Grundlage der Diskussion

Wir kennen alle Facebooks Like-Button, der heute so selbstverständlich auf eine Webseite gehört wie das passende Fav-Icon der Webseite in die URL-Leiste. Dieser Button kann – je nach Use-Case – verschiedene Formen annehmen, und auch weitere Informationen darstellen. Damit das funktioniert, benötigt Facebook natürlich etwas Hintergrundinformationen über die User. Ich möchte mich aber auf generell zwei Zustände konzentirieren, da alle anderen nur Unterformen dessen sind. Ich halte allgemein in folgenden Benutzergruppen fest:

1. Der User ist Facebook unbekannt (kein Facebook-Account, nicht eingeloggt)
2. Der User ist Facebook wohl bekannt (Auf Facebook per Session/Cookie irgendwie eingeloggt)

Für die technische Einbindung sind zwei Formen seitens Facebook vorgesehen, (entweder als iframe oder JavaScript-Schnipsel), beide Formen machen genau das selbe auf der Facebook-Seite, weshalb ich auch hier nicht weiter darauf eingehen werde.

Was ist da jetzt so schlimm?

Sobald ein Seitenbetreiber den Button einbindet, werden pro Seitenaufruf Informationen an Facebook gesendet, und können dort theoretisch gespeichert und weiter verwendet werden. Idealerweise, und nur darauf mag ich mich hier beziehen, ist das die IP-Adresse und der Seiten-Referrer.  Nochmal: Wird der Button angezeigt, sind schon wenigstens IP-Adresse (die IP-Adresse verstehen wir in der Gruppe der personenbezogene Daten, die ja besonders schützenswert ist)und Referrer übertragen. Wenn der Benutzer ein aktive eingeloggteFacebook-Session besitzt, könnte Facebook anhand dieser Daten sehr gut das Nutzerprofil um angesurfte Webseiten erweitern… Das ist allerdings nur eine Spekulation, wissen können wir das nicht.

Dieser Zustand stellt im Sinne des BDSG laut §11 eine Übermittlung von personenbezogenen Daten dar. Wir wissen: Personenbezogene Daten dürfen nur nach Einwilligung der Nutzer weitergegeben werden (vgl. § 4a, BDSG), oder wenn eben eine andere rechtliche Grundlage bestehen würde. Dies ist hier allerdings nicht der Fall, nur kurz das warum: Die Erhebung von personenbezogenen Daten zur Erbringung des Dienstes (i-Like-Button) ist nicht gegeben, außerdem herrscht nach wie vor das Gebot des Datenminimum.

Die Grauzone

Wir könnten jetzt allerdings folgenden Zustand zu unseren Gunsten auslegen, wenn ich mich mal in die Rolle der Seitenbetreiber versetze: Das TMG sagt aus (Vgl. § 15, Abs. 1), daß personenbezogene Daten vom Diensteanbieter erhoben und verwendet werden dürfen, wenn diese zur erbringung der Leistung erforderlich ist. Der Like-Button wäre folglich eine Leistung der Webseite, und es wäre nach § 15 einwandfrei, die Nutzungsdaten des Besuchers zu verwenden. Toll, nicht? Eine Bitte nur: Bei diesem Spiel mit dem Feuer nicht vergessen, daß die Besucher ein Wiederspruchsrecht haben, und zudem wieder entsprechende Hinweise in den Datenschutzbedingungen auftauchen müssen!

Dem Datenschutz genüge tragen

Seit mehreren Tagen diskutiere ich im Büro mit Kollege Maximilian und in der Internetwelt mit ein paar Leuten darüber, welcher Ansatz denn hier alle Parteien gleich recht wird – sprich: Wie kann man den i-Like-Button einbinden ohne gegen geltendes Gesetzt zu verstoßen, und ohne die User-Experience in irgendeiner Weise zu sehr zu beeinträchtigen. Das Ergebnis: Es geht nicht. Eine Seite muss leiden, und Dummerweise trumpfen die möglichen 300.000 € angedrohte Strafe des BDSG (Vgl. §43, Abs. 2) mal wieder gegen die UX.

Bei der korrekten Einbindung unter maximaler Einhaltung des Rechtes muss man folgende Aspekte folglich immer Berücksichtigen:

• Der Seitenbesucher muss zustimmen daß seine personenbezogenen Daten an Facebook übermittelt werden, diese Zustimmung muss per Opt-In erfolgen.
• Die Zustimmung muss eingeholt werden, bevor der Like-Button von Facebook überhaupt geladen wird – Arbeitstitel dieses Feature im Büro schon “I-like-the-Like-Button” (frei nach Andreas, vielen Dank!)
• Der Seitenbetreiber muss seiner Informationspflicht nachkommen, und genauen Zweck sowie Empfänger der Daten vollständig und einwandfrei angeben.
• Die Zustimmung zur Übermittlung personenbezogener Daten an Dritte muss jederzeit wiedersprochen werden können, also ein Opt-Out-Verfahren
• Der Webseitenbetreiber sollte die Zeitstempel zu Opt-In und -Out natürlich zur eigenen Auskunftspflicht vorrätig halten

Meine 2 cents…

Wir können uns alle vorstellen wie komisch sich das anfühlt, wenn man erst irgendwo klicken muss (I-like-the-Like-Button) um überhaupt den richtigen Like-Button zu sehen. Als nächstes müsste man einen Disclaimer anklicken, und erst dann wäre der Button sichtbar – in welcher Form auch immer dieser dargestellt wird. Das ganze ist totaler Blödsinn für den Benutzer, nur wenige würden tatsächlich klicken, und der Werbeeffekt für all die Marketeers wäre verloren. Dennoch: Die Diskussion ist nicht ganz unbekannt, aber keiner traut sich an das Thema. Aktuell fehlt ein gerichtlicher Fall, noch eine Stellungnahme der Aufsichtsbehörden.

Disclaimer

Wie gehabt möchte ich obligatorisch darauf hinweisen, dass dieser Artikel meine ganz persönliche Sicht der Dinge wiederspiegelt. Zwar bin ich zwecks Berufswegen mit Datenschutzthemen durchaus vertraut, aber es bleibt immernoch meine eigene Meinung – ohne Gewähr auf irgendeine rechtliche Sicherheit, oder gar die vertetende Meinung meines Arbeitgebers oder meiner Kunden. Dankeschön.

• jsFiddle hilft, schnell und unkompliziert JavaScript zu testen. Tolles Framework und deshalb ein tolles Hilfsmittel!
• apfelquak hat einen tollen Beitrag über alternativen zu Photoshop unter Mac veröffentlicht
• t3n zeigt in einem Artikel das nicht alles Gold ist was glänzt. Ein paar Zeilen zur Qualität der registrierten Nutzer von Facebook & Twitter
• Sehr cool für Mockups: Placeholder-Images müssen nun nicht mehr kompliziert mit PS erstellt werden, sondern können einfach aufgerufen werden
• Bei devcheatsheet.com findet sich eine große Sammlung allerlei Cheat Sheets, nicht nur die üblichen für Markup Languages
• Google hat seine fünf Prinzipien zum Datenschutz veröffentlicht und versucht so auszudrücken, mit den gesammelten Daten vertrauensvoll umzugehen. Hört hört.