Vor wenigen Tagen hat Rechtsanwalt Thomas Schwenke auf allfacebook.de einen hervorragenden Artikel zu einem Urteil des Landesgerichts Düsseldorf veröffentlicht, in dem er die Folgen dieses schrecklichen Richterspruchs relativ ausführlich aufzeigt. Leider ist der Artikel an einigen Stellen etwas juristisch, an anderen vielleicht etwas zu technisch und am Ende bleiben für den durchschnittlichen Webseiten-Betreiber einige Fragen offen. Konkret: Was für Facebook Share- oder Like-Buttons darf ich denn jetzt überhaupt noch einsetzen? Diese Frage soll dieser Artikel beantworten.
Dynamisch vs. Statisch
Bereits im zweiten Absatz spricht RA Schwenke davon, dass dieses Urteil „praktisch das ganze dynamische Internet“ betrifft. Das ist zwar richtig, aber gleichzeitig etwas kryptisch. Denn wer weiß denn überhaupt, was das „dynamische Internet“ sein soll? Hier meine Begriffserklärung:
Eine „statische Seite“ sieht für jeden Besucher absolut gleich aus. Das heißt, wenn du einen Blog-Beitrag wie diesen hier schreibst und dann ein paar Bilder einsetzt, so ist es vollkommen egal, ob dein Besucher bei Facebook (oder sonst irgendeiner Seite) eingeloggt ist oder nicht, ob er aus Deutschland oder Frankreich oder sonstwo kommt und ob er mit einem MacBook oder mit einem Windows-Rechner surft – die Seite sieht immer genauso aus.
Eine „dynamische Seite“ geht „interaktiv“ auf den Besucher ein. Damit ist gemeint, dass ein dynamisches Element bei jedem Besucher anders aussehen kann. Ein sehr typisches Beispiel (und das zentrale Element des Urteils) ist das Facebook Page Plugin, von dem ihr einen Screenshot rechts sehen könnt. Wohlgemerkt: Einen SCREENSHOT!Dies wäre die Anzeige, die ich just in diesem Moment sehen würde, wenn ich diese Box einbinden würde. Ich erkenne darauf, dass die Facebook-Seite von nexTab.de aktuell 128 Likes hat. Wenn du dich jetzt dazu entscheiden würdest, die Seite ebenfalls zu liken (vorausgesetzt, du bist noch kein Fan), so würde sich die Zahl bei dem Plugin automatisch auf 129 updaten, bei diesem Screenshot allerdings nicht – immerhin ist es ja „nur ein Bild“ (also ein statisches Element).
Dann sehe ich noch, dass ich die Seite bereits „like“ (logisch) sowie die Benutzerbilder einiger meiner Freunde, was jetzt in diesem Fall nicht so entscheidend ist, aber wenn ich mir jetzt das Page Plugin von… sagen wir „Zalando“ ansehen würde, so würde mir da vielleicht angezeigt werden, dass meine Frau die Seite bereits liked und ganz viele andere meiner Freunde und das wirkt, in gewisser Weise, bereits ein wenig Vertrauen erweckend.
Ich könnte jetzt eine kleine psychologische Abhandlung verfassen, aber ich denke, den meisten Lesern wird klar sein, dass man mehr auf die Meinung der eigenen Freunde gibt als auf eine langweilige Statistik, wie „50.000 Leute liken Zalando“. Da lautet die übliche Reaktion dann „Ja, und?“. Wenn allerdings die eigene Frau Zalando liked, ist das direkt viel überzeugendender, immerhin muss ich ja zu meiner Frau stehen (sonst würde sie wahrscheinlich aus Rache direkt mal 10 Paar Schuhe bestellen…).
Nochmal: Dies ist ein Screenshot. Wäre es das „richtige“ Page Plugin und DU würdest die Seite besuchen, so würden dort wahrscheinlich andere Benutzerbilder angezeigt werden. Und natürlich könnte es auch sein, dass das „Liked“ nicht ausgegraut ist, weil du die Seite noch gar nicht geliked hast (schäm dich!).
Was ist das Problem mit dynamischen Elementen?
Damit mir ein Facebook Page Plugin „live“ anzeigen kann, wie viele meiner Freunde die Seite liken (und ob ich sie selbst like, usw.), muss Facebook diese Daten einerseits live einspielen, wenn ich die jeweilige Seite aufrufe, auf der das Plugin eingebunden ist. Andererseits sind diese Daten ja logischerweise auch auf MICH zugeschnitten. Daher muss Facebook zusätzlich noch verstehen, dass ICH – also Oliver Gehrmann, der auch einen Facebook-Account hat – diese Seite besucht. Genau darin besteht laut dem Urteil des Landgerichts das Problem.
