Datenschützern war der Facebook Like-Button schon lange ein Dorn im Auge. Facebook sammelt über dieses Tool millionenfach Daten ohne Wissen der Nutzer. Der Like-Button, der sich auf Millionen von Webseiten finden, könnte nun aber auch zu massenhaften Abmahungen bei Webseitenbetreibern führen. Das LG Düsseldorf hat nämlich entschieden, dass diese Funktion gegen deutsches Datenschutzrecht verstößt. Die 6 wichtigsten Facts zu diesem Urteil lesenSie hier.
Datenschützern war der Facebook Like-Button schon lange ein Dorn im Auge. Facebook sammelt über dieses Tool millionenfach Daten ohne Wissen der Nutzer. Der Like-Button, der sich auf Millionen von Webseiten finden, könnte nun aber auch zu massenhaften Abmahungen bei Webseitenbetreibern führen. Das LG Düsseldorf hat nämlich entschieden, dass diese Funktion gegen deutsches Datenschutzrecht verstößt. Die 6 wichtigsten Facts zu diesem Urteil lesenSie hier.
1. Abmahnung wegen Facebooks Like-Button?
Es gab in der Vergangenheit bereits Abmahnungen wegen des Facebook Like Buttons auf Webseiten. Hintergrund war die Tatsache, dass das Facebook-Plugin Daten der Webseitenbesucher ungefragt an Facebook überträgt. Da es sich um personenbezogene Daten handelt, ist diese Datenübertragung aber nur mit Zustimmung der Nutzer erlaubt.
Wie fast immer beim Thema Datenschutz war die Aufregung kurz und heftig. Wirklich getan haben aber die wenigsten Seitenbetreiber etwas. Das wird sich nun aber ändern. Es liegt ein Urteil des Landgerichts Düsseldorf zu einem dieser Fälle vor.
2. Was hat das LG Düsseldorf zum Like-Button entschieden?
Das LG Düsseldorf hat entschieden, dass die Einbindung derartiger Facebook-Tools, die die Daten der Besucher einer Website ungefragt an Facebook übertragen, nicht erlaubt sind. Hintergrund ist, dass Facebook über plugins wie den Like-Button millionenfach Nutzerdaten von den Besuchern der Webseiten abgreift, die den Like-Button eingebunden haben. Ohne dass die Nutzer das Wissen. Ohne dass die Nutzer dem zugestimmt hätten. Und ohne dass die Nutzer überhaupt Mitglied bei Facebook sein müssen.
Aus Datenschutzsicht ist das Urteil absolut zu begrüßen. Facebook wäre es ohne großen Aufwand möglich, Tools wie den Like- oder Share-Button so umzustellen, dass nicht automatisch Nutzerdaten übertragen werden.
3. Wie sollten Seitenbetreiber jetzt reagieren?
Das Urteil ist noch nicht rechtskräftig, es könnte also sein, dass die nächste Instanz anders entscheidet. Meiner Einschätzung nach wird das aber nicht passieren.
Hunderttausende Seitenbetreiber müssen also handeln. Wenn sich diese Ansicht durchsetzt bedeutet dass, dass ein Hinweis in der Datenschutzerklärung auf Funktionen wie den Like-Button nämlich nicht mehr ausreicht. Wenn Sie auf Nummer sicher gehen wollen, dann:
1. Entfernen Sie das von Facebook zur Verfügung gestellten Page-Plugins sowie Like- und Share-Buttons, die per Plugin eingebunden sind, von Ihrer Seite.
2. Als Agentur oder Webdesigner: Informieren Sie Ihre Kunden über das aktuelle Abmahnrisiko.
→ Wir stellen allen eRecht24 Agentur-Mitgliedern eine fertige Info-Mail für Ihre Kunden im neuen „Schnellstarterpaket Facebook & Co.“ zur Verfügung.
3. Nutzen Sie Tools, die ähnliche Funktionen bieten, ober keine personenbezogenen Daten übertragen.
→ Wir stellen in den nächsten Tagen allen eRecht24 Mitgliedern eine Übersicht über die technischen Schritte und zahlreichen Alternativen zum Like-Button von Facebook im neuen „Schnellstarterpaket Facebook & Co.“ zur Verfügung.
4. Alternative: Sie verzichten völlig auf derartige Tools und verlinken lediglich - direkt oder über ein Facebook-Symbol - auf Ihrer Facebook-Seite. Nachteil: Die Urheber- und Markenrechte an den Facebook-Logos liegen allein bei Facebook.
4. Was ist mit der "2-Klick-Lösung"?
Diese von heise entwickelte Lösung ist aus datenschutzrechtlicher Sicht auf jeden Fall besser als die Lösung von Facebook. Wir haben diese Lösung aber - im Gegensatz etwas zu Shariff - trotzdem nie empfohlen. Die Unterschied ist der:
- Bei der 2 Klick-Lösung werden genau die selben Daten an Facebook übertragen wie bei dem Like-Button von Facebook. Eben nur einen Klick später.
- Bei Lösungen und Plugins wie Shariff werden gar keine personenbezogenen Daten übertragen.
Die 2 Klick-Lösung war eher ein aus der Not geborener workaround, um überhaupt noch Facebook-Funktionen anbieten zu können. Datenschutzrechtlich ist die 2 Klick Lösung meiner Meinung nach aber nicht ausreichen. Die Datenschützer fordern bei der Übertragung personenbezogener Daten eine Einwilligung des Nutzers. Dazu muss man dem Nutzer aber genau erklären können, welche Daten zu welchen Zwecken wo und warum von Facebook gespeichert werden.
All das weiß aber nur Facebook und sagt es niemandem. Eine wirksame Einwilligung bekommt man so als Seitenbetreiber also gar nicht hin.
5. Gilt das Urteil auch für andere Seiten und Tools wie twitter oder Google+?
Das Urteil ist zwar nur zu Facebook ergangen. Es betrifft aber auch alle anderen Plugins von Social Media Seiten wie twitter oder Google+, die personenbezogene Daten übertragen. Auch hier sollten Sie als Seitenbetreiber auf die unter Nr.2 oder Nr.3 dargestellten Lösungen ausweichen.
6. Gilt das Urteil für Seiten von Unternehmern und Shops oder auch für private Webseiten?
Hintergrund des Urteils war eine wettbewerbsrechtliche Abmahnung. Alle Webseiten, die nicht ausschließlich privat sind, können also abgemahnt werden:
- alle Online Shops
- alle Seiten von Dienstleistern
- alle Unternehmens-Seite
- Alle Seiten mit Werbung, Affiliate-Seiten
Aber auch bei privaten Seiten verstoßen die Betreiber gegen Datenschutzrecht, wenn sie den Like-Button über das aktuelle Facebook-Plugin einbinden.
Klicken Sie einfach auf das Formularfeld und kopieren Sie sich den Link heraus.
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
Diese Regelungen nerven sowohl Kunden als auch Betreiber. Absolut sinnlos. Warum machen sich die Gesetzgeber darüber keine Gedanken?
Natürlich bedeutet das, dass Seitenbetreiber sich jetzt auch Gedanken machen müssen. Aber wenn man ehrlich ist, dass Facebook Nutzerdaten von Millionen Webseitenbesuchern abgreift, selbst wenn diese nicht bei Facebook eingeloggt sind oder nicht mal Mitglied bei Facebook sind, geht irgendwie schon zu weit. Es war vorher einfach nur bequem, die Plugins von Facebook einzubinden. Das Argument "bequem" ändert aber nichts an der Rechtslage.
Und nochwas - wenn eine IP personenbeziehbar ist, müsste auch ein zugelassener PKW personenbeziehbar sein - dabei kann dich nur der Halter, nicht der Fahrer, bei einem PKW durch die Behörden sowie die IP nur der Anschlussinhaber, nicht der Benutzer, durch Behörden ermittelt werden - kein Facebook oder anderes kommerzielles Unternehmen kann m.E. anhand der IP den Anschlussinhaber ermitteln.
Hat hat das LG denn kein Gutachter hinzugezogen?
