Eintrag markiert ‘Facebook’

Der Streit geht weiter: Facebooks „Like-Button“ und der Datenschutz.

Freitag, 7. Oktober 2011

Er spitzt sich zu und wird hoffentlich zu einem rechtsverbindlichen Ergebnis führen: Der Streit um die Nutzung des „Facebook-Like-Buttons“ auf Webseiten. Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) und sein Leiter, der Landesdatenschutzbeauftragte Dr. Thilo Weichert, fragt Unternehmen und Behörden in Schleswig-Holstein an, wie Sie ihre jeweilige Fanpage bei Facebook datenschutzrechtlich zulässig betreiben. Hierbei geht Herr Dr. Weichert davon aus, dass dies nicht möglich sei. Die generelle Problematik liegt sowohl darin, dass schon beim Besuch einer Webseite, die eine „Like-Button“ enthält, Daten zu Facebook übertragen werden, ohne dass dar Besucher auf den Like-Button klickt, als auch darin, dass auch vor einem Klick keine Zustimmungen eingeholt werden und auch keine Aufklärung erfolgt.

Die Kieler Landesregierung ist hier anderer Auffassung als das ULD.

Eine einfache 2-Klick-Lösung, wie sie z.B. vom Heise-Verlag angeboten wird, wird ebenfalls vom ULD als nicht rechtmäßig gesehen. Die Problematiken in der Sichtweise sind hier vielfältig: Es geht um die Fragen, wer Daten übermittelt und wer für die Übermittlung verantwortlich ist, in welcher Form eine Aufklärung notwendig ist und in welcher Form ggf. eine rechtsgültige Zustimmung erteilt werden kann. Seien Sie gespannt auf mein Gutachten zu diesen Fragen.

Facebook und Datenschutzbeauftragte

Sonntag, 12. Juni 2011

Es ist manchmal schon etwas haarsträubend, welche Blüten das Werbeinteresse so treibt. In meinem vorheringen Blogeintrag habe ich auf die Problematik von Facebook-HInweisen auf der eigenen Webseite hingewiesen. Eigentlich sollte sich jeder, der sich beruflich mit dem Datenschutz in Deutschland beschäftigt, dieser Problematik bewusst sein.

Umso erstaunlicher ist es, das ich bei einer Stichprobe bei einigen Webseiten von betrieblichen Datenschutzbeauftragten genau solche Links gefunden habe: Entweder war der Originalcode von Facebook eingebunden, häufiger waren jedoch Bilder, die von der Facebook-Seite stammen, eingebunden.

Eingebunden wurde das Bild mit diesem Code:

 

Daher hier noch einmal der technische Hinweis: Auch wenn nur ein Bild von einem fremden Server, in diesem Fall Facebook, eingebunden wird, so findet trotzdem eine Anfrage an diesen fremden Server statt. Dieser hat, auch bei nur einem Bild, die Möglichkeit, die Daten des Besuchers mitzuschreiben, Cookies zu setzen und zu lesen etc.

Um niemanden konkret „anzuschwärzen“ habe ich die Namen der Webseiten und der Webseitenbetreiber verpixelt. Trotzdem mein Appell an alle Datenschutzbeauftragten: Lasst uns mit gutem Beispiel im Datenschutz vorangehen!

Facebook-Gefällt-mir-Button und der Datenschutz: Risiko für Unternehmen

Mittwoch, 8. Juni 2011

Wer einen „Gefällt-mir“-Button auf seiner Webseite einblendet, verstößt gegen bundesdeutsches Datenschutzrecht.

Die Hintergründe

Der von Facebook bereitgestellte „Gefällt-mir-Button“ kommt auf einer Webseite nicht vom Webseitenbetreiber, sondern von Facebook. Das bedeutet, dass Facebook, unabsichtlich vom Besucher, direkt beim Besuch einer Webseite über den Besuch informiert wird. Übermittelt werden dann bei allen Besuchern, egal ob Facebook-Mitglied oder nicht, die „üblichen Informationen“ wie die IP-Adresse, Browsertyp, Browserfähigkeiten etc. Zumindest die IP-Adresse ist ein personenbezogenes Datum, welches dem BDSG unterliegt. Insbesondere die Kombination der anderen Merkmale kann ebenfalls als personenbezogenes Datum gesehen werden, da diese Kombination möglicherweise eindeutig für eine individuelle Person ist.

Personenbezogene Daten dürfen, von gesetzlichen Ausnahmen abgesehen, nur mit Zustimmung des Betroffenen verarbeitet werden (§4 (1) BDSG). Auch nach §13 TMG muss ein Diensteanbieter, also der Betreiber einer Webseite, den Nutzer „zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten“ … „in allgemein verständlicher Form … unterrichten“.

Bei Facebook-Mitgliedern, die während des Besuches der Webseite bei Facebook angemeldet sind, werden nicht nur die genannten Daten zu Facebook übertragen, sondern zusätzlich die Facebook-ID. Facebook weiß also genau, welche Seite die konkrete und Facebook namentlich bekannte Person besucht.

Dass dies, insbesondere in Verbindung mit der Datenverarbeitung in den USA, eine datenschutzrechtliche Katastrophe ist, ist nicht Gegenstand dieses Artikels. Hier sei beleuchtet, wie stark der deutsche Webseitenbetreiber verantwortlich ist und wie er sich korrekt verhalten kann.

Das Problem betrifft nicht nur Facebook, sondern auch andere Dienste, die auf ähnliche Weise eingebunden werden, bei denen also auch Seiteninhalte von anderen Betreibern nachgeladen werden.

Der Webseitenbetreiber kann sich auf den Standpunkt stellen, er sei doch unschuldig. Die Daten würden ja nicht von ihm erfasst und übermittelt, sondern direkt von Facebook. Diese Ansicht wird jedoch kaum haltbar sein. Wenn ein Besucher die Webseite eines deutschen Anbieters in seinem Browser aufruft, kann er davon ausgehen, dass seine Daten gemäß den deutschen Datenschutzrecht behandelt werden. Von der durch den Anbieter erfolgten Einbindung fremden Inhaltes kann er noch nichts wissen, denn diese sieht er ja erst beim Aufruf – also wenn es schon zu spät ist. Insofern ist die Erfassung durch Facebook sicherlich dem Webseitenanbieter zuzuordnen: Er hat die Erfassung eingebunden und er profitiert in seinem Marketing von der Einbindung.

Insofern obliegt es dem deutschen Webseitenbetreiber, seine Besucher wie oben ausgeführt zu informieren.

Die Lösung

Der Webseitenbetreiber möchte die (vermeintlichen) Marketingvorteile von Facebook nutzen. Der angemeldete Facebook-Nutzer möchte auf den Facebook-Button klicken können. Unbeteiligte und auch der angemeldete Facebook-Benutzer sollen aber nicht bespitzelt werden. Hierfür gibt es eine technische Lösung: Wird nicht der von Facebook angebotene Orginal-Button genutzt, so wird auch nicht die ungewünschte Original-Funktion ausgeführt. Statt dessen kann eigener Javascriptcode verwendet werden, um den Benutzer zu informieren und bei seiner Zustimmung die Original-Funktion, ggf. mittels Umleitungsseite, aufzurufen. Ferner wird für die „ge-like-te“ Seite eine eigene Ansprungseite erzeugt, die dann auf die Originalseite umleitet. Auf diese Weise kann ein Facebook-Benutzer die richtige Seite anspringen. Diese Lösung ist zwar nicht im Sinn von Facebook, aber im Sinn des Datenschutzes und der Benutzer.