In einer aktuellen Pressemitteilung vom 22. April 2013 hat der Bayerische Landesbeauftragte für Datenschutz, Dr. Thomas Petri, nach einer Prüfung von 5592 Webseiten bayerischer öffentlicher Stellen bekanntgegeben, dass 66 Webseiten gegen geltendes Datenschutzrecht verstoßen, indem sie Social Plugins (wie etwa den Facebook Like-Button) direkt einbinden.
Öffentliche Stellen und Social Plugins
Gegen diese beanstandeten Webseiten werde der Bayerische Datenschützer „konsequent vorgehen“, da durch die Einbindung, etwa des Like-Buttons, unkontrolliert Daten von Webseitenbesuchern an Facebook übertragen werden, was ohne eine gesetzliche Grundlage und ohne Möglichkeit der Kenntnisnahme durch die Nutzer geschieht.
Dies stellt nicht die erste Aktion eines Landesdatenschutzbeauftragten gegen den Internetauftritt öffentlicher Stellen im Zusammenhang mit Facebook dar. Auch das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein hat bereits im Jahre 2011 öffentliche Stellen dazu aufgefordet, keine Fanpages in dem sozialen Netzwerk zu betreiben. Gerichtsverfahren sind hier noch anhängig.
Datenübermittlung ohne Rechtsgrundlage
Im Kern richten sich die Vorwürfe des bayerischen Datenschützers dagegen, dass über aktive Social Plugins auf Webseiten von öffentlichen Stellen auch dann Informationen zu Besuchern an das das Plugin bereitstellende Unternehmen (wie etwa Facebook) übertragen werden, wenn der Webseitenbesucher selbst zwar Mitglied bei Facebook, jedoch nicht eingeloggt, oder sogar gar kein Mitglied in dem Netzwerk ist.
Welche Informationen bei einer solchen Einbindung im Einzelnen an Facebook übertragen werden, weiß nur das Unternehmen selbst. Unter anderem wird jedoch z. B. die IP-Adresse übertragen, welche nach Ansicht der deutschen Datenschutzbehörden ein personenbezogenes Datum darstellt. Diese Datenverarbeitung erfolge jedoch ohne eine Einwilligung der Webseitenbesucher oder eine gesetzliche Ermächtigungsgrundlage und sei daher rechtswidrig.
In der juristischen Diskussion ist jedoch noch nicht eindeutig geklärt, ob die ein Social Plugin einbindende Webseite überhaupt für diese Erhebung und Übermittlung der Daten verantwortlich ist. Denn einerseits bestehen Einflussmöglichkeiten auf den Datenstrom in die USA nicht. Andererseits unterstützen Webseitenbetreiber diese Datenverarbeitung jedoch (zumindest mittelbar) und machen sie erst möglich, indem sie das Social Plugin einbinden.
Wie auch Herr Dr. Petri in seiner Pressemitteilung und in einer Orientierungshilfe für bayerische öffentliche Stellen erläutert, besteht gerade für den Like-Button von Facebook eine aus Sicht der Datenschützer zumindest „datenschutzfreundlichere“ Alternativlösung. Diese sog. 2-Klick-Lösung von heise online bietet die Möglichkeit, ein Social Plugin zunächst inaktiv (also ohne Datenfluss) auf der eigenen Webseite einzubinden. Erst nach einem Klick auf dieses (leicht ausgegraute) Plugin besteht die Möglichkeit mit ihm zu interagieren und werden Daten übertragen.
Fazit
Nicht nur Unternehmen oder andere private Stellen bilden den Fokus der Aufsichtsarbeit der Landesdatenschützer. Auch öffentliche Stellen wollen an der Popularität von Social Media Angeboten teilhaben und davon profitieren. Dass sie hierbei auch den Datenschutz im Auge haben, zeigt die im Verhältnis geringe Anzahl von 66 Beanstandungen. Abzuwarten bleibt, ob alle Stellen kooperieren oder auch in Bayern demnächst eine Behörde ihren Nutzungsanspruch auf Social Media Dienste gerichtlich durchsetzen möchte.