Drucken

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 15.11.2012

Social Plugins auf Webseiten bayerischer öffentlicher Stellen (einschließlich Stellen nach Art. 2 Abs. 2 BayDSG)

Die folgenden Ausführungen beziehen sich unter den Voraussetzungen des Art. 2 Abs. 2 BayDSG auch auf privatrechtlich organisierte Stellen, die Aufgaben der öffentlichen Verwaltung wahrnehmen.

Social Plugins wie beispielsweise der Like Button ("Gefällt mir") von Facebook sind Einbindungen in Webseiten. Über solche Social Plugins versuchen verschiedene Webseitenbetreiber die Reichweite ihrer Webangebote "kostengünstig" zu erhöhen. Unter diesen Webseitenbetreibern befinden sich auch bayerische öffentliche Stellen. "Bezahlt" wird dies allerdings mit den Daten von Besuchern, die sich auf einer Behördenwebseite informieren wollen. Die sozialen Netzwerke ihrerseits profitieren nämlich insbesondere von den über die Social Plugins erhaltenen Daten.

Üblicherweise erfolgt die Einbindung von Social Plugins in eine Webseite über einen sog. iFrame. Dadurch wird dann etwa in die Webseite einer bayerischen Behörde eine Webseite einer anderen Stelle (direkt) integriert: Nämlich eine Webseite der Stelle, die hinter dem iFrame und damit hinter dem Social Plugin steht. Das führt wiederum dazu, dass mit dem bloßen Aufruf der Webseite der bayerischen Behörde quasi zugleich die über den iFrame in der Behördenseite integrierte Webseite aufgerufen wird, beim Like Button also eine Facebookseite.

Bei einer dementsprechend eingebundenen Seite werden damit dieselben Informationen an Facebook übermittelt wie wenn die Facebookseite direkt vom Besucher der Behördenseite aufgerufen worden wäre. Diese Konsequenz kann der Besucher der Behördenseite jedoch nicht im Allgemeinen verhindern, regelmäßig wird ihm der entsprechende Datenfluss auch gar nicht bewusst sein, zumal er vor Aufruf der Behördenseite von der direkten Einbindung eines Social Plugins grundsätzlich nichts weiß.

1. Ist die bloße direkte Einbindung von Social Plugins in Webseiten bayerischer öffentlicher Stellen datenschutzkonform?

Nein.

Durch eine bloße direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Im Falle von Facebook fließen die entsprechenden Daten in die USA. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich eine entsprechende (Mit-)Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorgaben des Telemediengesetzes, beispielsweise §§ 12, 13 TMG, von dieser Behörde nicht erfüllt.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

2. Wie hat sich die Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur direkten Einbindung von Social Plugins geäußert?

In der Entschließung "Datenschutz bei sozialen Netzwerken jetzt verwirklichen!" stellt auch die 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder insbesondere fest, dass die direkte Einbindung von Social Plugins beispielsweise von Facebook, Google+, Twitter und anderen Plattformbetreibern in die Webseiten deutscher Anbieter ohne hinreichende Information der Internet-Nutzenden und ohne Einräumung eines Wahlrechtes nicht mit deutschen und europäischen Datenschutzstandards in Einklang steht.

3. Gibt es eine Möglichkeit, die Einbindung von Social Plugins datenschutzfreundlicher als bei der bloßen direkten Einbindung auszugestalten?

Ja.

Insbesondere durch die sog. 2-Klick-Lösung gibt es eine Variante, bei der nicht bereits mit bloßem Aufruf der Behördenseite Daten an Facebook oder andere soziale Netzwerke fließen. Vielmehr muss hier der Besucher der Behördenseite zunächst einen Vorschaltbutton anklicken, erst dann erfolgt ein entsprechender Datenfluss. Für die Behörde besteht so auch die Möglichkeit, den Seitenbesucher vor einem evtl. Anklicken des Vorschaltbuttons und damit vor einem Datenfluss an Facebook und andere soziale Netzwerke zumindest in Ansätzen entsprechend der Regelung im Telemediengesetz (§ 13) zu informieren.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder und der Düsseldorfer Kreis fordern bereits seit Längerem gegenüber Facebook auch im Hinblick auf Social Plugins die Entwicklung einer datenschutzkonformen Lösung (s. Nr. 11 des Katalogs der datenschutzrechtlichen Anforderungen an soziale Netzwerke).

Facebook selbst bietet bezeichnenderweise dennoch weiterhin kein Social Plugin auf Basis etwa der "Zwei-Klick-Lösung" an. Webseitenbetreiber, die eine 2-Klick-Variante verwenden wollen, sind daher -unter Prüfung und Beachtung aller rechtlichen Rahmenbedingungen- auf anderweitig entwickelte 2-Klick-Lösungen (s. etwa: http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (externer Link) und http://www.heise.de/newsticker/meldung/Facebook-beschwert-sich-ueber-datenschutzfreundlichen-2-Klick-Button-2-Update-1335658.html (externer Link)) bzw. eigene Entwicklungen angewiesen.

4. Was empfiehlt der Bayerische Landesbeauftragte für den Datenschutz?

Bayerische öffentliche Stellen sollten schon aufgrund ihrer Vorbildfunktion Social Plugins von Facebook oder anderen sozialen Netzwerken, die sich wiederholt nicht an europäische oder deutsche Datenschutzstandards gehalten haben, grundsätzlich nicht in ihre Webseiten einbinden.

Aufgrund der genannten Vorbildfunktion sollten übrigens auch keine entsprechenden Links zu den Seiten solcher sozialer Netzwerke auf den Webseiten bayerischer öffentlicher Stellen gesetzt werden.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Düsseldorfer Kreis haben einen Katalog der Anforderungen an soziale Netzwerke zusammengestellt.

Gegen bayerische öffentliche Stellen, die Social Plugins unzulässig direkt (s.o. Variante unter 1.) in ihre Webseiten einbinden, wird der Bayerische Landesbeauftragte für den Datenschutz konkret vorgehen.