Selbst, wenn die Datenverarbeitung über den Like-Button nicht mit deutschem Datenschutzrecht in Einklang zu bringen sein sollte, ist der Webseitenbetreiber jedenfalls nicht verantwortlich, was sich bei näherer Betrachtung der Funktionsweise und der Rechtslage zeigt. 

Bei dem Facebook-Like-Button handelt es sich um das wohl bekannteste soziale Plugin, welches als Schaltfläche auf jeder beliebigen Webseite integriert werden kann. Hierüber ist es möglich, direkt auf Facebookinhalte zuzugreifen und diese angezeigt zu bekommen. Klickt ein User einer Webseite auf den erhobenen Daumen teilt er anderen Nutzern der Webseite und seinen Facebookfreunden mit, dass ihm die hinterlegte Webseite gefällt.

Sobald ein User (Facebooknutzer oder nicht) auf eine Webseite geht, auf der der Like-Button installiert ist, werden Daten an Facebook übermittelt. Nach den eigenen Angaben von Facebook werden Informationen über die besuchte Webseite, das Datum und die Uhrzeit sowie andere browserbezogene Informationen an den Unternehmensserver übermittelt. Bei einem angemeldeten Facebook-Nutzer wird darüber hinaus die Anmeldekennnummer von Facebook übermittelt.

Nach alledem hat der Webseitenbetreiber selbst keinen Einfluss und keinen Zugriff auf die über den Like-Button übermittelten Daten.

Fraglich ist, ob bereits die Einbindung des Like-Buttons einen Verstoß gegen das Datenschutzrecht darstellt, wenn wir eine ungerechtfertigte Übermittlung personenbezogener Daten an Facebook unterstellen würden.

In Frage käme ein Verstoß gegen § 12 TMG. Hiernach dürfen personenbezogene Daten zur Bereitstellung von Telemedien nur erhoben und verwendet (ebenso übermittelt) werden, soweit das Telemediengesetz oder eine andere Rechtsvorschrift, die sich ausdrücklich auf Telemedien bezieht, dies erlaubt oder der Nutzer eingewilligt hat.

Aus Sicht von Facebook handelt es sich zumindest bei einigen der über den Like-Button übermittelten Daten unstreitig um personenbezogene Daten im Sinne von § 3 Abs. 1 BDSG, so dass der Anwendungsbereich des Datenschutzgesetzes gemäß § 1 BDSG eröffnet ist (betreffend IP-Adresse und übermittelter Facebook Anmeldekennnummer: KG Berlin CR 2011, 568 ff.).

Die Anforderungen des Bundesdatenschutzgesetzes treffen jedoch nur die verantwortliche Stelle im Sinne von § 3 Abs. 7 BDSG. Dies ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. Während Facebook verantwortliche Stelle für seinen Like-Button ist, hat der der Webseitenbetreiber nicht einmal die theoretische Möglichkeit, auf diese Daten zuzugreifen, weswegen er auch nicht verantwortlich im Sinne von § 3 Abs. 7 BDSG sein kann.

Auch eine die Verantwortung begründende Auftragsdatenverarbeitung im Sinne von § 11 BDSG kann hier nicht angenommen werden. Der einzelne Webseitenbetreiber hat bereits nicht die erforderliche Kenntnis, welche Daten an Facebook übermittelt werden und schon gar keinen Einfluss darauf, was damit geschehen soll. Er kann bereits aus diesem Grunde nicht „Herr der Datenverarbeitung“ sein, was jedoch erforderlich wäre.

Die abschließende Regelung in § 3 Abs. 7 BDSG steht auch einer Verantwortlichkeit des Webseitenbetreibers als sog. Zweckveranlasser oder Nichtstörer entgegen.

Über den Autor:
Philipp Schröder, LL.M. ist Rechtsanwalt und Partner bei HÄRTING Rechtsanwälte, einer auf Medien und Technologie spezialisierten Kanzlei mit Sitz in Berlin. Er berät u.a. Mandanten bei dem sicheren Einsatz von Social Media.