Datenschützer: Einbinden von Social Plug-ins ohne Vetomöglichkeit ist unzulässig


Umstritten: Facebooks „Gefällt mir“-Button (Screenshot: ZDNet)

Der Düsseldorfer Kreis hat gestern einen Beschluss zum Datenschutz in sozialen Netzwerken veröffentlicht. Darin stellen die in der Organisation zusammengeschlossenen obersten deutschen Datenschutzaufsichtsbehörden klar, dass „das direkte Einbinden von Social Plug-ins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plug-ins ausgelöst wird, ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig“ ist.

Der Zusammenschluss der obersten deutschen Aufsichtsbehörden lobt zwar die Bemühungen der Betreiber von sozialen Netzwerken, durch Selbstverpflichtungen den Datenschutz zu verbessern, als Schritt in die richtige Richtung. Die Anerkennung solcher Selbstverpflichtungen durch die Datenschutzaufsichtsbehörden gewährleistet seiner Ansicht nach, dass die Anforderungen des geltenden Datenschutzrechts erfüllt werden. Allerdings müssten die Betreiber – unabhängig davon, ob sie ihren Sitz in Deutschland haben – schon heute das Datenschutzrecht in Deutschland beachten.

Anbieter, die außerhalb des Europäischen Wirtschaftsraumes ansässig sind, unterliegen laut Bundesdatenschutzgestz hinsichtlich der Daten von Betroffenen in Deutschland dem hiesigen Datenschutzrecht, „soweit sie ihre Datenerhebungen durch Rückgriff auf Rechner von Nutzerinnen und Nutzern in Deutschland realisieren.“ Dies ist laut Düsseldorfer Kreis regelmäßig der Fall. Die Anwendung des Bundesdatenschutzgesetzes könne in diesen Fällen nicht einfach durch die Gründung einer rechtlich selbstständigen Niederlassung in einem anderen EU-Staat umgangen werden. Nur wenn das soziale Netzwerk auch in der Verantwortung dieser europäischen Niederlassung betrieben werde, könne die Verarbeitung der Daten deutscher Nutzer unter Umständen dem Datenschutzrecht eines anderen Staates im Europäischen Wirtschaftsraum unterliegen.

Von Betreibern Sozialer Netzwerke fordert der Düsseldorfer Kreis, dass sie zumindest leicht zugänglich und verständlich darüber informieren, welche Daten erhoben und für welche Zwecke diese verarbeitet
werden. Die Voreinstellungen der Netzwerke müssten zudem auf dem Einwilligungsprinzip beruhen, jedenfalls soweit der Zweck der Mitgliedschaft die Angabe von Daten nicht zwingend voraussetzt. „Eine Datenverarbeitung zunächst zu beginnen und nur eine Widerspruchsmöglichkeit in den Voreinstellungen zu ermöglichen, ist nicht gesetzmäßig.“

Außerdem bestehen die Datenschützer auf einer „einfachen Möglichkeit“, Ansprüche auf Auskunft, Berichtigung und Löschung von Daten geltend zu machen. Grundvoraussetzung dafür sei die Angabe von Kontaktdaten an leicht auffindbarer Stelle. Die Verwertung von Fotos zur Gesichtserkennung sowie das Speichern und Verwenden von biometrischen Gesichtserkennungsmerkmalen ohne ausdrückliche und bestätigte Einwilligung der abgebildeten Person bezeichnen sie ausdrücklich als unzulässig.

In dem Beschluss weisen die Datenschützer auch darauf hin, dass das deutsche Telemediengesetz die Möglichkeit verlange, Soziale Netzwerke unter Pseudonym zu nutzen. Außerdem sei – sofern keine Einwilligung vorliegt – die personenbezogene Profilbildung verboten, und es bestehe die Verpflichtung, nach Beendigung der Mitgliedschaft sämtliche Daten zu löschen. Weiter sei es unabdingbar, die Daten, die in sozialen
Netzwerken anfallen, durch geeignete technisch-organisatorische Maßnahmen zu schützen. Laut Beschluss müssen Anbieter nachweisen können, dass sie solche Maßnahmen getroffen haben. Betreiber, die ihren Sitz außerhalb der EU haben, müssen einen Vertreter in Deutschland bestellen, der als Ansprechpartner für die Datenschutzaufsicht zur Verfügung steht.

Deutsche Unternehmen, die Social Plug-ins eines Netzwerkes einbinden oder sich mit Fanpages in einem Netzwerk präsentieren wollen, müssen laut aktuellem Beschluss zuvor Erklärungen eingeholt haben, mit denen sich die Verarbeitung von Nutzerdaten durch den Betreiber des sozialen Netzwerkes rechtfertigen lässt. Die Erklärungen seien nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können.

Der Düsseldorfer Kreis hält es aber für erwiesen, dass Anbieter deutscher Websites meist nicht ausreichend über die Datenverarbeitungsvorgänge Bescheid wissen, die durch Social Plug-ins ausgelöst werden. Sie seien daher in der Regel nicht in der Lage, „die für eine informierte Zustimmung ihrer Nutzerinnen und Nutzer notwendige Transparenz zu schaffen.“ Sie liefen so Gefahr, Rechtsverstöße zu begehen, wenn sie diese Social Plug-ins einbinden. Die Empfehlung des Düsseldorfer Kreises lautet daher: „Wenn sie die über ein Plug-in mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plug-ins nicht ohne weiteres in das eigene Angebot einbinden.“


So hat der Sender SWR3 die Integration von Social Plug-ins bei Bildern gelöst: Beim Klick auf eines der Symbole (Leiste unten) geht ein weiteres Browserfenster auf, in dem sich dann die Funktion des Plug-ins erst nutzen lässt (Screenshot: ZDNet)

Bereits im August hatte das Unabhängige Landeszentrum für Datenschutz in Schleswig-Holstein (ULD) einen Großteil der jetzt vom Düsseldorfer Kreis beschlossenen Forderungen aufgestellt. Rechtsanwalt Christian Solmecke von der Kölner Medienrechts-Kanzlei Wilde Beuger Solmecke hatte damals darauf hingewiesen, dass nicht nur für Webseitenbetreiber in Schleswig-Holstein dringender Handlungsbedarf bestehe: Wer Facebooks „Gefällt mir“-Button weiter nutzen wolle, müsse ihn auch technisch rechtswirksam einbinden.

„Die einzig mögliche Einbindung sieht derzeit wohl so aus, dass der ‚Gefällt mir‘-Button zunächst ohne Funktionalität als reines Bild auf einer Webseite erscheint. Erst mit dem Klick auf dieses Bild wird dann der eigentliche Like-Button mit seiner vollen Funktionalität nachgeladen“, erklärte Solmecke. Eine solche Einbindung führe dazu, dass die Nutzerdaten nicht per se an Facebook übertragen würden. Vielmehr aktiviere der Nutzer die Übertragung bewusst selbst. „Er hat dann auch vorher die Möglichkeit, die dazugehörige Datenschutzbestimmung zur Kenntnis zu nehmen und sich genau zu überlegen, ob er den Button aktivieren möchte oder nicht.“ Eine solche Lösung nutzt etwa der Radiosender SWR3.


So hat der Sender SWR3 die Integration von Social Plug-ins bei Videos gelöst:

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago