Facebook, Twitter, Google+, LinkedIn und auch Xing bieten Webseitenbetreibern an, Social Plugins auf ihren Webseiten einzubinden. Durch diese Social Plugins wird das Teilen von Inhalten auf den sozialen Plattformen erleichtert.
Werden Inhalte durch Nutzer auf Facebook, Twitter oder Co. gepostet, werden hierdurch mehr potentielle Kunden erreicht. Dies klingt verführerisch, aber es gibt ein datenschutzrechtliches Problem.
Der Inhalt im Überblick
Wo ist das Problem?
Social Plugins werden als iFrames in einer Webseite eingebunden. iFrames ermöglichen es, Webinhalte von einer anderen (externen) Webseite in die aufgerufene Webseite einzubinden. Diese Technik wird vielfach auch für das Einbinden von Werbeanzeigen auf Webseiten genutzt.
Der Nutzer ruft z.B. die Seite www.intersoft-consulting.de auf. In einem iFrame könnte dann gleichzeitig der Inhalt der Webseite www.beispiel.xy geladen werden, ohne dass dies von dem Nutzer initiert bzw. bemerkt wird. Um die Inhalte des iFrames Beispiel.xy zu laden, wird eine Verbindung zu dem Server der fremden Webseite Beispiel.xy hergestellt. Hierbei werden die Daten des Nutzers von dem fremden Server erfasst. Um eine Webseite aufzurufen ist u.a. die Übertragung eines personenbezogenen Datums, der IP-Adresse notwendig. Dies bedeutet, dass der Betreiber der Seite Beispiel.xy bei jedem Aufruf der Seite www.intersoft-consulting.de ebenfalls Informationen über den Besucher erhält.
Aufsichtsbehörden vertreten die Ansicht, dass die Einbindung von Social Plugins eine Datenweitergabe von Verkehrs- und Inhaltsdaten darstellt und durch den Betreiber der Social Media Plattform eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots, die sog. Reichweitenanalyse erfolgt.
Die übermittelten personenbezogenen Daten sind zwar grundsätzlich zum Aufruf der Inhalte erforderlich. Ein Problem entsteht allerdings, sobald die Daten zu einem Nutzerprofil bei den Drittanbietern zusammengeführt werden. Dieser Zweck ist unmittelbar von keiner datenschutzrechtlichen Erlaubnisnorm gedeckt, wird aber von der Mehrzahl der Sozialen Netzwerke durchgeführt. Die Übermittlung der Besucher-Daten zu diesem Zweck ist daher unzulässig. Unzulässige Übermittlung von personenbezogenen Daten stellen Ordnungswidrigkeiten gemäß § 43 BDSG dar. Der Webseitenbetreiber als verantwortliche Stelle riskiert damit ein Bußgeld von bis zu 300.000 €.
Welche Lösungen gibt es?
Eine simple Lösung ist der Verzicht auf Social Plugins. Wer sich den sozialen Medien verwehrt, zieht im Wettbewerb jedoch schnell den Kürzeren.
Abhilfe hat heise mit der „Zwei-Klick-Lösung“ geschaffen. Die Social Plugins beginnen erst nach der Aktivierung der Schaltflächen durch den Nutzer mit der Datenübertragung. Der Nutzer wird sobald er über die Schaltfläche mit dem Mauszeiger fährt über die Datenweitergabe informiert.
Wie funktioniert es?
Anleitungen zur Einbindung der 2-Klick-Lösung für Facebook, Google+ und Twitter finden Sie bei heise. Mit der Erweiterung der Illusions-Schmiede GmbH können Sie die 2-Klick-Lösung auch für LinkedIn und Xing einsetzen. Für WordPress gibt es ein Plugin, das die Einbindung der 2-Klick-Lösung für Facebook, Twitter, Flattr, Xing, Pinterest, t3n, LinkedIn und Google+ auf einem Blog ermöglicht.
Zusätzlich ist die Anpassung der Datenschutzerklärung notwendig, in der auf den Einsatz von Facebook & Co hinzuweisen ist.
Restrisiko bleibt
Die 2-Klick-Lösung ist unter Datenschützern nicht unumstritten. Für eine wirksame Einwilligung des Nutzers ist die Information über Art, Umfang und Zweck der Datenverarbeitung notwendig. Hierfür ist der eingeblendete Hinweis – ohne weitere Kenntnisse über technische Abläufe beim Aufruf einer Webseite – nicht ausreichend. Streng genommen liegt somit keine wirksame Einwilligung des Nutzers vor. Die Datenübermittlung ist immer noch unzulässig. Das Risiko eines aufsichtsbehördlichen Vorgehens wird allerdings minimiert, da Webseiten ohne die 2-Klick-Lösung eine größere Gefahr für personenbezogenen Daten darstellen.
Ist dieser Beitrag überholt, hat sich die Rechtslage geändert?
Immerhin findet man unmittelbar darunter und auch rechts auf der Seite die im Artikel kritisierten Social Media Plug Ins.
An der Rechtslage hat sich seitdem kaum etwas geändert. Wir möchten dich aber darauf hinweisen, dass wir auf unserer Seite auf Social Media Plug-ins verzichten. Bei den Buttons auf unserer Seite handelt es sich lediglich um kleine Bilder mit einem Link auf die Seite unserer Social Media Accounts. Das heißt anders als beim Plug-in werden von uns keine externen Inhalte auf unserer Seite eingebunden. Daher kannst du unsere Beiträge nicht direkt mit ein oder zwei Klicks retweeten oder +1.
@Dr. Datenschutz. „Bei den Buttons auf unserer Seite handelt es sich lediglich um kleine Bilder mit einem Link auf die Seite unserer Social Media Accounts. “ Das stimmt für die Buttons rechts unter „Folgen Sie uns“. Aber Sie haben unter o.a. Artikel „Share“-Buttons, also keine harmlosen Links auf FB etc.. Sind die mit Shariff implementiert?
Auch die Share-Buttons unter den Artikeln sind nur Links, bei denen noch der Link und Titel mitgegeben wird.
Andere Share-Buttons übertragen schon beim Aufruf der Website per Script bzw. iFrame Daten. Diese verwenden wir nicht.
Shariff ist eine tolle Lösung für das Datenschutzkonforme teilen für die eigenen User. Allerdings stellt sich mir eine Frage. Viele Seiten benutzen ebenfalls für das Folgen der Hauseigenen Social Media Seite Plugins. Senden diese nicht auch automatisch Daten an Facebook bzw. gibt es in diesem Bereich ähnliche Lösungen.
Wie Sie schon zutreffend ausführen, gewährleistet Shariff, dass User-Daten erst beim bewussten Anklicken eines eingebundenen Social-Media Buttons an die entsprechende Seite gesendet werden. Sofern das Tool in die Website eingebunden ist, funktioniert dieser Vorgang unabhängig davon, ob es sich dabei um fremde oder eigene Inhalte handelt. Davon zu unterscheiden sind Buttons, die nur auf andere Seiten verlinken. Hier findet von vornherein keine automatische Datenübertragung statt. Im Grunde hängt es also davon ab, ob der „Folgen“ Button eine Verlinkung, oder ein Plugin ist. Hier finden Sie mehr Informationen zu Shariff.
Eure eigene Social-Media-Icons (die Leiste zum Ende des Artikels) entspricht den Datenschutzvorschriften?
Siehe Kommentar oben.