Fast jeder kennt sie – die „Gefällt mir“-Buttons auf immer mehr Webseiten, mit denen man seinen Facebook-Kontakten ein Fundstück beim Surfen signalisieren kann. Wer seine Facebook-Kontakte entsprechend auswählt, bekommt dadurch einen interessensgerecht vorsortieren Nachrichtenfeed generiert und kann seinerseits anderen signalisieren, was ihn interessiert.
Wie genau funktioniert das?
Sobald man eine Website aufruft, die Facebook-Buttons enthält, werden Daten wie z.B. IP-Adresse, Referer und statistische Informationen an Facebook übermittelt. Ist man Facebook-Nutzer und am System angemeldet (dazu muss man es nicht mal offen haben) kann Facebook so recht genau mitverfolgen wo sich Facebook-Nutzer im Internet bewegen und was sie interessiert. Mit der Zeit kommen so relativ präzise und über den Inhalt des eigenen Profils weit hinausgehende Nutzerprofile zusammen. Dies lassen sich in aggregierter Form zum Zwecke von Reichweitenanalysen gut zu Geld machen.
Aber auch ohne eigenes Facebook-Profil kann die Firma ohne Einwilligung der Nutzer und ohne dass diese einen „Gefällt mir“-Button angeklickt hätten, unbemerkt Daten speichern und so beträchtliche Vorratsdatenbanken aufbauen.
Da es sich dabei zum Teil um personenbezogene bzw. personenbeziehbare Daten i.S.d. Bundesdatenschutzgesetzes handelt, wäre hierfür eine Einwilligung des Betroffenen einzuholen. Dabei wäre den Nutzern rechtsverbindlich mitzuteilen, worin sie einwilligen und zu welchen abschließend aufgeführten Zwecken ihre Daten verwendet werden Das fordern Datenschützer schon länger von Facebook. Doch die Firma, deren europäischer Hauptsitz in Dublin liegt, hatte diese Forderungen bislang ignoriert, da sie rechtlich von Deutschland aus nur schwer zu greifen ist. Auf diese Weise erzielt sie Konkurrenten mit Sitz in Deutschland gegenüber aus Sicht von Datenschützern unlautere Wettbewerbsvorteile. So hat Facebook allein im ersten Halbjahr 2011 weltweit etwa eine halbe Milliarde Euro Gewinn erzielt.
Das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) beschloss daher das Problem vom anderen Ende her anzugehen und statt Facebook die in Deutschland rechtlich greifbareren Betreiber von .de-Websites, die Facebook-Buttons einbinden, rechtlich unter Druck zu setzen. Indirekt sollte so auch Facebook selber zum Handeln bewegt werden, da ansonsten vermehrt Websites angesichts möglicher fünfstelliger Geldbußen für Verstöße gegen das Datenschutzrecht die Buttons aus dem Netz nehmen und Facebooks Datenzuflüsse abklemmen würden. Eine umstrittene aber wirksame Vorgehensweise, da das Problem erst auf diesem Wege überhaupt einer breiteren Netzöffentlichkeit bewusst wurde. Bislang wurde es eher in der datenschutzrechtlichen Fachliteratur diskutiert.
Kürzlich schlugen Programmierer von Heise.de eine technische Lösung des Problems vor: den +2-Button. Dabei erscheinen Buttons sozialer Netzwerke wie Facebook oder Twitter zunächst inaktiv auf der Website und übermitteln keine Daten. Erst wenn der Nutzer sie anklickt werden sie aktiviert (erkennbar am Farbwechsel des Buttons) und ein zweiter Klick startet dann die damit verbundene Funktion. Doch auch das ist keine Einwilligung i.S.d. § 4a BDSG, da die rechtsverbindliche Mitteilung über Art, Umfang und Zweck der Datenübermittlung fehlt und auch unklar bleibt, wohin Daten übermittelt werden (z.B. auf Facebook-Server in den USA). Da die Entwickler den Quellcode freigaben, wurde die Idee rasch aufgegriffen und z.B. als Plugin für verbreitete Content-Management-Systeme wie WordPress umgesetzt.
Tatsächlich ist das Thema derzeit noch ungeklärt. Es gilt daher, die Entwicklung bei den technischen und rechtlichen Rahmenbedingungen für den Einsatz solcher „aktiven Codeelemente“ in Webauftritten speziell von Unternehmen im Blick zu behalten und sich ergebenden Compliance-Risiken konsequent entgegenzutreten.
Generell sollten sich Betreiber von Webauftritten zudem vergegenwärtigen, dass jedes Element, mit dem sie Code anderer Websites oder Dienste einbinden, ein potentielles Sicherheitsrisiko darstellt, Schließlich wissen sie nicht, was da im Einzelfall auf die Rechner ihrer Besucher und Kunden übertragen wird. Die Mehrzahl aller webbasierten Schadcodeverteilmechanismen macht sich solche Lücken zunutze und infiziert so ahnungslose Besucher von gut frequentierten Websites mit Schadsoftware.
