Ist der 2-Klick-Button wirklich datenschutzkonform?

Am Donnerstag stellte der heise-Verlag für seine Internetangebote den „2-Klick-Button“ vor. Mit dem 2-Klick-Button soll, so heise, eine „datenschutzfreundliche“ Einbindung von Social-Media-PlugIns möglich sein. Das Prinzip ist einfach und alles andere als neu. Auf dieser Seite wird derzeit ebenfalls eine 2-Klick Lösung getestet, die der Kollege Jens Ferner bereits vor Monaten vorgestellt hat, lange bevor das ULD sich zur datenschutzrechtlichen Problematik des Facebook Like-Buttons geäußert hat. Die grafisch ansprechende Lösung des heise-Verlags wurde im Netz, dank der selbstüberzeugten Beschreibung, als die heilbringende Lösung gefeiert. Doch die Reaktion von Facebook kam prompt. Die Umsetzung widerspreche den Plattform-Richtlinien. Der heise-Verlag (und viele Nutzer) reagierten ungläubig, wenn nicht gar eingeschnappt. Schließlich habe der 2-Klick-Button zur Lösung eines datenschutzrechtlichen Problems beigetragen. Aber ist das wirklich so?

1. 2-Klick-Lösungen fördern die Datensparsamkeit

2.Klick-Lösungen haben datenschutzrechtlich einen entscheidenden Vorteil. Sie fördern die Datensparsamkeit im Sinne von § 3a BDSG. Anders als bei der direkten Einbindung von Social Media PlugIns werden (personenbezogene) Daten nicht bereits bei Aufruf der Webseite an die jeweiligen Social Media Anbieter übermittelt, sondern erst nachdem durch einen ersten Klick die Social Media Buttons geladen werden. Der Webseitenbesucher hat es also in der Hand, ob eine solche Übermittlung stattfindet, oder ob er für die Social Media Anbieter unbemerkt auf der Seite bleiben will.

Ist durch die so erreichte Datenvermeidung und -sparsamkeit nicht das Problem behoben worden? Dies mag im ersten Augenblick so erscheinen, doch die Kritik des ULD richtet sich im Kern nicht dagegen, dass die Daten überhaupt erhoben werden, sondern dass sie ohne die erforderliche Einwilligung des Nutzers erhoben werden.

2. Erteilt der Nutzer mit dem 1. Klick nicht seine Einwilligung?

Die Anbieter der Social Media PlugIns sind regelmäßig US-amerikanische Unternehmen und erheben und verarbeiten die (personenbezogenen) Daten auf den eigenen Servern in den USA. Da die USA nicht den gleichen Datenschutz gewährleistet, wie die Mitgliedsstaaten in der Europäischen Union, ist eine Übermittlung nach § 4b BDSG regelmäßig nur mit Einwilligung möglich. (So jedenfalls, im Ergebnis das ULD.) Doch die Erteilung der Einwilligung ist an strenge Vorgaben geknüpft (§4a BDSG, § 13 Abs. 2 TMG). Unerlässlich ist, dass der Nutzer vor der Erteilung seiner Einwilligung klar und verständlich darüber aufgeklärt wird welche Daten, durch wen und zu welchem Zweck erhoben, verarbeitet und genutzt werden.

Trotz der vollmundigen Ankündigungen des heise-Verlags muss man an dieser Stelle klar sagen, dass die dort gewählte Umsetzung leider alles andere als datenschutzkonform ist. Zwar wird in Pop-Ups und hinter weiteren Informations-Icons viel von Datenschutz geschrieben, doch die erforderliche Datenschutzerklärung für die einzelnen Dienste fehlt komplett. Insoweit kann ich mich dem Kollegen Ferner nur anschließen, dass hier noch dringend Nachholbedarf besteht.

Ein Problem bei allen 2-Klick-Lösungen bleibt jedoch weiterhin der Inhalt der Einwilligungserklärung. Denn nicht immer ist klar, welche Daten erhoben, verarbeitet und genutzt werden. Gerade bei Facebook sehen die Datenschützer Handlungsbedarf. Facebook gibt zum Like-Button immerhin in begrenztem Umfang Auskunft. Leider bleibt dabei der Verwendungszweck unklar.

