"In meiner Funktion als Behördlicher Datenschutzbeauftragter der Verwaltung des Deutschen Bundestages halte ich die direkte Einbindung sogenannter sozialer Plug-ins (wie z. B. der "Gefällt mir"-Button) in die Webseiten des Deutschen Bundestages für datenschutzrechtlich unzulässig.
An der datenschutzrechtlichen Zulässigkeit dieser Anwendung bestehen erhebliche Zweifel. Nach dem Leitgedanken des deutschen Datenschutzrechts hat grundsätzlich jeder das Recht, selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen. Aus diesem Grunde bedarf jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten einer ausdrücklichen Erlaubnis entweder durch Gesetz oder durch den Betroffenen [§ 4 Abs. 1 Bundesdatenschutzgesetz (BDSG), § 12 Abs. 1 Telemediengesetz (TMG)]. Es handelt sich also um ein Verbot mit Erlaubnisvorbehalt. Demgegenüber verfolgt Facebook das Prinzip der grundsätzlichen Einwilligung, es sei denn ein Verbot durch den Nutzer liegt vor.
So heißt es in den Datenschutzrichtlinien unter dem Abschnitt "Wie wir bereitgestellte Daten verwenden": "Wir verwenden die uns bereitgestellten Informationen über dich im Zusammenhang mit den Dienstleistungen und Funktionen, die wir dir und anderen Nutzern wie zum Beispiel deinen Freunden, den Werbekunden, die Werbeanzeigen auf Facebook buchen, sowie den Entwicklern der von dir genutzten Spiele, Anwendungen und Webseiten anbieten. (…) Beispielsweise (…) um die Effektivität der Werbeanzeigen, die du und andere Personen sehen, zu messen und zu verstehen;" (…) "Indem du uns die Erlaubnis hierzu erteilst, gestattest du uns nicht nur, Facebook in seinem heutigen Zustand zur Verfügung zu stellen, sondern dir zukünftig auch innovative Funktionen und Dienstleistungen anzubieten, die wir unter neuartigem Einsatz der Daten, die wir über dich erhalten, entwickeln".
Bedenklich ist weiterhin: "Darum machen wir Informationen, die wir über dich erhalten, anderen nicht zugänglich, es sei denn: (…) wir haben dich beispielsweise in diesen Richtlinien darüber informiert; (…). Diese Formulierung würde es Facebook ermöglichen, durch einseitige Änderung der Datenschutzrichtlinien, personenbezogene Daten ihrer Nutzer Dritten zugänglich zu machen.
Diese Regelungen entsprechen im Hinblick auf die Wirksamkeit der Einwilligung meiner Auffassung nach nicht dem deutschen Recht.
Nach der Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder am 28. und 29. September 2011 sollen alle öffentlichen Stellen von der Nutzung von sozialen Plug-ins, welche den geltenden Standards nicht genügen, absehen. Allein durch den Besuch einer Webseite mit dem "Gefällt mir"-Button werden Daten an Facebook übertragen und weiterverarbeitet. In den Datenschutzrichtlinien von Facebook heißt es unter "Daten, die wir über dich erhalten“ beispielsweise: "Wir erhalten Daten immer dann, wenn (…) du eine Webseite besuchst, auf der eine Facebook-Funktion (wie zum Beispiel ein soziales Plug-in) vorhanden ist. Diese Daten können das Datum und die Uhrzeit deines Besuches auf der betreffenden Webseite enthalten; dies gilt auch für die Internetadresse oder die URL, auf der du dich befindest, und ebenso für die technischen Daten über die IP-Adresse und den von dir genutzten Browser sowie das von dir genutzte Betriebssystem; enthalten ist auch deine Nutzerkennnummer, wenn du auf Facebook angemeldet bist."
Der Umfang der gesammelten Daten widerspricht meiner Auffassung nach den Prinzipien der Datenvermeidung und der Datensparsamkeit. Wird die Verbindung zu einer Website hergestellt, welche die Facebook-Plattform verwendet, stellt Facebook der Website die Nutzerkennnummer sowie die Nutzerkennnummern der Freunde der jeweiligen User zur Verfügung. Durch diese Nummer kann über facebook.com auf Informationen über den jeweiligen Nutzer zugegriffen werden. Mit diesen Informationen kann der Webseiten-Betreiber zusätzlich konkrete öffentliche Informationen sowie ungefähres Alter, Sprache und Geschlecht abrufen. Diese gesammelten, personenbezogenen Daten (i. S. v. § 11 TMG, § 3 Abs. 1 BDSG) sind ausgesprochen nützlich, denn dadurch ist die Generierung von Persönlichkeitsprofilen und dazu passender Freundeskreis (mit vermutlich gleichen oder ähnlichen Interessen und Vorlieben) für personalisierte Werbung leicht umsetzbar. Das Landgericht Berlin stellte kürzlich in diesem Zusammenhang fest, "dass der Button die Installation eines iframes von Facebook voraussetzt und bewirkt, dass jedenfalls Daten von eingeloggten Facebooknutzern, die eine Webseite besuchen, an Facebook übertragen werden, auch wenn der Button nicht betätigt wird".
Diese Daten werden von Facebook 90 Tage gespeichert. Dieser lange Speicherungszeitraum kann unter dem Gesichtspunkt der Erforderlichkeit kaum als datenschutzrechtlich zulässig erachtet werden. Daten, die Facebook von Werbepartnern und Kunden erhält, werden sogar "für einen Zeitraum von 180 Tagen" von Facebook gespeichert.
Aufgrund dieser datenschutzrechtlicher Bedenken wurde auf der Webseite mitmischen.de auf die Verwendung des "Gefällt mir"-Buttons verzichtet."
