≡ Sitemap

Der Bayerische Landesbeauftragte für den Datenschutz; Stand: 24.05.2018

Social Plugins

Zusammenfassung

Bayerische öffentliche Stellen dürfen Social Plugins wie den Like Button ("Gefällt mir") von Facebook nicht direkt in ihre Behördenwebseiten einbinden. Öffentliche Stellen sind dabei auch Vereinigungen des privaten Rechts, die Aufgaben der öffentlichen Verwaltung wahrnehmen und an denen eine bayerische öffentliche Stelle beteiligt ist (vgl. Art. 1 Abs. 2 BayDSG).

Gegen bayerische öffentliche Stellen, die Social Plugins unzulässig direkt in ihre Behördenwebseiten einbinden, wird der Bayerische Landesbeauftragte für den Datenschutz konkret vorgehen.

Mit der sogenannten Zwei-Klick-Lösung gibt es allerdings eine andere Variante als die direkte Einbindung von Social Plugins. Bei dieser Variante fließen keine Daten unzulässig bereits mit Aufruf der Behördenwebseite an Soziale Netzwerke wie Facebook.

Einzelheiten

Social Plugins wie beispielsweise der Like Button ("Gefällt mir") von Facebook sind Einbindungen in Webseiten. Über solche Social Plugins versuchen verschiedene Webseitenbetreiber die Reichweite ihrer Webangebote "kostengünstig" zu erhöhen. Unter diesen Webseitenbetreibern befinden sich auch bayerische öffentliche Stellen. "Bezahlt" wird dies allerdings mit den Daten von Besuchern, die sich auf einer Behördenwebseite informieren wollen. Die Sozialen Netzwerke ihrerseits profitieren nämlich insbesondere von den über die Social Plugins erhaltenen Daten.

Üblicherweise erfolgt die Einbindung von Social Plugins in eine Webseite über einen sog. iFrame. Dadurch wird dann etwa in die Webseite einer bayerischen Behörde eine Webseite einer anderen Stelle (direkt) integriert: Nämlich eine Webseite der Stelle, die hinter dem iFrame und damit hinter dem Social Plugin steht. Das führt wiederum dazu, dass mit dem bloßen Aufruf der Webseite der bayerischen Behörde quasi zugleich die - über den iFrame in der Behördenseite - integrierte Webseite aufgerufen wird, beim Like Button also eine Facebookseite.

Bei einer dementsprechend eingebundenen Seite werden damit dieselben Informationen an Facebook übermittelt wie wenn die Facebookseite direkt vom Besucher der Behördenseite aufgerufen worden wäre. Diese Konsequenz kann der Besucher der Behördenseite jedoch nicht im Allgemeinen verhindern, regelmäßig wird ihm der entsprechende Datenfluss auch gar nicht bewusst sein, zumal er vor Aufruf der Behördenseite von der direkten Einbindung des Social Plugins grundsätzlich nichts weiß.

Für die durch eine direkte Einbindung von Social Plugins ausgelösten Datenflüsse gibt es keine Rechtsgrundlage.

Durch eine direkte Einbindung erhält die hinter dem Social Plugin stehende Stelle (beispielsweise Facebook) allein durch den Aufruf der Behördenseite als Information zumindest die IP-Adresse des Seitenbesuchers (bzw. des von ihm verwendeten Rechners), Daten über Browsereinstellungen und die Tatsache des Aufrufs dieser Behördenseite. Dieser Datenfluss ist unabhängig davon, ob der Besucher der Behördenwebseite ein Mitglied von Facebook ist oder auch nur jemals eine Facebookseite besucht hat.

Auf der Grundlage, dass IP-Adressen personenbezogene Daten sind, gilt Folgendes: Dieser Datenfluss erfolgt ohne gesetzliche Befugnis und regelmäßig ohne wirksame Einwilligung zumindest bei Besuchern der Behördenwebseite, die keine Facebookmitglieder sind.

Eine bayerische Behörde, die durch die direkte Einbindung des Social Plugins in ihre Webseite diesen Informationsfluss erst ermöglicht, muss sich dafür eine entsprechende (Mit-) Verantwortlichkeit zurechnen lassen. Damit werden die datenschutzrechtlichen Vorschriften von dieser Behörden nicht eingehalten.

Über den gerade beschriebenen Datenfluss hinaus können im Übrigen je nach Konstellation weitere Datenflüsse erfolgen, bei denen Datenschutzverstöße im Raum stehen. Enthält der Browser eines Behördenseitenbesuchers etwa bereits einen Facebook Cookie, so wird dieser mit bloßem Aufruf der Behördenseite durch Facebook erkannt und ausgelesen. Facebook Cookies werden übrigens auch in die Browser von Nicht-Facebookmitgliedern gesetzt, wenn sie eine Facebookseite besuchen oder einen Like-Button anklicken.

Insbesondere durch die sogenannte Zwei-Klick-Lösung gibt es allerdings eine andere Variante als die direkte Einbindung von Social Plugins. Bei der Zwei-Klick-Variante fließen nicht bereits mit bloßem Aufruf der Behördenseite Daten an Facebook oder andere Soziale Netzwerke. Vielmehr muss hier der Besucher der Behördenseite zunächst einen Vorschaltbutton anklicken, erst dann erfolgt ein entsprechender Datenfluss. Für die Behörde besteht so auch die Möglichkeit, den Seitenbesucher vor einem eventuellen Anklicken des Vorschaltbuttons und damit vor einem Datenfluss an Facebook und andere Soziale Netzwerke hierüber zu informieren.

Facebook selbst bietet bezeichnenderweise kein Social Plugin auf Basis etwa der Zwei-Klick-Lösung an. Webseitenbetreiber, die eine Zwei-Klick-Variante verwenden wollen, sind daher - unter Prüfung und Beachtung aller rechtlichen Rahmenbedingungen - auf anderweitig entwickelte Zwei-Klick-Lösungen (s. etwa: http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (externer Link) und http://www.heise.de/newsticker/meldung/Facebook-beschwert-sich-ueber-datenschutzfreundlichen-2-Klick-Button-2-Update-1335658.html (externerLink) ) bzw. eigene Entwicklungen angewiesen.