Rechtsfragen bei Social Plug-Ins

Die diesbezügliche Seminararbeit ist hier zu finden!

Soziale Netzwerke, wie Facebook, Twitter und co bieten verschiedenste Social Plug-Ins an, um einzelne Funktionen auch außerhalb der eigenen Plattform nutzen zu können. Ein Beispiel hierfür – und wohl am Bekanntesten – ist der Like-Button von Facebook, der es den Nutzern ermöglicht eine URL einer Website in ihrem Profil mit nur einem Mausklick teilen zu können. Social Plug-Ins werden durch HTML und Java Script Code in die jeweilige Website eingebunden und in einem iFrame geladen. Es gibt eine vielzahl an Websites die diesen Like-Button auf ihren Seiten anbieten.

So praktikabel diese Plug-Ins für den Nutzer erscheinen, so nützlich sind diese Funktionen auch für die Anbieter solcher Sozialen Netzwerke wie Facebook und für die Websitebetreiber die solche Plug-Ins in ihr Onlineangebot einbinden, da es ihnen eine Analyse des Nutzungsverhaltens angemeldeter und nicht-angemeldeter Nutzer ermöglicht zum Beispiel durch Facebook Insights. Man kann statistische Daten über die Nutzeraktivität, die Nutzung des Like-Buttons, die geographische Daten uvm erhalten. Außerdem stellen diese eingebundenen Dienste ein erfolgsversprechendes Marketinginstrument dar, um die Reputation eines Unternehmens kontrollieren und verbessern zu können.

Um solch Statistiken über eine Website zu erstellen und eine Analyse der Nutzer möglich zu machen werden zahlreiche Informationen von dem Like-Button an Facebook übertragen und zwar ua

• das Datum, die Uhrzeit
• die URL und eine eindeutige ID der Website
• Browserinformationen wie zB die Version, die Sprache oder installierte Browser Plug-Ins
• die Bildschirmauflösung
• die IP-Adresse
• und diverse Cookies um ua zielgerichtete Werbung zu platzieren.

Die meisten Sozialen Netzwerke, so auch Facebook kommen aus den USA und so ist es nicht verwunderlich, dass dem Unternehmen das Verständnis für das europäische Datenschutzrecht fehlt. Die Frage ist, welches Recht zur Anwendung kommt. Spielt das österreichische bzw europäische Datenschutzrecht bei Sozialen Netzwerke die außerhalb Europas ihren Firmensitz haben überhaupt eine Rolle?

Das österreichische Datenschutzgesetz gilt nur für Datenanwendungen personenbezogener Daten in Österreich. Dieser räumliche Anwendungsbereich wird in § 3 Abs 1 DSG festgelegt. Hierbei gilt das Territorialitätsprinzip, da der Anknüpfungspunkt für die Anwendbarkeit des Datenschutzgesetztes grundsätzlich der Ort der Datenverwendung ist. Eine abweichende Regelung sieht § 3 Abs 2 DSG bzw Art 4 Abs 1 lit a EU-Datenschutzrichtlinie (95/46/EG) vor. Maßgebend für die Anwendbarkeit ist der Sitz des Auftraggebers, der personenbezogene Daten des Betroffenen verwendet, wenn der Auftraggeber eine Niederlassung in einem Mitgliedsstaat der Europäischen Union hat. In diesen Fällen kommt also das Sitzstaatprinzip zu tragen. Nach Ansicht der Artikel-29-Datenschutzgruppe, gelten die Bestimmungen der europäischen Datenschutzrichtlinie auch für Anbieter von sozialen Netzwerkdiensten mit Hauptsitz außerhalb der europäischen Union. Da es bei der Einbindung von Social Plug-Ins in eine Website auch um die Verantwortlichkeit des Websitesbetreibers geht, kommt es somit eh nicht nur auf den Sitz des Sozial Netzwerkdienstes an.

Folgende österreichische bzw europäische rechtliche Rahmenbedingungen sind daher ua zu beachten:

• Personenbezogene Daten dürfen gem § 8 Abs 1 DSG nur dann erhoben werden, wenn das Gesetz es erlaubt oder die betroffene Person über die Dantenverwendung detailliert informiert wird und ihr ausdrücklich zustimmt.
• In einer Datenschutzerklärung muss über jede Erhebung, Nutzung und Weitergabe dieser Daten informiert werden.
• Nutzungsstatistiken dürfen nur pseudonym erhoben werden. Die Nutzer müssen der statistischen Erfassung widersprechen können.

