Mit dem Aufkommen von Social Media-Diensten wie Facebook, Twitter & Co. wurden Internetseiten von einem neuen Trend erobert: Die altbewährte „Tell-A-Friend“ Funktion – welche einst ermöglichte, Freunden einen bestimmten Link ausschließlich per E-Mail mitzuteilen – hat sich nun zu einem Plugin für die verschiedensten sozialen Netzwerke entwickelt. Diese Funktion erfreut sich größter Beliebtheit, nicht zuletzt, da sich dadurch Links auf die eigene Webseite rasend schnell verbreiten lassen und den Besucherstrom enorm erhöhen. Allerdings stellt sich seit dem Aufkommen dieser Weiterempfehlungsfunktion die Frage, ob diese Funktion durch den Betreiber einer Internetseite auch datenschutzkonform eingesetzt werden kann.
Mit einem Klick auf den „Gefällt mir“-Button oder ähnlichen Verlinkungen zu Social Media-Plattformen wird auf dem Profil des Nutzers in dem jeweiligen sozialen Netzwerk die Information hinterlassen, dass der Nutzer gerade diese Daten empfiehlt. Die erhobenen Daten sind dabei personenbezogen, da durch die Verknüpfung mit dem Profil des sozialen Netzwerks der Nutzer eindeutig identifizierbar wird. Aus technischer Sicht kommunizieren die in die Webseite eingebetteten Plugins über eine Cookie- und Tracking-Technik mit den jeweiligen Netzwerken und leiten dadurch personenbezogene Daten an die Dienste weiter.
Problematisch aus rechtlicher Sicht ist die Frage, ob deutsches Datenschutzrecht für ein Unternehmen gilt, welches seinen Sitz in den USA hat. Allerdings gilt beispielsweise für das Angebot des deutschen Facebook, dass nach den Angaben des Impressums der Betreiber die „Facebook Ireland Limited“ ist, womit die Seite zumindest der Datenschutzrechtrichtlinie der EU unterfällt. Deutsches Datenschutzrecht könnte sogar direkt Anwendung finden, wenn man entsprechend dem § 2a Abs. 1 TMG davon ausgeht, dass der Mittelpunkt der Tätigkeit des Angebots des deutschen Facebook gerade eben in Deutschland ist. Trotz dessen werden die durch Facebook Deutschland gewonnenen Daten an den Mutterkonzern in die USA weitergegeben.
Für den Webseitenbetreiber interessant ist daher nun die Frage, wie er die Vorteile der Social Media-Plugins nutzen kann und sich trotzdem datenschutzkonform verhält. Das Telemediengesetz macht hierzu in § 13 Abs. 1 TMG die Vorgabe, dass der Webseitenbetreiber den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zweck der Erhebung und Verwendung personenbezogener Daten sowie über die Verarbeitung seiner Daten in Staaten außerhalb der EU informieren muss, v.a. darüber, dass dieser Datenaustausch auch tatsächlich stattfindet. Erfolgt diese Datenschutzerklärung in nicht verständlicher Form oder erfolgt die Nutzung der „Tell-A-Friend“-Funktionen ohne jeglichen Hinweis in der Datenschutzerklärung, so drohen Bußgelder nach §16 TMG.
Wie dies nun im Fall einer Tell-A-Friend Funktion zu erfolgen hat, erscheint fraglich. Der Gesetzeswortlaut „Beginn des Nutzungsvorgangs“ i.S.d. §13 Abs. 1 TMG spricht für eine verpflichtende Anzeige einer Datenschutzerklärung beim Aufruf der jeweiligen Webseite oder bei Aktivierung des „Like-Buttons“, was in der Praxis jedoch quasi nicht umsetzbar sein wird. Das alleinige Bereithalten einer Datenschutzerklärung auf einer Webseite wird für sich betrachtet regelmäßig nicht ausreichen.
Grundsätzlich sieht das Telemediengesetz gem. § 12 Abs. 1 TMG ein Verbot mit Erlaubnisvorbehalt bei Erhebung und Verwendung von personenbezogenen Daten vor. Eine Zulässigkeit ist nur dann gegeben, wenn eine rechtliche Verpflichtung für die Übermittlung besteht, ein Gesetz dies zulässt oder eine Einwilligung des Nutzers gem. § 4a BDSG vorliegt. Letzteres kann zumindest vom Großteil der Nutzer aus Praktikabilitätsgründen nicht angenommen werden, da der Nutzer sonst pro Nutzungsvorgang einwilligen müsste.
Daher kommt nur § 15 TMG als Rechtsgrundlage in Betracht, welcher voraussetzt, dass die Datenverwendung erforderlich ist, um die Telemedien einzusetzen. Die Nutzung von derartigen Tell-A-Friend Funktionen ist jedoch gerade nicht erforderlich, um die Webseite oder Facebook zu nutzen, sondern bietet ausschließlich eine Zusatzfunktion. § 15 TMG betrifft gerade das Verhältnis zwischen Betreiber der Webseite und dem Nutzer und nicht das Verhältnis zwischen dem Nutzer und dem jeweiligen Dienst, an den die Daten übertragen werden. Dafür spricht auch das Gebot der Datensparsamkeit gem. § 3a BDSG, der eine derartig umfangreiche Datenerhebung gerade ablehnt.
Gelöst werden könnte das Problem über die Regelungen der Auftragsdatenverarbeitung gem. § 11 BDSG, allerdings ist aufgrund der dortigen strengen Voraussetzungen – insbesondere der in der Regel fehlenden Weisungsgebundenheit des Webseitenbetreibers gegenüber Facebook und anderen Diensten – im Ergebnis wohl auch keine Rechtfertigung für die Datenerhebung gegeben.
Fazit: Nach der derzeitigen Rechtslage entsprechen Tell-A-Friend Funktionen wie der „Like-Button“ von Facebook im Ergebnis wohl nicht den Vorgaben des deutschen Datenschutzrechts. Werden Daten ohne Einwilligung des Nutzers oder gar ohne Rechtsgrundlage übermittelt, belegt das Bundesdatenschutzgesetz den Datenverwender gem. § 43 Abs. 2 Nr. 1 BDSG mit einem Bußgeld bis zu 300.00.- Euro.
Es lässt sich allerdings auch argumentieren, dass der Nutzer des Buttons weiß, dass entsprechende Daten an den jeweiligen Social Media-Anbieter gehen und diese Informationen in seinem Profil geposted werden. Der Nutzer hätte damit konkludent in die Weitergabe der personenbezogenen Daten in dem bekannten Umfang eingewilligt.
