Social Plugins spielen eine große Rolle im Social Media Marketing vieler Unternehmen. Kaum noch ein Nachrichtenportal, auf dem man nicht interessante News per Facebook weiterverbreiten kann, kaum noch ein Modeblog, Baumarkt oder Lebensmittelgeschäft, dessen Produkte man nicht per Button liken kann. Unbeschwert klicken die User auf „Gefällt mir“ oder teilen der Welt per Tweet mit, was sie von dem neuen Fensterreinigungsspray der Marke XY halten. Dass sie dabei ihre Spuren kreuz und quer im Netz verteilen, ist den wenigsten Nutzern so richtig bewusst – und was das in puncto Verstöße gegen Datenschutzvorgaben bedeutet, den wenigsten Shopbetreibern & Co.
Da mit der Einbindung von Social Plugins rechtliche Risiken einhergehen und einige Datenschutzregelungen beachtet werden müssen, möchte ich heute auf dem Blog einige Infos zum Thema geben und auf Stolperfallen aufmerksam machen.
Social Plugin: Die Seite in der Seite
Was Social Plugins sind und wie sie in die eigene Homepage eingebunden werden, dürfte inzwischen jeden klar sein, der beruflich im Internet unterwegs ist. Die juristischen Aspekte dagegen sind häufig noch unklar. Da der Datenschutz in Deutschland aber großgeschrieben wird, ist es durchaus lohnenswert, sich damit auseinanderzusetzen. Es warten nämlich einige Stolperfallen auf Shopbetreiber & Co., die die beliebten Buttons im eCommerce verwenden.
Damit der Like-Button auf einer Webseite erscheinen kann, muss ein sogenannter iFrame eingebettet werden. Dieser iFrame, eine Art in die Seite integrierte Unterseite, besitzt einen direkt von Facebook / Google / Twitter stammenden Quelltext. Damit wird bei Öffnen der gewünschten Internetseite also automatisch auch ein Frame des Plugin-Betreibers geöffnet.
Ungewünschter Automatismus: Übertragung von IP-Adressen
Das hat zur Folge, dass automatisch unter anderem die IP-Adresse aller User an Facebook übertragen wird – selbst wenn das Plugin gar nicht angeklickt wird. Geht man davon aus, dass es sich bei IP-Adressen um personenbezogene Daten handelt (siehe Diskussion dazu: Viel Lärm um nichts: Urteil zur Speicherung von IP-Adressen bringt keine Erkenntnis für Betreiber von Webseiten), so wäre eine Einwilligung der betroffenen Personen nötig – ansonsten läge ein Verstoß gegen das Datenschutzgesetz vor.
Manche Juristen sehen die Übermittlung der Daten an Facebook als Notwendigkeit für die Nutzung der Seite an. Bei dieser Betrachtungsweise wäre die Datenübermittlung nach § 15 Abs. 1 TMG ohne Einwilligung zulässig. Dieser Ansatz scheitert jedoch daran, dass die Anbieter aller relevanten Social Plugins ihren Sitz in den USA haben, wo es mit dem Datenschutz lange nicht so eng gesehen wird, wie in Deutschland.
So oder so – Datenschutz muss sein!
Eines ist in jedem Fall klar: Eine Datenschutzerklärung zur Unterrichtung der User über die Folgen der Benutzung von Plugins muss auf der Seite abrufbar sein (das gilt übrigens auch beim Einsatz von Trackingtools, wie Google Analytics: Kostenloses Whitepaper: So können Web-Analyse-Tools datenschutzkonform eingesetzt werden). Darin müssen bestimmte Inhalte allgemein verständlich formuliert sein, um der gesetzlichen Unterrichtungspflicht nachzukommen. Dazu gehören:
- Verwendung bestimmter Social Plugins auf der Seite
- Anbieter des Plugins samt Anschrift
- Datenübertragung bei Seitenaufruf
- Hinweis auf Datenschutzerklärung des Anbieters
- Falls zutreffend: Möglichkeit der Verhinderung der Datenübermittlung
Die „2-Klick-Lösung“ by heise.de
Eine Lösung gibt es inzwischen immerhin für das Problem, dass Daten sofort bei Betreten der Seite an die Plugin-Betreiber weitervermittelt werden: Die sogenannte „2-Klick-Lösung“, die heise.de entwickelt hat. Sie ermöglicht eine datenschutzfreundliche Integration der Social Plugins in eine Webseite.
Und so funktioniert’s: Beim Laden der Seite findet noch kein Datenaustausch mit dem Plugin-Betreiber statt. Der Nutzer hat die Möglichkeit, die Plugins zu aktivieren, falls er sie nutzen möchte. Erst dann wird die IP-Adresse an Facebook, Google etc. weitergeleitet. Auf diese Weise können die Besucher der Seite eigenverantwortlich entscheiden, ob sie einer Datenübermittlung zustimmen oder nicht. So kann gleichzeitig die Einwilligung des Nutzers eingeholt und ein Datenschutzverstoß vermieden werden.
Sollte dieses Vorgehen einem Nutzer zu umständlich sein, besteht auch die Möglichkeit, bestimmte oder alle Social Plugins mit einem Häkchen dauerhaft zu aktivieren. Durch Wegnahme des Häkchens kann dieser Vorgang jederzeit rückgängig gemacht werden.
Der Code zur Einbindung von Social Plugins mittels 2-Klick-Lösung kann übrigens kostenlos heruntergeladen werden.
Weiterführende Informationen
- Erfolgreiches Social Media Marketing: Breaking Bad zeigt, wie es richtig geht
- Ambush-Marketing im Social-Media-Kundendialog: Was „auf Kosten Anderer“ erlaubt ist und was nicht – Rechtslage
- „Embedded Posts“ bei Facebook: Rechtliche Gefahren des Social Plugins
- Sorgenkind SlideShare: Warum der datenschutzkonforme Einsatz in Deutschland eigentlich nicht möglich ist – und wie es doch geht
