderungen seitens facebook notwendig. Insbesondere müsse facebook den Betreibern von Fanpages die Möglichkeit geben, die Erhebung von personenbezogenen Daten für die Erstellung der Reichweitenanalyse (facebook Insights) abzuschalten. Weiterhin müsse facebook eine Funktion zur nutzerbezogenen Einwilligung in die Reichweitenanalyse schaffen bzw. Maßnahmen zur Umsetzung der Vorgaben des § 15 Abs. 3 TMG ergreifen.

3.           Lösungsidee einer datensparsamen Einbindung nicht ausreichend

Um eine unkontrollierte Übertragung personenbezogener Daten zu verringern, könnte ein Unternehmen die Social-Plugins so gestalten, dass diese nur dann geladen werden dürfen, wenn die Nutzerin oder der Nutzer gegenüber dem Webseitenbetreiber in die mit der Einbindung von Social-Plugins verbundene Übertragung personenbezogener Daten an Facebook eingewilligt hat, § 13 Abs. 2 TMG. Dies könne, so das ULD, beispielsweise so realisiert werden, indem an der Stelle, an der die Social-Plugins auf der Webseite erscheinen sollen, zunächst eine vom Webseitenbetreiber selbst bereitgestellte Grafik eingebunden wird. Nach Klick auf diese Grafik muss der Nutzer dann über die mit der Anzeige des Social-Plugins verbundene Übertragung personenbezogener Daten an Facebook informiert werden. Willigt der Nutzer ausreichend informiert und aktiv ein, so können darauf folgend die Social-Plugins von Facebook geladen werden. Es bestehe die Möglichkeit, die Zustimmung zur Ein­willigung über einen nicht-personalisierten Cookie auch für nachfolgende Besuche auf der betroffenen Webseite zu speichern. Über das Setzen dieses Cookies sei der Nutzer ebenfalls zu informieren.

Es müsse jedoch beachtet werden, dass mittels einer solchen informierten Einwilligung des Nutzers nur die Datenübertragung an facebook auf Veranlassung eines Webseitenbetreibers gerechtfertigt werden könne. Nach Ansicht des ULD ist die eben beschriebene datensparsame Einbindung von Social-Plugins deshalb nicht ausreichend, um darin eine wirksame Einwilligung eines Nutzers gegenüber facebook zu sehen.

Das ULD informiert laufend über die Entwicklungen in dieser Sache sowie über denkbare, mit dem Datenschutz konforme Lösungswege unter https://www.datenschutzzentrum.de/facebook/#4.