Wie es technisch möglich ist, dass Facebook mich, also „irgendeinen Webseiten-Besucher“ zu meinem konkreten Facebook-Profil zuordnen kann? Das geschieht üblicherweise mit einem Cookie.
Was ist überhaupt ein Cookie?
Ein Cookie ist eine kleine Datei, die der eigene Webbrowser auf dem eigenen Rechner ablegt. Typischerweise handelt es sich dabei um eine Textdatei, in der dann ein paar Informationen drin stehen. Sie erleichtern einerseits das Surfen im Netz erheblich, weil ein Cookie beispielsweise die Information speichern könnte, dass ich bei Facebook mit dem Usernamen „soulwarrior“ eingeloggt bin. Wenn ich dann Facebook besuche, so muss ich mich nicht erst mühselig einloggen, immerhin „beweist“ das Cookie ja, dass ich mit einem bestimmten Account eingeloggt bin (der ein oder andere Leser vermutet bereits, dass man mit Cookies auch Schabernack betreiben kann und ja, das ist durchaus der Fall).
Da die meisten Seiten, auf denen man sich irgendwie einloggen kann, mit Cookies arbeiten, ist ein Verzicht auf diese üblicherweise ein deutlicher Verlust an Komfort beim Surfen im Netz. Ich meine, wer will sich bei jedem Besuch von Facebook / Pizza.de / Amazon.de / usw. neu einloggen?
Leider sind Cookies in Hinblick auf das Thema Datenschutz nicht ganz unbedenklich. Denn sobald ich mich mal auf Facebook eingeloggt habe, sitzt das Cookie bei mir auf dem Rechner. Wohlgemerkt: Insbesondere auch dann noch, nachdem ich mich ausgeloggt habe. (Dies kann sich zwar irgendwann mal ändern, aber technisch ist es überhaupt kein Problem, ein Cookie einen solchen Dienst verrichten zu lassen.)
Besuche ich jetzt eine Seite, auf der das Facebook Page Plugin eingebunden ist, so haben wir bereits gelernt, dass dieses Plugin Daten von Facebook bezieht bzw. natürlich auch welche an Facebook übermittelt. Und hier kann dann die Information dabei sein, dass ein Besucher der Seite das Cookie im Browser liegen hat, das besagt, dass er bei Facebook mal mit dem Usernamen „soulwarrior“ eingeloggt war. Das Plugin kann dann wieder seinen Dienst verrichten und mir live anzeigen, ob ich die mit dem Plugin beworbene Seite bereits like, mir die Gesichter von ein paar Freunden anzeigen, usw.
Was darf ich denn jetzt überhaupt (und was nicht)?
Jetzt haben wir so viele Worte über die Probleme verloren, aber letzten Endes wurde überhaupt noch nicht geklärt, was denn weiterhin erlaubt ist. Die Antwort ist relativ simpel: Alle statischen Elemente.
Konkreter:
- Ein „normaler Link“ auf deine Facebook-Seite stellt überhaupt kein Problem dar.
-> Beispiel: Ganz unten auf unserer Seite im Footer findest du das Facebook-Symbol. Klickst du darauf, so wirst du zu Facebook weitergeleitet. Ein ganz normaler Link ist vollkommen unproblematisch, denn dieser übermittelt keinerlei Daten live an Facebook.
-> Normale Links sehen im Code immer in etwa so aus: der Name des Links - Ein „Share-Button“, der ein neues Fenster öffnet ist ebenfalls unbedenklich
Dieses Beispiel hier ist relativ interessant, weil man an den Buttons selbst sogar noch Zähler-Anzeigen sieht. Diese verdeutlichen, wie oft der Artikel bereits geteilt wurde. Sollte das nicht ein „dynamisches Element“ sein?
Überprüfen lässt sich das immer relativ einfach. Öffnet sich ein neues Fenster, in dem dann in der Adresszeile „sharer.php“ vorkommt, so handelt es sich in 95% aller Fälle um ein statisches Element (einen ganz normalen Link). Wäre es mir mit nur einem Klick möglich, einen Link zu teilen (oder öffnet sich kein neues Fenster) so deutet das auf eine Einbindung hin, bei der Facebook schon bei Betreten der Seite Daten erhält und dementsprechend wäre dies wieder problematisch.
Ja und nein; das Plugin holt sich diese Zählerstände in regelmäßigen Abständen von Facebook und LinkedIn ab. Dabei werden keine persönlichen Daten ausgewertet, es wird wirklich NUR die Zahl abgefragt. Insofern ist das datenschutztechnisch unbedenklich, weil keine Zuordnung vorgenommen wird, WELCHER USER genau die Seite aufgerufen hat. Es ist also ein mehr oder weniger dynamisches Element, aber es bereitet uns keine Kopfschmerzen.-> Bilder sind unbedenklich; diese sehen im Code immer so aus: <img src=“Bildadresse“ alt=“Alternativer Bildtitel“ />
- Prinzipiell ALLES, was im Code mit „iframe“ arbeitet, ist problematisch!
