Der berüchtigte Like-Button und der Datenschutz
Vorgeschichte
Der Landesdatenschutzbeauftragte von Schleswig-Holstein, Thilo Weichert, hat kürzlich dort ansässige Unternehmen beauftragt, den Facebook-„Like“-Button von ihren Webseiten zu entfernen und ihre Fanpages bei Facebook zu löschen. Andernfalls würde er Bußgelder bis 50.000 EUR wegen Verstoß gegen Datenschutzgesetze verhängen.
Drei weitere Landesdatenschutzbeauftragte haben sich der Meinung angeschlossen, dass zumindest die Verwendung des Like-Buttons gesetzeswidrig ist. Liest man die Kommentare zu den einschlägigen Artikeln z.B. auf Spiegel Online, zeigen ca. 80% der Kommentatoren mit Aussagen wie:
- „Wer trotzdem freiwillig (!) teilnimmt, muß halt damit leben, daß mit seinen Daten auch Schindluder getrieben werden kann. Wenn ich das verhindern will, melde ich mich bei einem solchen Stasi-Tool doch nicht freiwillig an!“
- „Auch die Website vom ULD und allen anderen Datenschützern bekommen diese Informationen.“
- „Facebook ist Bestandteil des öffentlichen Lebens, Aktivitäten auf Facebook entsprechen solchen auf dem Marktplatz, einer Straße oder irgendwo sonst im öffentlichen Raum. Wem das nicht bewusst ist, der braucht keinen Datenschutz, sondern einen Betreuer und vielleicht sogar eine stationäre Unterbringung.“,
dass sie die Problematik überhaupt nicht verstanden haben.
Mythen über Facebook-Abstinenz
In der Tat ist es so, dass man sich glücklicherweise nicht bei Facebook registrieren muss, um das Internet benutzen zu dürfen. Das war es dann aber auch schon; folgende beiden Aussagen sind Mythen:
- Wer nichts mit Facebook zu tun haben will, meldet sich halt nicht an; wer sich dort präsentieren will und dem Konzern mit Hinblick auf die Verwendung seiner Daten vertraut, kann das tun, ansonsten eben nicht.
- Eine sehr hohe Anzahl von Seiten binden den Like-Button von Facebook ein. Wem eine Seite gefällt, kann den Button anklicken; wer den Kontakt mit Facebook meiden will, der nicht.
Technischer Hintergrund
Der Like-Button als Inhalt wird direkt von den Facebook-Servern geladen. Insbesondere sendet der Browser standardmäßig mindestens einen HTTP GET-Request an einen Facebook-Server und offenbart damit die eigene IP-Adresse, Browser und die aufrufende Seite an Facebook (vgl. Artikel auf heise.de), erlaubt aber auch das Setzen eines Cookies, so dass er später wiedererkannt werden kann. Das wäre auch der Fall, wenn es sich beim Like-Button um Code der Form
<a href="http://facebook.com/..."><img src="http://facebook.com/...jpg" /></a>
handeln würde, so wie dies bspw. bei der statischen Version des „flattr this“-Buttons gemacht wird. Es würde den Webmaster allerdings in die Lage versetzen, das eigentliche Bild zum "Like"-Button selbst zu hosten und damit dem Websitebesucher das GET auf facebook.com zu ersparen. (Meine flattr-Buttons sind z.B. in dieser Form „privacy-enabled“.) Technisch ist der Like-Button allerdings ein iframe, bei dem der Webmaster die Kontrolle über den angezeigten Inhalt vollständig abgibt (was im Übrigen auch ein Sicherheitsrisiko ist, sollte doch eines Tages ein Facebook-Server geknackt werden...) und Facebook selbst diesen Inhalt bestimmt, einschließlich JavaScript o.ä.
Dies hat mehrere Konsequenzen:
- Der Webmaster hat keine Möglichkeit, diesen Button lokal zu hosten.
- Facebook erhält neben den Informationen aus dem HTTP-Header auch noch sämtliche Informationen, die einem JavaScript zugänglich sind, wie z.B. Bildschirmauflösung, installierte Browser-Plugins etc. Damit kann Facebook potentiell en passant die gleichen Daten abgreifen wie eine speziell für diesen Zweck eingesetzte Web-Analyse-Software wie Piwik oder Google Analytics.
- Facebook erhält also zu allen Seiten, die den Like-Button einbinden, detaillierte Statistiken über Anzahl und Herkunft der Besucher dieser Seite, Konfigurationen etc., also eine große Menge von Informationen auf makroskopischer Ebene (also für die Masse der Internetbenutzer).
- Auf der anderen Seite kann Facebook unter Verwendung eines Cookies auch das Surfverhalten einer konkreten Person über alle Seiten, die den Like-Button verwenden, verfolgen. Es liegen also auch auf mikroskopischer Ebene (also für einen speziellen Internetbenutzer) detaillierte Informationen vor.
Diese und deutlich gründlichere Auswertungen finden sich im Arbeitspapier „Facebook und Reichweitenanalyse“ (PDF) des unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD).
Problematik
Die oben aufgestellte Hypothese, dass man sich einfach nur nicht-bei-Facebook-anmelden muss, wenn man seine persönlichen Daten nicht dort sehen will, ist einfach falsch. Facebook sammelt von mir als unbeteiligtem Internetbenutzer jedes Mal Daten, wenn ich eine Seite mit Like-Button besuche. Selbst wenn Facebook meine Identität nicht kennt, kann es – durch die hohe Verbreitung des Buttons bedingt – ein detailliertes Surfprofil von mir erstellen. (Dass diese Informationen mit meiner realen Person verknüpft werden können, wenn ich beim Surfen auch bei Facebook angemeldet bin, sei als selbstverständlich angenommen.) Vielleicht ist es ja so, dass Facebook außer dem Ausliefern einer statischen jpg-Datei tatsächlich nichts mit den verfügbaren Daten anfängt, aber darüber schweigt sich das Unternehmen offenbar aus.
Ich erhalte auch zuweilen Einladungs-eMails von Facebook, in denen unter „Personen, die du kennen könntest“ in der Tat viele bekannte Gesichter auftauchen. Ich habe Facebook aber nie gebeten oder legitimiert, irgendwelche Informationen über mich mit irgendeiner eMail-Adresse von mir zu speichern oder auszuwerten; siehe hierzu auch § 33 BDSG: „Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen.“
Was kann ich also tun, um herauszufinden, was Facebook über mich weiß? Für ein Unternehmen, das sich an deutsche Gesetze halten muss, gibt es hier eine ganz einfache Möglichkeit: „Sehr geehrte Damen und Herren, bitte erteilen Sie mir gemäß § 34 BDSG Auskunft über alle zu meiner Person bei Ihnen gespeicherten Daten.“ Nur Facebook – und das ist wohl das Problem – betreibt keine deutsche Niederlassung, an die ich mich wenden könnte. Wen kann ich denn vor Gericht zerren, um mein Recht durchzusetzen? In Deutschland wohl niemanden. Es sei aber noch darauf hingewiesen, dass – selbst, wenn Facebook sich dem deutschen Datenschutzrecht verpflichtet fühlen und dies korrekt anwenden würde – jeder Webseitenbetreiber in seiner Datenschutzerklärung darauf hinweisen sollte, dass Daten ohne Rückfrage an Facebook weitergegeben werden.
Kritik an der Kritik
Das ULD unter Thilo Weichert steht gerade massiv unter Beschuss; von Datenschutzfundamentalisten und -hysterikern ist die Rede, von Bevormundung und ähnlichem. Lars Reineke schreibt in seinem Blog:
Es gibt Menschen, die Facebook in irgendeiner Weise stärker misstrauen als anderen Wirtschaftsunternehmen. Dem kann ich mich nicht anschließen. Ob meine Daten nun von Facebook, Google oder der Deutschen Bank getrackt werden, macht für mich keinen großen Unterschied.
Ob dem so ist, lasse ich mal offen; in jedem Fall hat die Deutsche Bank nicht auf jeder zweiten Website ihre Tracking-Tools installiert – und ist mir nach oben erwähntem § 34 BDSG auskunftspflichtig. Eine interessante Frage stellt er allerdings:
Was veranlasst Thilo Weichert denn nun eigentlich zu glauben, dass andere Webseiten, von denen Content eingebunden wird, vertrauenswürdiger mit den dort anfallenden Daten umgehen? [...] Aber was ist eigentlich mit
- eingebetteten YouTube-Videos?
- Flattr-Buttons?
- Google Analytics?
- Google+?
- Amazon Affiliate Buchcovern?
oder irgendeinem anderen [...] Objekt, das ich als Webseitenbetreiber gerne von einer anderen Domain als meiner eigenen einbinden möchte? [...] Das geht nämlich zukünftig auch nicht mehr, wenn man das mal zu Ende denkt.
Das ist in der Tat die Situation, in der wir sind. Es steht für mich außer Frage, dass ich zumindest in einer Form von Datenschutzerklärung den Besucher darauf hinweisen muss, dass mit dem Besuch der Website gewisse Daten an flattr/Google/Amazon kommuniziert werden. Das ist nicht nur eine gesetzliche Pflicht, sondern gehört sich auch so. (Andererseits: Muss ich einen Kunden, der bei mir im Webshop etwas bestellt, darauf hinweisen, dass ich DHL als Versanddienstleister und auch meinem Steuerberater gewisse persönliche Daten zukommen lasse/lassen muss oder ist das klar?)
Aber muss ich unterscheiden zwischen
- eingebetteten Objekten mit/ohne Cookie,
- mit/ohne JavaScript,
- mit/ohne Bindung des Anbieters an das BDSG,
- der Marktmacht/Verbreitung des Anbieters des eingebetteten Objekts?
Christian Scholz kritisiert – und hat mit der Feststellung recht – dass das deutsche Datenschutzrecht ein Standortnachteil für die Internetwirtschaft ist: „Wieso werden auch nie die wirtschaftlichen Auswirkungen untersucht und die negativen Folgen für unseren Internetstandort?“ (Exkurs: Ist dann das Kriegswaffenkontrollgesetz auch Standortnachteil für die deutsche Rüstungsindustrie? Oder ist es nicht viel eher Recht und Pflicht der Politik, der Wirtschaft die „richtigen“ Rahmenbedingungen vorzugeben?)
Ich sehe, dass das deutsche Datenschutzrecht viele Geschäftsideen und ihre Umsetzung verkompliziert. Aber dieses Recht ist wichtig und richtig und man sollte es als Herausforderung betrachten, Dienste so anzubieten, dass auch jeder sein Grundrecht auf informationelle Selbstbestimmung adäquat wahrnehmen kann.