Facebook Button datenschutzkonform einsetzen

Wie kann ein Unternehmen Facebook datenschutzkonform einsetzen? Auch wenn unsere vorgestellte Lösung nicht 100%ig den Anforderungen des Datenschutzes gerecht wird, so stellt dieses Vorgehen nach unserer Kenntnis den derzeit besten Kompromiss dar. Wir haben die Möglichkeit einer bewussten Einwilligung geschaffen, bevor Daten erfasst und übertragen werden und weisen vorab in den Datenschutzhinweisen auf die Folgen hin. Warnhinweise durch eine Mouse over Funktion klären darüber hinaus auf.

Der Like Button kann sehr leicht in die eigene Seite eingebaut werden. Dazu wird ein kleines Skript verwendet, bei dessen Erstellung Facebook sogar hilft: http://developers.facebook.com/blog/post/397
Baut man dieses Skript in eine Seite ein, wird der Like Button ab sofort beim Aufruf automatisch von Facebook Servern geladen und für Besucher sichtbar. Die eigene Seite wird damit zu einem kleinen Teil von Facebook.

Problematisch hierbei ist, dass der Button nun bereits Daten an Facebook überträgt, sobald er geladen wird. Zumindest die IP-Adresse des Besuchers wird sofort erfasst und an Facebook übertragen. Dies geschieht unabhängig davon, ob der Benutzer ein Konto bei Facebook besitzt, am Dienst angemeldet ist und sogar völlig losgelöst davon, ob der Besucher den Button überhaupt wahrnimmt und anklickt! Surft ein Benutzer – ohne zwischenzeitlich seine IP-Adresse zu ändern – weiter, wird sein Weg durch das Internet über alle Seiten, die den Like Button ebenfalls einsetzen, verfolgbar. Ist der Nutzer gleichzeitig bei Facebook angemeldet, wird zudem der Besuch der betroffenen Seite sofort seinem Facebook Konto und damit meist auch seiner realen Identität zugeordnet. All dies geschieht normalerweise alleine durch den Besuch der Seite, ohne dass jemals die Möglichkeit bestand, von dieser Übertragung Kenntnis zu nehmen und sich mit dieser einverstanden zu erklären! Zwar bestehen Möglichkeiten, dies bei einigen Browsern durch entsprechende Konfiguration und den Einsatz spezieller Addons zu verhindern. Dies dürfte aber bei einem Großteil der Besucher nicht der Fall sein. Abgesehen davon kann es auch nicht Aufgabe der Benutzer sein, sich vorsorglich gegen die unrechtmäßige Erfassung ihrer Daten zu schützen. Dies nicht zu tun, ist primär Aufgabe des Betreibers einer Webseite!

Schutz der Benutzerdaten durch die activeMind AG

Wir haben bei der Webseite der activeMind AG einen kleinen technischen Umweg eingebaut. Wie Sie sehen, ist statt des eigentlichen „like buttons“ ein anderer Button zu sehen (mit Facebook verbinden), der direkt von unserer Webseite erzeugt wird und keinerlei Daten sammelt. Erst durch Betätigung dieses Schalters können sich Besucher, dann in Kenntnis der datenschutzrechtlich relevanten Umstände, ganz bewusst dazu entscheiden, den Facebook like button angezeigt zu bekommen und die oben genannten Datenübertragungen auszulösen – aber auch die Möglichkeit der Verwendung des Features zu erhalten.

Facebookbutton einfügen, (möglichst datenschutzkonform)

Über den Code-Generator (siehe oben) von Facebook wird der Code für die eigene Seite erstellt.
Suchen Sie in dem erstellten Code nach der ersten Stelle, an der die von Ihnen angegebene URL Ihrer Webseite auftaucht.
Dies sollte in etwa so aussehen:
<link rel=“alternate“ media=“handheld“ href=“https://www.facebook.com/plugins/like.php?href=“activemind.de&amp;amp%3Blayout=standard&amp;amp%3Bshow_faces=true&amp;amp%3Bwidth=450&amp;amp%3Baction=like&amp;amp%3Bfont=arial&amp;amp%3Bcolorscheme=light&amp;amp%3Bheight=80″ />

Kopieren Sie den auf href= folgenden Code inklusive des einführenden und abschliessenden Anführungszeichens und fügen Sie ihn im nun folgenden Code an die Stelle „PLATZHALTER FÜR VORSCHALTCODE“. Der Text „Mit Facebook verbinden?“ kann durch einen selbst gewählten ersetzt werden.