-> Ein iFrame ist wie ein „Fenster in eine andere Seite“ (typischerweise Facebook). Also werden hier immer live Daten von woanders eingespielt und natürlich auch in die andere Richtung und das ist wieder aus datenschutzrechtlichen Gründen sehr bedenklich. - Die meisten Sachen, die mit Javascript arbeiten, sind problematisch!
-> Hierzu gehören z. B. auch „Conversion Pixel“ von Facebook. Deren Funktion besteht ja sehr konkret darin, Facebook darüber zu informieren, wenn ein Besucher eine gewisse Aktion durchführt und logischerweise will Facebook auch zuordnen, welcher Benutzer das ist (was dann wieder oft mit dem Cookie geschieht).
-> Diese Elemente erkennt ihr im Code an „script“.
Eigene Meinung
Eingangs habe ich schon von einem „schrecklichen Richterspruch“ gesprochen. Ich bin mir darüber bewusst, dass ich es in Hinblick auf Datenschutz nicht ganz so ernst nehme wie einige meiner Freunde. Dies hat mit Sicherheit auch erheblich damit zu tun, dass ich einigermaßen viel von den technischen Möglichkeiten verstehe, die das Internet mit sich bringt. Nehmen wir an, du gehst auf Google und gibst dort einen Suchbegriff ein. Du findest eine interessante Seite und klickst diese an. Auf der Seite ist Google Analytics im Einsatz, also weiß Google nun, dass die Person mit einer bestimmten IP Adresse (die gleichzeitig dieselbe Person ist, die eben noch auf Google.de gesucht hat) auf dieser Seite gelandet ist. Klickst du dich von dieser Seite auf Amazon durch, so weiß Google immer noch (sofern auch bei Amazon Google Analytics im Einsatz ist), wer hier gerade unterwegs ist. Und das, obwohl du zwischendurch gar nicht mehr auf Google warst.
Spinne das Beispiel etwas weiter und du weißt, warum du bei Google primär Werbung siehst, die hochgradig interessant aussieht. Immerhin weiß Google SEHR GENAU, was du magst (und was nicht, weil du diese Seiten quasi nie besuchst).
Es gibt keine Anonymität im Netz.
Zumindest nicht für den Durchschnitts-Computer-Benutzer.
Da kann sich der deutsche Richter drehen und wenden, am Ende des Tages ändert es jedoch am Ergebnis sehr wenig. Will ein User, dass seine Daten wirklich geschützt sind, so muss er Anstrengungen unternehmen und z. B. auf Software setzen, die einen Proxy-Server zwischenschaltet, wirklich alles verschlüsselt, was an Daten zwischen seinem Rechner und den Servern im Netz hin und her geschickt wird, usw.
Es ist vielleicht in den Augen einiger Menschen relativ löblich, wenn man zumindest versucht, es Firmen wie Facebook schwieriger zu gestalten, das Nutzerverhalten auszuwerten, am Ende des Tages erreicht so ein Urteil aber nur, dass zahlreiche „normale Webseiten-Betreiber“ von Abmahn-Anwälten ausgenommen werden. Dann hat man zwar auch Arbeitsplätze geschaffen, aber sinnvoll finde ich das trotzdem nicht.
In meinen Augen wäre es viel sinnvoller, den Leuten juristisch weniger Steine in den Weg zu legen und vielmehr diejenigen zu erziehen, denen am Schutz ihrer Daten WIRKLICH etwas gelegen ist. Klar sagt dir jeder Depp auf der Straße, wenn du ihm ein Mikrofon vor den Mund hältst, dass es ihm „ganz wichtig ist, dass er nicht ausgespäht werden kann“, aber da der Durchschnitts-Bürger überhaupt keine Anstrengungen unternimmt, seine eigenen Daten auch WIRKLICH geheim zu halten und Anwendungen / Webseiten wie WhatsApp oder Facebook nutzt, so sollte man ihm von gerichtlicher Seite nicht unendlich hinterher rennen, weil es sowieso keinen Unterschied macht. Auch wenn kein Facebook Page Plugin mehr zum Einsatz kommt, weiß Facebook ganz genau, was du magst und machst. Außer du unternimmst etwas dagegen. Insofern ist das Urteil in meinen Augen realistätsfern und es bringt überhaupt nichts – außer die bereits erwähnten Abmahnungen und unnötigen Papierkrieg. Aber gut, dafür sind wir ja in Deutschland…
In diesem Zusammenhang auch noch ein hervorragender (und unterhaltsamer) