Datenschutz und soziale Netzwerke sind bei weitem nicht immer vereinbar. Insbesondere die Like- und Share-Buttons von Facebook, Twitter und anderen Anbietern sind auf Webseiten laut Datenschutz-Grundverordnung (DSGVO) nicht ohne Weiteres zulässig. Denn personenbezogene Daten von Webseitenbesuchern dürfen nur dann verarbeitet werden, wenn der betroffene Besucher darin eingewilligt hat oder eine andere gesetzliche Grundlage dafür besteht. Mit welchen Social-Plugins Sie dennoch ein datenschutzkonformes Social-Sharing erreichen, erklären wir in diesem Artikel.
Das Problem: Verstecktes Nutzertracking
Fast alle sozialen Netzwerke wie Facebook, Twitter oder Linkedin bieten Webseitenbetreibern mittlerweile an, sogenannte Social-Plugins auf der Website zu platzieren. Social-Plugins meint dabei Erweiterungen für externe Seiten, die ein Teilen der Inhalte mit sozialen Gruppen ermöglichen soll. Die Einbindung dieser Social-Plugins wie Facebook-Like-Buttons oder auch „Teilen“-Buttons von Twitter ist in Deutschland auf Webseiten ohne die Ergreifung weiterer Maßnahmen nicht datenschutzkonform möglich. Grund dafür ist die Tatsache, dass diese Buttons bereits dann Daten über den Websitebesucher an Facebook & Co. senden, wenn der Besucher den Button noch gar nicht aktiv betätigt.
Die üblichen eingesetzten Social-Media-Buttons übertragen die Nutzerdaten wie z. B. die dynamische IP-Adresse, den Browsertyp und die Browserversion bereits bei jedem Seitenaufruf an Facebook und andere Plattformen und geben somit Auskunft über das Nutzungsverhalten des Websitebesuchers an diese sozialen Netzwerke weiter.
Hierzu ist es weder erforderlich, Mitglied des entsprechenden Netzwerks noch eingeloggt zu sein. Allein durch die Einbindung dieser Buttons auf der Website findet bereits ein Tracking der Websitebesucher statt. Sofern der Websitebesucher während des Besuchs bereits bei Facebook eingeloggt ist, werden die aus dem Tracking gewonnenen Daten sogar dessen Facebook-Account zugeordnet. Da zumindest IP-Adressen ein personenbezogenes Datum sein können, greift hier jedoch auch für Daten nicht eingeloggter oder nicht registrierter Webseitenbesucher bereits das Datenschutzrecht.
Aus datenschutzrechtlicher Sicht stellt der Websitebetreiber dem jeweiligen sozialen Medium durch die Einbindung des Buttons die Nutzerdaten zur Verfügung und übermittelt die Daten quasi an dieses. Das ist allerdings nur zulässig, sofern es das Gesetz gestattet oder der Betroffene aktiv darin einwilligt. Da in der Regel jedoch keines von beidem erfüllt ist, hat eine Datenweitergabe an die Anbieter solcher Buttons und somit auch die Einbindung derartiger Buttons grundsätzlich zu unterbleiben.
Wenig attraktiv: die 2-Klick-Lösung
Daher sind für eine datenschutzkonforme Implementierung von Social-Media-Buttons weitere Maßnahmen nötig. Früher wurde meist die sogenannte 2-Klick-Lösung als Social-Plugin empfohlen. Durch den ersten Klick auf den Button werden diese aktiviert, anschließend kann durch einen weiteren Klick auf den Button die gewünschte Funktion in Anspruch genommen werden. Sofern der Button also nicht aktiviert wird, findet kein Tracking der Websitebesucher statt.
Screenshot der alten 2-Klick-Lösung
Etwas problematisch an dieser Lösung ist die Tatsache, dass die Anzahl der „Likes“, „Shares“ etc. bei einem inaktiven Button nicht angezeigt werden kann. Dadurch gehen aber gewünschte Interaktionseffekte verloren, die Nutzung der Buttons fiel meist entsprechend weniger intensiv aus. Zudem ist das Design der deaktivierten Buttons oft nicht wirklich ansprechend, da diese beispielsweise ausgegraut werden, um ihre Inaktivität auch optisch zu betonen.
Shariff – überzeugend einfach & flexibel
Um den genannten Mängeln zu begegnen, wurde von der c’t Zeitschrift des Heise-Verlags eine weitere Lösung entworfen, die sich im Ergebnis durch eine höhere Praktikabilität und Ästhetik als die 2-Klick-Lösung auszeichnet. Dieses Social-Plugin trägt den Namen „Shariff“. Über die Shariff-Lösung wird der direkte Kontakt zwischen dem jeweiligen sozialen Netzwerk und dem Besucher erst dann hergestellt, wenn der Besucher aktiv auf den Share-Button klickt. Die Shariff-Lösung verhindert somit, dass der User auf jeder besuchten Seite seine digitale Spur hinterlässt und dies, ohne eine entsprechende Einwilligung dazu gegebenen zu haben oder eine anderweitige Rechtsgrundlage, die diesen Eingriff rechtfertigen könnte.
Screenshot Stylingmöglichkeiten des Shariff-Social-Plugins
Entscheidender Punkt bei dieser Lösung ist die Tatsache, dass die Buttons lediglich als Grafik in die Website eingebunden werden. Die Grafiken enthalten wiederum eine Verlinkung auf die jeweiligen Dienste der entsprechenden Anbieter. Mit Anklicken der Grafik öffnet sich ein Pop-Up-Fenster, in welchem das entsprechende Skript für die Nutzung der Dienste geladen wird. Im Ergebnis bietet diese Lösung eine Reihe von Vorteilen:
- Es ist nur noch ein Klick nötig, um die Dienste zu nutzen.
- Ohne Anklicken des Buttons findet kein Nutzertracking mehr statt.
- Die Anzahl der „Teilen“ Klicks wird in der Abbildung des Buttons angezeigt.
- Ein quelloffener Code ermöglicht die technische Umsetzung zum Beispiel als Social-Plugin für Content-Management-Systeme und eine individuelle Gestaltung.
Anwendbarkeit mit Inkrafttreten der ePrivacy-Verordnung
Mit Inkrafttreten der neuen ePrivacy-Verordnung sind neben der Vertraulichkeit der Kommunikation auch viele parallele und von der DSGVO abweichende Regeln zum Datenschutz vorgehsehen, die nur auf bestimmte digitale Dienste Anwendung finden sollen. Wie konkret die Bestimmungen sein werden, ist derzeit noch nicht abschließend geklärt.
Da sowohl die Rechtslage zu Social-Plugins als auch neue technische Funktionen die Situation für Websitebetreiber und -besucher stets verändern, empfiehlt es sich, sich fortlaufend zu informieren, um zu gewährleisten, dass die betriebene Website DSGVO-konform bleibt. Andernfalls drohen unter der DSGVO hohe Bußgelder!
Dieser aktualisierte Beitrag wurde zuerst am 16. Juli 2015 veröffentlicht.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.