Die IP kann aber dem Facebook-Konto zugeordnet werden. Und somit bekommt Facebook die Möglichkeit der direkten Werbevermarktung. In der Regel gibt man ja bei Facebook seine Realdaten an, die von Facebook genutzt werden kann.
Werbebanner & Co. dagegen können nur unpersonalisierte Werbung anzeigen, hat also keinen direkten Bezug zur Anschrift des Nutzers (indirekte Werbevermarkung). Allerdings könnte man jetzt auf Geolokalisierung abzielen, was dann dazu führen könnte dass das hier erwähnte Urteil eines Tages durchaus auch auf Werbebanner & Co. ausgedehnt werden könnte.
ist doch gar kein Plug-In, sondern nur ein Link. Der übrigens auch oben in der Browserzeile ..... ;)
Das Gleiche passiert auf meiner Webseite. Dort habe ich die Like-Buttons an den Produkten. Wenn ich eingeloggt bin, kann ich zwar "gefällt mir" drücken, muss aber in einem weiteren Schritt mein Like bestätigen, erst dann wird auf FB gepostet.
Was bedeutet das konkret? Rechtssicherheit in Ihrem Sinne?
Zur Info: Miet-Shop bei Strato, ich gehe davon aus, dass dort alles mit rechten Dingen zugeht ;-)
SEHR hilfreiche Antwort :)
Ich werde direkt zu Facebook weitergeleitet. Keine Erläuterung, kein Datenschutz, nichts. Herr Siebert .. meinen Sie das wirklich ernst, was Sie hier anbieten?
Vielleicht sollten Sie den button einmal selbst checken!
Des Weiteren habe ich nun 5 Mal den "Schnörkel-Code" zum Absenden dieses Kommentars eingegeben. Immer falsch.
Was die Schnörkel angeht, wenn Sie den captcha immer falsch eingeben können Sie hier auch nichts posten. Aber es scheint ja doch funktioniert zu haben.
LG Thomas Jansen
a) trotzdem Share-Zahlen zu anzuzeigen (bei uns ein pfiffiges Serverscript, was nichts mit dem Nutzerfrontend zu tun hat) und
b) dem Sharer automatisiert aus dem CMS die richtigen zu sharenden Daten mitzugeben, ebenfalls eine Eigenentwicklung.
Somit entspricht unsere Lösung den angesprochenen Datenschutzstandards. Es finden keine (versteckte) Kommunikation mit Facebook & Co. im Frontend statt.
Vielen Dank für die Erläuterung :)
PS: Mal einen Schritt weitergedacht: Wenn das auf den ersten Blick also gar nicht ersichtlich sein kann, ist eine Abmahnung diesbezüglich für den Abmahnenden doch recht riskant, da der Abgemahnte dann in dem Fall ja leicht sein datenschutzkonformes Vorgehen beweisen kann. Wenn das von Vornherein also gar nicht erfolgssicher ist, dürfte das die Abmahnfreudigkeit doch arg einschränken.
Das sehe ich ganz genauso. Woran kann ich denn nun zielsicher erkennen, welchen Code oder Teil davon ich weglassen/abändern muss? Mich interessiert die "graue" Alternative habe zwischen FB Page Plug-in rein und Plug-in raus? Ich bin Webseiten und Shopbetreiberin und Beraterin und finde die schwarz/weiß Empfehlung nicht i.O. wenn es offenbar eine Option gibt mit einem Code zu arbeiten, der rechtlich OK ist. So kann ich mir und jeder meiner Kunden sich überlegen, was er tun will. Geld ausgeben für die Programmierung einen sicheren Code und einer Social-freundlichen Webseiten Nutzung oder eben halt nicht. Danke im voraus für Hilfestellung hierzu eRecht.de. Ich habe wie im Artikel genannte Schnellstarterpaket Facebook & Co leider nicht fiinden können. Hierzu wäre ein Link/Button toll (da keine Suchfunktion vorhanden) oder bin ich blind? Danke im voraus.
Das "Schnellstarterpaket Facebook & Co" gibt es momentan nicht einzeln zu kaufen, sondern nur für unsere Mitglieder:
https://www.e-recht24.de/mitglieder/
Kann man die Beiträge als Betriebskosten geltend machen?