Es gibt daher eine datenschutzrechtliche Problematik im Bezug auf den Like-Button von Facebook. Der Like-Button erhebt und speichert die IP-Adresse eines Nutzers sobald die Website aufgerufen wird, unabhängig davon ob man ein Facebook-Mitglied ist oder nicht. Zudem kann man anhand der erzeugten Cookies Rückschlüsse über den jeweiligen Nutzer und dessen Surf-Verhalten schließen, sogenanntes Nutzer-Tracking. Durch die Nutzerdaten werden Statistiken und Profile der einzelnen Anwender erzeugt. Dies erfolgt ohne hinreichende Datenschutzerklärung und ohne ausdrückliche Einwilligung der Nutzer.

Ob eine Einwilligung bei der Verwendung der IP-Adresse notwendig ist oder nicht, ist umstritten. Datenschutzrechtlich sind gem § 1 Abs 1 DSG nur personenbezogene Daten relevant, bei denen ein schutzwürdiges Interesse besteht. Als personenbezogen gelten dabei all jene Angaben über natürliche oder juristische Personen oder Personengemeinschaften, deren Identität bestimmt oder bestimmbar ist. IP-Adressen können für bestimmte Dateninhaber zum Beispiel Internet Service Provider als personenbezogen im Sinne des Art 2 lit a EU-Datenschutzrichtlinie angesehen werden, da sie mit verhältnismäßigen Mitteln zu einer Person zurückverfolgt werden können. Dasselbe lässt sich von Internet-Diensteanbietern sagen, die in ihren HTTP-Servern Protokolle führen.

Nutzer können zudem durch Cookies und den Browser-Fingerprint identifiziert werden. Laut einer Studie von der Electronic Frontier Foundation können 83,6 % der Internet-Nutzer eindeutig identifiziert werden. Auf der Seite https://panopticlick.eff.org kann man seinen persönlichen Browser-Fingerprint überprüfen lassen.

Cookies sind kleine Text-Dateien in Web-Browsern, in denen das Surf-Verhalten des Nutzers registriert wird. Anmeldeinformationen, aufgerufene Websites, Besuchsdauer einer Website usw werden zum Beispiel gespeichert. Facebook legt mehrere solcher Cookies an. Unteranderem eines mit einer Nutzerkennung (ID) welches zwei Jahre gültig und im Browser gespeichert ist. Dieses Cookie wird bei jeder Kommunikation mit Facebook zur Wiedererkennung des Nutzers verwenden, also auch wenn man eine Website mit integriertem Social Plug-In besucht.

Die Cookie-Richtlinie (2009/136/EG) legt fest inwieweit Websitebetreiber Cookies setzen und auslesen dürfen und wie Internetnutzer ihre Zustimmung oder Ablehnung diesbezüglich zum Ausdruck bringen können. Von besonderer Bedeutung ist hierbei der Art 5 Abs 3 RL 2009/136/EG der sicherstellt, dass die Speicherung von Informationen oder der Zugriff auf Cookies, die bereits im Endgerät eines Nutzers gespeichert sind, nur erlaubt ist, wenn der betreffende Nutzer umfassend über die Zwecke der Verarbeitung gemäß der europäischen Datenschutzrichtlinie informiert wurde und seine Einwilligung abgegeben hat. Das Speichern oder Auslesen von Cookies ist jedoch erlaubt, wenn dies unbedingt erforderlich für die Durchführung der Übertragung einer Nachricht über ein Telekommunikationsnetz bzw für das zur Verfügung stellen des vom Nutzer ausdrücklich gewünschten Dienstes der Informationsgesellschaft ist. Innerstaatlich wurde dies durch § 96 Abs 3 Telekommunikationsgesetz umgesetzt. Da sowohl die IP-Adresse als auch die zuvor angelegten Cookies und zahlreiche weitere Informationen bei jedem Aufruf einer Webseite mit eingebundenen Social Plug-In an den sozialen Netzwerkdienst übertragen werden, dürfen diese personenbezogenen Daten nur unter Einhaltung des DSG vom Verantwortlichen verwendet werde.

