Datenschützer äußern seit einiger Zeit erhebliche Bedenken gegen die datenschutzrechtliche Zulässigkeit der Implementierung des „Like“-Buttons (bzw. „Gefällt mir“-Buttons) in die eigene Website (siehe auch hier). Nun ist offenbar eingetreten, was viele befürchtet hatten: Die erste Abmahnung gegen einen Onlinehändler wegen Verwendung des Like-Buttons wurde ausgesprochen. Obwohl es sich, entgegen den sich geradezu überschlagenden Meldungen der letzten Tage, offenbar um eine Einzelabmahnung handelt und wohl gerade keine neue Abmahnwelle anläuft, ist dieser Vorgang durchaus ernst zu nehmen.

Grund der Diskussion um die datenschutzrechtliche Zulässigkeit ist der Umstand, dass das Plug-in laufend mit Facebook-Servern kommuniziert und Daten der Seitenbesucher an Facebook weiterleitet. Um welche Daten es sich dabei im einzelnen handelt, ist nicht bekannt. Fest steht jedenfalls, dass Facebook einen eingeloggten Nutzer, der auf den Button klickt, erkennt. Berichten zufolge sollen jedoch darüber hinaus auch Daten jener Nutzer gesammelt werden, die nicht Mitglied bei Facebook sind. Datenschutzrechtlich relevant wird die Weiterleitung solcher Daten, wenn es sich bei ihnen um personenbezogene Daten handelt. Bei eingeloggten Facebook-Mitgliedern ist eine Zuordnung zum jeweiligen Profil möglich, der Personenbezug dürfte also jedenfalls hinsichtlich deren Daten unstreitig gegeben sein. Hinsichtlich der Weiterleitung der Daten von Nichtmitgliedern, insbesondere von IP-Adressen, stellt sich einmal mehr die Frage, ob IP-Adressen personenbezogene Daten sind (sehr strittig, siehe bspw. hier). Jedenfalls von den Datenschutzbehörden wird dies bejaht.

Problematisch ist die Übermittlung solcher personenbezogener Daten deshalb, weil der Betroffene hierüber zunächst informiert werden muss. Dies ist für sich genommen in der Regel ohne großen Aufwand durch entsprechende Ergänzung der eigenen Datenschutzerklärung gemäß § 13 Abs. 1 TMG möglich. Damit allein ist es jedoch nicht getan, da es zusätzlich einer Einwilligung des Betroffenen gemäß § 4a BDSG bedarf. An einer solchen dürfte es jedoch in aller Regel fehlen. Bei konsequenter Anwendung des Gesetzes kann der Like-Button genau genommen nur dann rechtmäßig zur Anwendung kommen, wenn er erst nach einer ausdrücklichen Einwilligung des Websitebesuchers geladen wird.

Oft wird darauf verwiesen, dass Verstöße gegen Datenschutzrecht nicht wettbewerbsrechtlich relevant wären und somit auch nicht abgemahnt werden könnten. Ob dem so ist, ist bislang jedoch nicht höchstrichterlich entschieden. Es spricht jedoch einiges dafür, dass jedenfalls dann ein wettbewerbsrechtlich relevantes Verhalten anzunehmen ist, wenn die Übermittlung der Daten zu kommerziellen Zwecken (auch zu Werbezwecken) erfolgt. Aus diesem Grund erscheint es nicht ratsam, sich auf diesem (dennoch mit guten Argumenten vertretbaren) Standpunkt auszuruhen.

Fazit: Wer den Like-Button in seine Website integriert, begibt sich auf unsicheres Terrain. Die Bereitstellung eines Datenschutzhinweises mag zwar die Transparenz fördern, über die fehlende Einwilligung kann dies jedoch nicht hinweg helfen. Da die Möglichkeit, von Websitebesuchern eine Einwilligung einzuholen, an praktische Grenzen stößt, sollten Onlinehändler, die auf den Button nicht verzichten möchten, zumindest einen entsprechenden Hinweis in ihre Datenschutzerklärung aufnehmen. Einen Formulierungsvorschlag hält der Händlerbund auf seinen Seiten bereit. Außerdem sollten Onlinehändler die aktuellen Entwicklungen zu dieser Frage aufmerksam verfolgen.