Das lässt sich hier in Kürze nicht erklären. Ohne Kenntnisse in HTML und/oder CSS ist es nicht leicht alles richtig zu machen.
zitiere Britta:
Im Prinzip ist alles erlaubt was nicht sofort beim Aufruf Deiner Seiten Daten an die sozialen Netzwerke sendet, sondern damit auf eine Benutzeraktion wartet bzw. den Seitenbesucher selbst entscheiden lässt. Wie der Code dafür aufgebaut ist bleibt Dir überlassen.
1.) die staatliche Datenkrake, die in boshafter Absicht sämtliche Internet-Verbindungen des Landes über nur eine zentrale Vermittlungsstelle in Frankfurt laufen ließ, nun zwar aus technischen Gründen um eine zweite nicht herum kam, aber eben diese beiden Knoten zum beliebigen und UNBEFUGTEN Abgreifen sämtlicher persönlicher Daten mißbraucht, worüber leider (fast) niemand spricht und
2.) das schlicht als kriminell zu verurteilende Unwesen der von einer rechtlosen Unrechtsjustiz begeistert bestätigte Abmahnverbrechen, dessen skrupellose, durch und durch verdorbene Berufsverbrecher stets auf der Suche nach neuen Geldquellen sind und dadurch erst einen Irrsinn nach dem anderen auf den Weg bringen, wobei es überhaupt nicht um eine vielleicht nötige Sache geht, sondern nur um weiteren Verbrechenslohn, der möglichst einfach eintreibbar sein soll - weshalb dann eben auch der staatliche Datenmißbrauch "übersehen" wird, ebenso wie die Internet-Kriminalität, die über ausländische Server stattfindet - aber daran kann die Abmahn-Mafia eben nicht verdienen...
DaAnke und Gruß
Müssen die auch raus?
Übrigens:
1) im Gegensatz etwas zu ... Gegensatz etwa zu
und
2) bieten, ober keine ... bieten, aber keine (als Bayer ist der Fehler verziehen) ;o)
Ja diesen Teil habe ich in meiner Datenschutzerklärung aber wie gesagt die Daten werden ja übermittelt und gespeichert bevor der Besucher von mir informiert wird.
Dürfte man die IP speichern um sich gegen Hackangriff abzusichern? Also man speichert die IP und wenn jemand auffällige Anfragen stellt, geht man da gegen vor andernfalls wird es wieder gelöscht?
Genau da sind wir bei dem Problem. Man darf die IP eigentlich nicht speichern. Und damit hat man keine Möglichkeit sich aktiv gegen Angreifer zur Wehr zu setzen. Und wenn man sie speichert muss man die Besucher informieren. Aber wenn man sie informiert ist die IP bereits gespeichert, der Besucher kann also nicht mehr wiedersprechen. In Foren ist das etwas anderes, da kann man in den Benutzerbestimmungen darauf hinweisen dass die Speicherung der IP erforderlich ist.
zitiere Karl:
Bei meinem Hoster kann ich das. Ich kann entscheiden ob ich die ganze IP speichern oder sie anonymisieren möchte.
In PIWIK & Co. liese sich das aber auch so programmieren dass nur "127.0.0.1" zu sehen ist. Aber es weiss nicht jeder wie das geht.
Bei dieser Gelegenheit gleich noch ein Lob an Sie, Herr Siebert, für die immer sehr leicht verständlichen Hinweise. Echt super, kein unverständliches Juristendeutsch sondern immer sehr menschlich geschrieben. Vielen Dank!
M.E. können auch derartige Pixel davon betroffen sein. Sobald bereits mit dem Aufruf einer Webseite von Webseitenbetreiber und -besuchern nicht kontrollierbare Daten an fremde Seiten (z.B. soziale Netzwerke) übertragen werden könnte dieses Urteil auch bei den Pixeln greifen. Nicht greifen dürfte das Urteil m.E. bei solchen Pixeln die lediglich die Seitenzugriffe zählen und dabei einen Zähler (counter) erhöhen ohne sonst irgendwelche Daten zu erheben.
Gruß, René
Gruß, René
wie verhält es sich denn mit den sehr beliebten Sharing Buttons von AddThis? Sind diese ebenfalls betroffen ?
Gruß
Simon
Um noch sicherer zu gehen könnte man beim Link das nofollow-Attribut setzen, damit erfahren Google und Facebook nicht mehr dass auf der Homepage ein Facebook-Link (Backlink) sitzt.
Mal im ernst ohne die Plugins ist es ziemlich doof weil man es niemals einbruchsicher und schön darstellen kann.
Und meines Erachtens wer nicht will soll nicht klicken...da sammelt Google deutlich mehr Daten ^^ und wer nicht erfasst werden will soll entweder die Firewall so konfigurieren, dass er inkognito im Netz ist oder soll so Sachen wie Thor benutzen. Was im übrigen nicht ganz legal ist.
Es geht darum, dass die regulären Facebook Buttons die IP Adresse des Besuchers übermitteln noch bevor überhaupt geklickt wird. Das kann mit Buttons umgangen werden welche nur nur aus einem statischen Link bestehen und die auf das Share Script des jeweiligen Netzwerks verweisen.
Bei Facebook ist es z.b.
http://www.facebook.com/sharer.php?u=https://www.mashshare.net/
Für Twitter:
https://twitter.com/intent/tweet?text=Mashable+inspired+Share+Buttons+-+Rich+expandable&url;=http://bit.ly/1RxYtsJ&via;=Mashshare
Wer WordPress verwendet kann Plugins nutzen, die die Share Buttons datenschutzkonform und statisch einbinden, ähnlich wie hier auf der e-recht24 Seite. z.b. https://wordpress.org/plugins/mashsharer/
(von deren Webseite habe ich den o.a. Code der Buttons für demonstrationszwecke kopiert)
Google speichert selbst auch allen Scheiß. selbst veraltete Daten die nicht mehr Aktuell sind finde ich heute noch im Netz über die Namen suche. Ursprünglich war das Internet von der Army und wurde uns Normalbürgern zu Verfügung gestellt ... Nachtigall ich hör dir trapsen .. So wird doch ohne hin jeder überwacht der Online aktive ist und sein Verhalten ausgelesen ob mit oder ohne Sozial Buttons.. Wer etwas klickt weiß doch das er/sie damit etwas von sich selbst erzählt denn er/sie teilt es ja auch freiwillig mit anderen. Ich denke auch das dies Absicht ist von einer Art Maffia genauso wie ich sehr Stark vermute das Anti Vieren Software Hersteller Hacker beauftragen Vieren in Umlauf zu bringen um ihr Schutzprogramme zu verkaufen.
Danke für den Artikel
"ohne großen Aufwand" will mir dann irgendwie nicht einleuchten - da ich aus dem Bereich "Programmierung" kommen, würde mich die einfache Lösung interessieren.
Beim Heise-Shariff-Projekt wird das Server-Intern gemacht. D.h. dass bei der Abfrage des Like-Counters die IP-Adresse des Servers gesendet wird. Der Programmieraufwand ist natürlich hoch. Die meisten Anwender dürften den Code vom Shariff-Projekt nicht verstehen. Eine einfache Lösung dafür kenne ich nicht.
https://www.e-recht24.de/mitglieder/
nur noch Sch....in Deutschland
So gesehen ja. Zumindest müssten die Seitenbesucher eigentlich zustimmen. Denn bei Retargeting werden ebenfalls Nutzerdaten erfasst ohne den Besucher zu fragen ob ihm das recht ist. Aber das liese sich ändern indem man nur über Werbeseiten leitet ohne dass Nutzerdaten erfasst werden.
http://www.facebook.com/sharer.php?u=https://www.facebook.com/xfbseite
(xfbseite ist hier nur ein Platzhalter für den Namen der Facebook-Seite)
Da besteht keine Gefahr. Bei diesem Urteil geht es ja im Kern darum dass bereits beim Aufruf einer Webseite, welche die Plug-Ins enthält, Daten an andere Server übertragen werden. Genaugenommen trifft das eigentlich auch auf Retargeting & Co. zu. Aber bei Deinen einfachen Links trifft das nicht zu.