Die meisten Datenschützer gehen von der Verantwortlichkeit der Websitebetreiber aus und sehen ihn als Auftraggeber im Sinne des DSG. Der Aufraggeber wird in § 4 Z 4 DSG 2000 definiert, als eine natürliche oder juristische Person oder Personengemeinschaft die die Entscheidung trifft und die faktische Kontrolle hat, Daten des Betroffenen für einen bestimmten Zweck zu verwenden. Vereinfacht gesagt ist der Auftraggeber insofern der „Herr der Daten“. Bei Webseitenbetreibern handelt es sich nach § 3 Z 2 E-Commerce Gesetz um Diensteanbieter, denen die datenschutzrechtliche Verantwortung für die über ihre Website vorgenommene Verarbeitung personenbezogener Daten obliegt. Wenn ein Webseitenbetreiber externe Dienste durch Einbinden eines Social Plug-Ins in Anspruch nimmt, ist er trotzdem für die vom sozialen Netzwerkdienst vorgenommene Verarbeitung personenbezogener Daten verantwortlich, obwohl keine direkte Datenverarbeitung durch den Webseitenbetreiber erfolgt. Diese Verantwortlichkeit ergibt sich, da der Webseitenbetreiber durch das Einbinden eines Social Plug-Ins in seine Website den Verarbeitungsprozess initiiert hat. Der Webseitenbetreiber kann die vorgenommene Datenverwendung insofern steuern, dass er entweder die Social Plug-Ins in seinem Quellcode mittels HTML oder Javascript einbindet oder eben nicht. Durch die Einbindung wird weiterer Quellcode von den Facebook Servern nachgeladen und dies löst den Verarbeitungsprozess aus. Diese datenschutzrechtliche Verantwortung kommt vor allem dann zu tragen, wenn der Webseitenbetreiber die Verarbeitung personenbezogener Daten durch den Dienst eines Dritten zu eigenen Zwecken nutzt, zB bei einer Reichweitenanalyse wie es mit dem Dienst „Facebook Insights“ möglich ist oder bei verhaltensbasierter Online-Werbung.

In Deutschland wurde die Einbindung des Like-Buttons in einzelnen Bundesländern untersagt und es kam bereits zu Abmahnungen einzelner Websitebetreiber. Auf jeden Fall müssen die Websites, die den Like-Button eingebunden haben, über dessen Nutzung aufklären und eine ausdrückliche Zustimmung einholen. Die Erklärungen sind nur dann rechtswirksam, wenn verlässliche Informationen über die dem Netzwerkbetreiber zur Verfügung gestellten Daten und den Zweck der Erhebung der Daten durch den Netzwerkbetreiber gegeben werden können. Websitebetreiber, die in der Regel keine Erkenntnisse über die Datenverarbeitungsvorgänge haben können, sind regelmäßig nicht in der Lage, die für eine informierte Zustimmung ihrer Nutzer notwendige Transparenz zu schaffen. Daher laufen sie Gefahr gegen das Datenschutzrecht zu verstoßen.

Es gibt bereits Alternativen für das Einbinden des Like-Buttons. Um die Problematik zu entschärfen setzen einige Websitebetreiber auf die so genannte 2-Klick-Lösung. Dabei wird zuerst nur eine Grafik des Buttons gezeigt, jedoch noch keine Daten an Facebook übermittelt. Erst wenn der Nutzer auf die Grafik klickt, gibt er seine Einwilligung und danach wird der Like-Button mit samt seiner Funktionalität geladen. Zuvor muss der Nutzer natürlich durch eine Datenschutzerklärung hinreichend über die Verwendung seiner Daten aufgeklärt werden. Zudem Bemühen sich die Betreiber von Sozialen Netzwerken zunehmend den europäischen Datenschutzstandard umzusetzen. Daher kommt es auch regelmäßig du Änderungen, wie man anhand der kürzlich geänderten Facebook Datenschutzrichtlinie erkennen kann.

Die Nutzer dessen Daten verwendet werden gelten gem § 4 Z 3 DSG 2000 als Betroffene, unerheblich ob sie bei sozialen Netzwerken registriert sind oder nicht. Sie rufen eine Website auf und wissen vorher nicht ob diese Seite Social Plug-Ins in ihrem Angebot eingebunden hat oder nicht. Alternativen für den Nutzer gibt es auch. Man kann zum Beispiel die Verwendung von Cookies in den Einstellungen des Browsers unterbinden. Außerdem gibt es Browser Plug-Ins die ua den Like-Button blockieren wie zum Beispiel unter https://webgraph.com/resources/facebookblocker/ zu finden ist. Durch die intensiven Bemühungen der Datenschützer ensteht ein Datenschutzmehrwert, der die Achtung des Privat- und Familienlebens schützen soll.