Like-Button: Datenschützer nennen Facebook-Praxis rechtswidrig (Spiegel Online, 28.8.2011)

Like-Button

Datenschützer nennen Facebook-Praxis rechtswidrig

Unterstützung für Schleswig-Holsteins Datenschützer: Drei weitere deutsche Landesbehörden bewerten die Datensammlung per Like-Button als rechtswidrig. Die Datenschützer in Niedersachsen und Rheinland-Pfalz warnen Seitenbetreiber vorm Einbinden der Facebook-Codes.

Spiegel Online, 28.8.2011

{jumi [*3]}

Die Aufsichtsbehörden in drei Bundesländern schließen sich der Facebook-Kritik der Datenschützer in Schleswig-Holstein an. Die Landesdatenschutzbeauftragten in Rheinland-Pfalz, Mecklenburg-Vorpommern und Niedersachsen bewerten bestimmte Angebote von Facebook als rechtswidrig. Vertreter der Behörden äußern sich im Fachmagazin „Werben & Verkaufen“ entsprechend (Artikel online nicht abrufbar).

Die drei Datenschutzbehörden argumentieren wie schon das Unabhängige Landeszentrum für Datenschutz (ULD) in Schleswig-Holstein : Facebook verstoße gegen deutsches und europäisches Datenschutzrecht, weil Nutzer nicht hinreichend informiert würden, welche Verkehrs- und Inhaltsdaten in die USA übermittelt und wie sie dort genutzt werden. Konkret geht es dabei um Daten, die Facebook auf Fanseiten und auf Websites von Drittanbietern sammelt, die den sogenannten Like-Button einbinden und damit Code von Facebook nachladen.
Niedersachsen warnt Facebook-Partner vor Rechtsverstößen

Der Landesbeauftragte für den Datenschutz in Niedersachsen warnt Website-Betreiber in seinem Bundesland öffentlich, sie könnten durch das Einbinden bestimmter Plugins gegen Datenschutzrecht verstoßen und ein Bußgeld riskieren: „Die Tatsache, dass einzelne oder gar die Mehrzahl von Anbietern sich nicht an die hier gültigen datenschutzrechtlichen Regelungen hält, entbindet den Web-Seiten-Betreiber nicht von seiner eigenen Verantwortung.“

Über die Datenverarbeitung in den USA informiert Facebook die Nutzer im vorletzten Absatz seiner gut 46.000 Zeichen umfassenden Datenschutzrichtlinien. Dort steht lapidar: „Durch die Verwendung von Facebook stimmst du der Übertragung und Verarbeitung deiner persönlichen Daten in den USA zu.“

Facebook widerspricht: „Halten uns an EU-Datenschutzregeln“

Der Landesbeauftragte für den Datenschutz in Rheinland-Pfalz kündigt an, er werde „mit den Website-Betreibern im Land Kontakt aufnehmen und darauf hinwirken, dass Internetauftritte datenschutzkonform gestaltet werden“. Facebook informiere Nutzer nicht hinreichend über die Profilbildung auf Basis gesammelter Daten – die Nutzungsbedingungen und Datenschutzrichtlinien der Firma genügen nicht den „rechtlichen Anforderungen“.

Auch auf SPIEGEL ONLINE ist der Like-Button eingebunden, allerdings werden laut Facebook die IP-Adressen der nicht eingeloggten Nutzer aus Deutschland generell so anonymisiert, dass keine Rückschlüsse auf den Rechner oder dessen Benutzer möglich sind. Facebook widerspricht den Vorwürfen des ULD. „Facebook hält sich vollständig an die europäischen Datenschutzbestimmungen“, sagte ein Unternehmenssprecher.

Kampagne der Datenschützer könnte Rechtssicherheit bringen

Die Rechtslage in dieser Frage ist in Deutschland unklar. Es beginnt schon bei der Frage, ob die IP-Adresse eines Rechners in jedem Fall als „personenbezogene Information“ zu bewerten ist. Dagegen spricht, dass zunächst nur Internet-Provider wissen, welche IP-Adresse wann zu welchem Nutzer gehört hat.

Andererseits sind nach dem Bundesdatenschutzgesetz alle Details personenbezogen, die sich auf die „persönlichen oder sachlichen Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ beziehen. Das könnte bei einer IP-Adresse der Fall sein, die fest einem bestimmten Rechner zugeordnet ist. Bislang hat diese Frage noch kein deutsches Gericht abschließend geklärt – die Initiative der Datenschützer könnte entsprechende Prozesse provozieren und so zu Rechtssicherheit führen.

Fingerabdruck per Browserkonfiguration?

Ein Mitarbeiter des Landesbeauftragten für den Datenschutz in Mecklenburg-Vorpommern bewertete Facebooks Datensammlung über Nicht-Mitglieder per Like-Button bereits Ende 2010 als “ rechtlich zweifelhaft„. Die Analyse führt aus, dass Facebook von Nicht-Mitgliedern zumindest IP-Adresse und Browser-Parameter erhalte, womöglich auch Informationen zum Betriebssystem und zu installierten Systemkomponenten.

Schon auf Basis solcher Informationen über die installierten Komponenten eines Computers kann man ihn sehr gut von anderen Rechnern unterscheiden. Darauf weisen Informatiker seit Jahren hin. Bei einem Experiment mit bisher 470.000 Datensätzen demonstrierte die US-Organisation EFF (Electronic Frontier Foundation) 2010, wie gut dieser Browser-Fingerabdruck Rechner auseinanderhält: 83,6 Prozent der aufrufenden Computer hatten ein eindeutiges Profil.

Es gibt Hinweise darauf, dass Facebook diese Technik nutzt: Loggt man sich von einem neuen Computer aus bei dem Dienst ein, fragt Facebook im Rahmen seines Dienstes zur Kontosicherheit nach, wie man diesen neuen Rechner nennen will. Facebook erkennt zuverlässig einzelne Computer wieder und kann auch mehrere Computer in einem Firmennetzwerk unterscheiden.

Facebook räumt ein, solche Informationen auch beim Aufruf von Partnerseiten mit Plugins zu sammeln. Facebook erhalte „weitere technische Informationen über die IP-Adresse, den Browser und das verwendete Betriebssystem“. Enthalten sei auch die Nutzerkennnummer, wenn der Besucher bei Facebook angemeldet sei.

Das US-Unternehmen versichert in dem Informationstext, man speichere diese Daten nur „für einen Zeitraum von 90 Tagen“. Danach kombiniere Facebook diese Daten mit den Daten anderer Personen in einer Art und Weise, die keinen Rückschluss auf den einzelnen Nutzer persönlich zulasse.