11.01.2013, 06:00 Uhr

Rechtsfall Like-Button

Immer öfter entschliessen sich Schweizer Unternehmen dazu, den Like-Button von Facebook in ihre Website einzubinden. Aber verhalten sie sich dabei rechtskonform?
Der Autor hat über die Dekompilierung von Software promoviert und ein Nachdiplomstudium zu IT- und Immaterialgüterrecht in New York absolviert. Der
Fokus des Zürcher Anwalts für die Kanzlei Wenger & Vieli liegt im Lizenz-, Internet- und Software-Recht.
Sogenannte Social Plug-Ins, wie beispielsweise der Like-Button von Facebook, werden auch für Schweizer Unternehmen zunehmend wichtiger. Es handelt sich dabei um vorprogrammierte Lösungen für Websites, die von Betreibern der sozialen Netzwerke anderen Websitebetreibern zur Verfügung gestellt werden. Durch die Einbindung des Like-Buttons in die Unternehmenswebsite kann ein zusätzlicher Marketingweg über die Empfehlung des
klickenden Mitglieds geschaffen und oft eine grosse Zielgruppe angesprochen werden. Coca-Cola bringt es beispielsweise bereits heute auf mehr als 50 Millionen Facebook-Fans. In datenschutzrechtlicher Hinsicht führte der Like-Button schon verschiedentlich zu Kritik. So forderte beispielsweise in Deutschland das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein alle öffentlichen Stellen in diesem deutschen Bundesland auf, die Like-Buttons von ihren Websites zu entfernen, und drohte im Unterlassungsfall mit Unterlassungsverfügungen sowie Bussgeldern. Der Vorwurf: Die Verwendung des Like-Buttons verstosse gegen deutsches Datenschutzrecht, unter anderem, weil durch dieses Social Plug-In Daten von Webseitenbesuchern erhoben und in die USA übermittelt würden. Die Aufsichtsbehörden für Datenschutz anderer Bundesländer Deutschlands teilten diese Sichtweise. Wie ist die Rechtslage in der Schweiz? Auf der nächsten Seite: Was für Daten werden erhoben und wie werden sie verwendet?

Erhobene Daten und ihre Verwendung

Bei einem Besuch auf einer Website mit eingebundenem Like-Button von Facebook werden Daten über den Be­sucher der Website erhoben. Erstaunlicherweise geschieht dies unabhängig davon, ob der Besucher den Like-Button angeklickt hat; ob er Mitglied von Facebook ist, spielt dabei ebenfalls keine Rolle. Es werden also auch Daten von Besuchern ohne jeglichen Bezug zu Facebook erhoben. Nach eigenen Angaben von Facebook können die folgenden Daten über Besucher von Websites mit eingebundenen Social Plug-Ins erhoben werden:
  • Datum und Uhrzeit des Besuchs auf der betreffenden Webseite,
  • Internetadresse, die der Besucher abgerufen hat,
  • technische Daten betreffend die IP-Adresse des Besuchers,
  • der benutzte Browser,
  • das verwendete Betriebssystem
  • sowie die Nutzerkennnummer, sofern der Besucher auf Facebook angemeldet ist.
Der Umfang der Benutzung der Daten wird in den Datenverwendungsrichtlinien von Facebook recht breit umschrieben. Inwieweit davon aber auch durch den Like-Button erhobene Daten erfasst sind, ist allerdings nicht restlos klar.

Anwendbarkeit des Datenschutzgesetzes

Die Anwendbarkeit des Schweizerischen Datenschutz­gesetzes (DSG) setzt voraus, dass Personendaten von einer Bearbeitung betroffen sind. Personendaten sind gemäss dem DSG alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Seit dem Logistep-Urteil des Schweizer Bundesgerichts ist klar, dass IP-Adressen nicht generell als Personendaten im Sinne des Datenschutzgesetzes zu qualifizieren sind, sondern dies vielmehr von den konkreten Umständen des Einzelfalls abhängt. Erforderlich ist letztendlich, dass die Bestimmbarkeit der betroffenen Person aufgrund der konkreten IP-Adresse zu bejahen ist, was zumindest bei einem Teil der Besucher von Websites mit eingebundenem Like-Button der Fall sein wird. Entsprechend führt die Erhebung von Daten über dieses Social Plug-In also zur Anwendbarkeit des DSG. Auf der nächsten Seite: Bestehende Informationspflichten

Bestehende Informationspflichten

Das Schweizer Datenschutzrecht sieht vor, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Von Bedeutung ist dabei nicht die tatsächliche Vorstellung der betroffenen Person. Vielmehr ist von einer normativen Betrachtungsweise auszugehen. Es ist also zu fragen, von welchen Bearbeitungszwecken die betroffene Person aufgrund der konkreten Umstände ausgehen durfte und musste. Weiter müssen die Beschaffung von Personendaten und insbesondere der Zweck der Bearbeitung für die betroffene Person erkennbar sein. Ein Besucher einer Website mit eingebundenem Like-Button wird in der Regel nicht davon ausgehen, dass über ihn Daten erhoben werden, die an Facebook gesendet und von Facebook bearbeitet werden. Derartige Kenntnisse dürften lediglich einem kleinen Teil der Besucher der Website vorbehalten sein. Entsprechend sollten die Besucher über die Erhebung der Daten und deren Verwendung informiert werden. Dies kann insbesondere im Rahmen der meist ohnehin bestehenden Datenschutzerklärung des Betreibers der Website erfolgen.