3. Verstößt der 2-Klick-Button gegen die Nutzungsbedingungen von Facebook, Twitter oder Google?

Unterstellt man Facebook, Twitter und Google, dass jedenfalls ein Ziel der Social Media PlugIns dazu dient, umfangreiche Bewegungsprofile der Internetnutzer zu erhalten, drängt sich die Frage auf, ob 2-Klick-Lösungen überhaupt mit den Nutzungsbedingungen der PlugIns vereinbar sind. Schließlich wird die Datenübermittlung durch die Einführung des 2-Klick-Buttons jäh einbrechen. Die Beschwerde Facebooks wurde im Netz zunächst auch einhellig so interpretiert. Doch wie sieht es im Einzelnen aus?

Facebook Like-Button

Die Dokumentation zum Facebook Like-Button enthält keine Hinweise zu Einschränkungen hinsichtlich der Einbindung des Buttons, jedoch hält Facebook auch für Plattform-Nutzer umfangreiche Nutzungsbedingungen bereit. Doch diese geben keine Einschränkungen bei der technischen Einbindung des Like-Buttons vor. Hinzu kommt noch ein Verweis auf die Nutzungsrichtlinien für Facebook-Marken. Denn der Like-Button ist nicht nur technisches Werkzeug sondern gleichzeitig auch als Marke eingetragen. Hier wird zwar beschrieben, dass durch einen Klick Nutzer Inhalte auf Facebook teilen können. Hieraus ein Verbot von 2-Klick-Lösungen abzuleiten, ist wohl kaum belastbar. Allerdings wird deutlich, dass grafische Veränderungen des Like-Buttons nur begrenzt möglich sind. Dass sich Facebook daher an der ursprünglichen Variante des heise 2-Klick-Buttons stößt, war daher kaum verwunderlich.

Twitters Tweet-Button

Wie sieht es hingegen beim Tweet-Button aus? Letztlich vergleichbar. Twitter gibt den Nutzern dabei grundsätzlich die Möglichkeit den Tweet-Button auch lokal und angepasst zu verwenden. Auch die API-Terms lassen kein Verbot einer 2-Klick-Lösung durchblicken. Aber auch Twitter hält Entwickler und Seitenbetreiber dazu an, die Twitter-Marken und Buttons nicht oder nur unter bestimmten Voraussetzungen anzupassen. Bereits auf den ersten Blick wird ersichtlich, dass Twitter weniger restriktiv eingestellt ist, als etwa Facebook.

Googles +1-Button

Der Google +1 Button ist im Ergebnis mit dem Like-Button von Facebook vergleichbar. Google hat für den +1-Buttons eigene Nutzungsbedingungen, die  den Einsatz abschließend regeln. Der im Zusammenhang mit 2-Klick-Lösungen wichtigster Passus ist das Verbot den +1-Button weder zu verändern noch zu verschleiern. Damit wird eine grafische Umgestaltung, wie bei Facebook, nicht mit den Nutzungsbedingungen vereinbar sein. Hier sollte daher eine andere Darstellung gewählt werden. Fraglich bleibt, ob die 2-Klick-Lösung gleichzeitig auch eine „Verschleierung“ im Sinne der Nutzungsbedingungen darstellt. Als Beispiel nennt Google die Verbindung des Buttons mit Werbeanzeigen. Eine Verschleierung wird daher bei 2-Klick-Lösungen regelmäßig nicht anzunehmen sein, wenn Sinn und Zweck der 2-Klick-Lösung deutlich wird.

4. Fazit

Im Ergebnis lässt sich festhalten, dass 2-Klick-Lösungen grundsätzlich empfehlenswert sind. Doch auch 2-Klick-Lösungen müssen sorgfältig implementiert werden. Dabei muss sowohl die datenschutzrechtliche Einwilligung richtig abgebildet werden und bei grafischen 2-Klick-Lösungen mögliche Beschränkungen durch die Social Media Anbieter beachtet werden.

13 Kommentare Schreibe einen Kommentar

  1. Schöne Übersicht und Zusammenfassung! Danke dafür!

    Einer der interessantesten Aspekte war auch die Prüfung, ob ein solcher 2-Klick-Button mit den Facebook-Nutzungsbedingungen konform ist. Die erste Reaktion von „Facebook Deutschland“ war ja, dass diese Integrationsweise nicht mit den FB-Nutzungsbedingungen konform ist…

  2. Gerade das Fazit verdeutlicht den Graben zwischen (Gesetzes-)Theorie und Praxis: Einen seitenlangen Psalm wird – mal unabhängig von der designtechnischen Hürde – der geneigte Nutzer genauso gewissenhaft lesen, wie die berühmte EULA. Juristische Anwendungen im Alltag haben schon lange die Grenze der Abstrusität durchbrochen. Heise hat eine technische Grundlage geschaffen, um Ad-Hoc-Übermittlung von Daten zu realisieren, die rechtliche, praxisnahe (!) Grundlage dafür zu schaffen, ist jetzt Aufgabe der Juristen.