<link rel=“stylesheet“ href=“http://static.ak.fbcdn.net/rsrc.php/zD5ZK/hash/4146lpfk.css“ type=“text/css“ />
<script type=“text/javascript“>
var fbURL = PLATZHALTER FÜR FACEBOOK CODE;
function insertLikeButton() {
var container = document.getElementById(‚flbCont‘);
var w = container.style.width;
var h = container.style.height;
fbFrame = document.createElement(„IFRAME“);
fbFrame.setAttribute(„src“, fbURL);
fbFrame.setAttribute(„scrolling“, „no“);
fbFrame.setAttribute(„frameBorder“, 0);
fbFrame.setAttribute(„allowTransparency“, true);
fbFrame.style.border = „none“;
fbFrame.style.overflow = „hidden“;
fbFrame.style.width = w;
fbFrame.style.height = h;
container.replaceChild(fbFrame, document.getElementById(‚flb‘));
}
</script>
<div id=“flbCont“>
<a id=“flb“ onclick=“insertLikeButton();“ style=“cursor:pointer;-moz-outline-style:none;text-decoration:none“><span style=“line-height:1″>Mit Facebook verbinden?</span></a>
</div>

Das Ergebnis sollte wie folgt aussehen:

Zusätzlich haben wir auch noch eine Mouse over funktion eingebaut. Wenn ein Benutzer mit der Maus über den Button „Mit Facebook verbinden?“ fährt. Erscheint die Meldung:

Wenn Sie auf den Facebook Button klicken, senden Sie Ihre Daten!

In die Datenschutzbestimmungen haben wir einige Zusätze aufgenommen. Diese finden Sie unter einem eigenen Blogartikel.

Beachten Sie auch unseren Beitrag vom 9.12.2011


5 Antworten
  1. Andreas Grimme
    Andreas Grimme says:

    Datenschutzgerecht ist diese Lösung aber nicht, denn das Stylesheet wird direkt vom Facebook-Server abgerufen (1. Zeile im Quellcode). Genau dadurch werden aber wieder die IP-Adresse und andere Daten an Facebook übertragen.
    Und das war eigentlich genau das, was nach dem Datenschutzrecht unzulässig ist …

    Antworten
    • Michael Plankemann
      Michael Plankemann says:

      Danke für den Hinweis. Der Einwand greift aber nur teilweise.
      Mal abgesehen von den Fällen, in denen die Internetkommunikation vermittelt und nicht direkt stattfindet, setzt die Anforderung von Inhalten stets voraus, dass die eigene IP-Adresse übertragen wird. Andernfalls kann die Antwort des Webservers nicht zugestellt werden. Hier strikt zu verlangen, ausschließlich Informationen zu erhalten, die auf dem angesurften Webserver selbst vorgehalten sind, würde das Internet in seiner aktuellen Form unmöglich machen. Entscheidend ist, dass die Auswertung zur Profilbildung unterbunden wird. Über unsere Lösung wird der Like Button erst geladen, wenn sich ein Besucher aktiv dafür entscheidet. Und erst über den Button wird die Verbindung zum „open graph“ hergestellt, an den die bedenkliche Auswertung des Besucherverhaltens anküpft. Das Laden eines Stylesheets allein gibt noch keinen Aufschluß darüber, innerhalb welcher Seite das geschah und erlaubt keinen Rückschluß auf den angesehenen Content. Der an open graph angeschlossene Like Button aber schon.

      Antworten

Trackbacks & Pingbacks

  1. […] Wie können sich vom Nutzen von Facebook überzeugte Unternehmen (wie die im obigen Bild) dagegen schützen? Eine Abmahnung erfolgt unter Berufung auf den hier verlinkten Paragraphen 13 des Telemediengesetzes. Schutz böte etwa eine Einbindung des Like-Buttons in einer Form, die zunächst nur ein Bild des Buttons mit einer entsprechenden Frage („Jetzt mit Facebook verbinden?“) enthält. Klickt der Nutzer auf das Bild, wird der echte Facebook-Button geladen. Eine Anleitung zu einer Einbindung in dieser Form findet sich auf dieser Webseite. […]

  2. […] Sie laden die Facebook Social Plug-Ins nur mit Einwilligung der Nutzer ein. Dies kann z.B. in der Form umgesetzt werden, dass zuerst nur ein Bild von den eigenen Servern auf der Website erscheint. Eerst mit Klicken auf das Bild, das auch einen Datenschutzhinweis enthalten sollte, werden die Plug-Ins nachgeladen. Hier finden Sie eine Anleitung um mit JavaScript Like-Button und “Gefällt mir” datenschutz-konform einbinden. […]

  3. […] Die ActiveMind AG hat eine sehr schöne Lösung entwickelt und zur Verfügung gestellt: Anstelle des Buttons erscheint zunächst ein gleich aussehender Button […]

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Feel free to contribute!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *