Auf der Social Media Conference in Hamburg hat Christian Solmecke von wbs-law.de einen Vortrag über die rechtlichen Implikationen von Social Media gehalten.
Der Vortrag war insgesamt gelungen und hat viele Dinge sauber klargestellt. Zum Beispiel, dass man bei User Generated Content beispielsweise bei Wettbewerben mit den Rechten aufpassen muss.
Herr Solmecke hat später auf Schwierigkeiten mit Impressum (Wie ist hier eigentlich die Mehrzahl? Impressi? Impressums? Impressanten?) und Datenschutzhinweise hingewiesen. Freundlicherweise hat er auch gleich eine Beispielformulierung für den Datenschutzhinweis in Zusammenhang mit dem Facebook-Like-Button vorgelegt.
Jetzt bin ich kein Rechtsanwalt, glaube aber, dass der Datenschutzhinweis nicht ausreichend sein dürfte, wenn es wirklich Probleme gibt.
Der Like Button telefoniert nämlich nicht erst nach Hause, wenn der Nutzer auf den Button klickt, sondern schon bereits sobald die Seite geladen wird.
Technisch bindet der Admin ein iFrame ein, dass dafür sorgt, dass der Like-Button an der gewünschten Stelle der Seite angezeigt wird. Ruft ein Nutzer eine Seite auf, so wird die gewünschte Seite vom Server geladen. Der Browser baut, sobald er auf den iFrame-Verweis im HTML stößt, eine Verbindung zum Server von Facebook auf und lädt vom Facebook-Server den Button und gegebenenfalls weitere Informationen (Anzahl bisher abgegener Likes, wer hat geliked). Dabei wird beim Aufbau der Verbindung zum Facebook-Server die IP-Adresse übertragen und kann von Facebook zur weiteren Analyse gespeichert werden. Wenn ein Nutzer parallel bei Facebook eingeloggt ist, wird auch diese Information übertragen.
Wenn der Nutzer sich die Datenschutzhinweise ansieht, wurden also schon aller Wahrscheinlichkeit nach personenbezogene Daten auf einen Server in Amerika übertragen. Gleichzeitig gibt es (im Gegensatz zum Beispiel zu Google Analytics) keine Möglichkeit die IP bei der Übertragung (zumindest in Teilen) zu anonymisieren.
Die Einbindung des Like-Buttons ist also auch bei Erwähnung von Facebook in den Datenschutzhinweisen nicht Datenschutzkonform.
Was also kann man tun, wenn man sichergehen will, dass sämtliche Eventualitäten des Datenschutzes eingehalten werden? Im Prinzip gibt es 2 Möglichkeiten
- Ausbau des Buttons
- Verhindern, dass eine Verbindung zu Facebook aufgebaut wird, wenn die Seite geladen wird:
- Caching der iFrame-Inhalte auf dem eigenen Server und ausliefern des Buttons im eigenen HTML
- Nachladen des iFrames per JavaScript auf User-Interaktion hin (SWR3-Methode)
Und: Was meint Ihr? Seht Ihr noch mehr Möglichkeiten? Muss man sich darüber Gedanken machen? Wird es bald eine brauchbare Lösung durch Facebook selbst geben?
Es gibt auch die Meinung, daß eine Datenschutzerklärung mit dem Hinweis auf die Datenschutzrichtlinien von Facebook reicht und daß die Datenerhebung Sache von Facebook ist.
Bin prinziell auch der Meinung, dass es eher der Nutzer für Filtern zuständig sein sollte. Aber:
Wenn man für Facebook den selben Maßstab anlegt, wie für Google (und das werden Datenschützer tun), dann wird das Übertragen der IP beim Laden der Seite noch Probleme machen…
[…] Social Media gehalten. Der Vortrag war insgesamt gelungen und hat viele Dinge sauber klargestellt. facebook – Google Blog-Suche Share Share and Enjoy: Diese Icons verlinken auf Bookmark Dienste bei denen Nutzer neue Inhalte […]
In mitlerweile jeder zweiten Facebook News Zeile kommt das Wort „Datenschutz“ vor. Hier wird eine menge Haarspalterei betrieben, da man den eigentlichen Nutzen aus den Augen verloren hat. Allerdings ist es auch ein elementares Diskussionsfeld auf dem man sich hier bewegt, denn es handelt sich hier um die Daten von Usern, mehreren hundert Millionen. Da sollten strenge Auflagen bestehen die vor Missbrauch schützen. Ein schwieriges Thema wenn Ihr mich fragt.