  3. Vielen Dank für die gelungene Stellungnahme! Ein, wie ich finde, guter Überblick über die Problematik.

    @nik
    Das Problem hinter Ihrer Anmerkung ist, dass man grundsätzlich Gesetze in zwei Richtungen verstehen kann: Nach Ihrer Auffassung sollten/müssen Gesetze der Wirklichkeit folgen und diese abbilden. Dies mislingt gerade im Datenschutz oft kläglich.
    Eine andere, in meinen Augen aber ebenfalls berechtigte Sicht ist jedoch, dass Gesetze auch mal die Wirklichkeit formen müssen. Gerade im Datenschutz muss der normale Benutzer häufig vor seiner eigenen „Dummheit“ geschützt werden. Hier wäre es daher gerade Aufgabe der Gesetzgebung, standhaft und konsequent zu sein und die Gegebenheiten eben nicht ohnmächtig hinzunehmen.

    Beste Grüße
    TG

  4. Pingback: 2-Klick-Lösung: Alternative zum Facebook "Gefällt mir"- / Like-Button datenschutzkonform? | Externer Datenschutzbeauftragter (BDSG) Sascha Kuhrau

  5. Danke für den Artikel und die Aspekte der Datenschutzrechtlichen Hinweise.
    Wäre es dann ausreichend wen man den Benutzer darauf hinweist das er vor Aktivieren der Buttens entsprechende Hinweise zum Datenschutz beachten sollte die an einer entsprechenden Stelle hinterlegt sind.
    (evtl mit dem Hinweis verlinkt!) da die eingeblendeten Boxen von Heise nicht unbedingt übersichtlich sind.

  6. Ich seh‘ das so: ohne 2 Klick Button, gar keine Einwilligung. Wer nicht klickt, keine Übertragung von Daten- Wer klickt, der ist sich entweder bewusst, dass übertragen wird, welche Inhalte er sich grad ansieht, oder macht sich eh keine Gedanken darüber… Schöne Weihnachten!

  7. Durch die zusätzliche Entscheidungsinstanz, die von zunächst heise proklamiert wurde, kommt die Lösung der “Zwei-Klick-Variante” den Vorgaben des Datenschutzrechtes definitiv näher. Da das BDSG die informierte Einwilligung fordert (also die datenschutzrechtliche Belehrung vor der Einwilligung), soll an dieser Stelle die abschließende Bewertung offen bleiben. Es darf allerdings die Verbesserung durch die zusätzliche Entscheidungsinstanz festgehalten werden!

    Andere Ansätze sind die Ergänzung z. B. der Zwei-Klick-Variante um einen Link (unterhalb) zur Datenschutzerklärung.

    Empfehlung daher:
    Egal wie die Entwicklung sein wird: DATENSPARSAMKEIT!!!

    Seien wir gespannt, wie sich die Lösungsansätze nachhaltig und praxistauglich gestalten werden.

  8. Durch wie viele Berichte muss sich denn der Nutzer durchklicken? Ich finde das Datenschutz wichtig ist, und die Lösung von heise.de dem weitestgehend reicht. Schliesslich kann ein Nutzer ja selbst entscheiden ob er diese Texte durchliesst oder einfach gleich zweimal klickt. Auf Staatenebene sehen das die Datenschützer aber anscheinend nicht so, denn wenn die EU schon ein Forschungsprojekt in Auftrag gibt, indem anhand Kamerabilder Passanten auf Strassen erfasst und identifiziert werden, angeblich um Straftaten vornhinein zu verhindern. Ich finde dieses noch absurder als die Datenschutzdiskussion über soziale Netzwerke.

  9. Pingback: 2-Click Social Media ButtonsDesigners-Inn | Wordpress Themes. Tutorials. Wissen.

  10. Pingback: Rechtssichere Integration des Share-Buttons › comspace Blog

  11. Pingback: Facebook und Datenschutz: die 2-Klick-Lösung reicht nicht | perun.net

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.


besonders feine footnotes