Einwilligungspflicht?

Der Eidgenössische Datenschutz- und Öffentlichkeits­beauftragte (EDÖB) scheint der Auffassung zu sein, dass Besucher von Websites mit eingebundenen Social Plug-Ins nicht nur informiert werden müssen, sondern zudem ihre Zustimmung zur Datenbearbeitung erforderlich ist. In seinem 19. Tätigkeitsbericht empfiehlt der EDÖB Websitebetreibern bei der Einbindung von Social Plug-Ins die sogenannte Zwei-Klick-Lösung. Bei dieser erstmals vom Zeitschriftenverlag Heise online entwickelten Lösung werden der Like-Button und die Datenübertragung an Facebook nicht bereits mit dem Aufrufen der entsprechenden Website aktiviert, sondern erst nach einem weiteren Klick. Der Like-Button ist also vorerst deaktiviert. Eine Verbindung zu Facebook wird erst hergestellt, nachdem der Besucher der Website dazu sein Einverständnis erteilt hat. Es finden sich verschiedene datenschutzrechtliche
Argumente für diese Sichtweise des EDÖB. Sie sind für den Like-Button von Facebook jedoch nicht zwingend. Klärende Gerichtsentscheide stehen derzeit noch aus und hinsichtlich ihrer Praktikabilität ist die Zwei-Klick-Lösung problematisch. In internationaler Hinsicht bleibt anzumerken, dass sich diese Lösung auch ausserhalb der Schweiz nach wie vor noch nicht durchgesetzt hat. Auf der nächsten Seite: Fazit

Fazit: Informationspflicht besteht

Zusammenfassend kann also festgehalten werden, dass ein Unternehmen, das auf seiner Website den Like-Button von Facebook verwendet, die Besucher der Website über die Erhebung der Daten und deren Verwendung informieren muss. Inwieweit zusätzlich eine Einwilligung der Besucher zur Datenbearbeitung eingefordert werden müsste, ist derzeit demgegenüber noch nicht klar. Zur Durchsetzung von datenschutzrechtlichen Ansprüchen stehen dem Betroffenen verschiedene Rechts­-behelfe zur Verfügung. Für Einzelpersonen fällt ein gerichtliches Vorgehen aufgrund des Kostenrisikos jedoch meist ausser Betracht. Erwähnenswert ist, dass unter bestimmten Voraussetzungen der EDÖB von sich aus oder auf Meldung Dritter tätig werden kann. Dies wäre in Bezug auf Social Plug-Ins durchaus möglich und könnte für die betroffenen Unternehmen unangenehm werden. Weiter ist die Einhaltung der datenschutzrechtlichen Vorgaben insbesondere im Hinblick auf Reputationsrisiken von
Unternehmen bedeutsam. Es kann davon ausgegangen werden, dass der EDÖB seine bis anhin eher allgemein gehaltenen Aussagen zur Verwendung der Social Plug-Ins noch präzisieren und detaillierter dazu Stellung nehmen wird. Bis zu diesem Zeitpunkt sind die Risiken für Schweizer Unternehmen, die auf ihrer Website Social Plug-Ins verwenden und die Einwilligung der Besucher ihrer Website bezüglich der Daten­bearbeitung nicht einholen, als eher gering einzustufen. Es ist jedoch empfehlenswert, die weitere datenschutzrechtliche Entwicklung in der Schweiz rund um die Social Plug-Ins zu verfolgen.
Auf der sicheren Seite
So verhalten Sie sich bei der Verwendung von Like-Buttons rechtskonform:
  • Aufgrund datenschutzrechtlicher Vorgaben muss der Besucher der Website über die Erhebung der Daten und deren Verwendung informiert werden. Dies kann insbesondere im Rahmen einer Datenschutzerklärung erfolgen.
  • Der EDÖB scheint davon auszugehen, dass zusätzlich zur Informationspflicht die Einwilligung des betroffenen Besuchers zur Datenbearbeitung eingeholt werden muss. Es gibt gute Argumente gegen die Sichtweise des EDÖB. Gerichtliche Entscheide bestehen derzeit noch nicht.
  • Die Einwilligung des betroffenen Besuchers kann insbesondere mit der sogenannten Zwei-Klick-Lösung erlangt werden. Diese Lösung ist derzeit noch nicht verbreitet. Wer jegliche datenschutzrechtliche Risiken vermeiden will, kommt um sie jedoch nicht herum.

Das könnte Sie auch interessieren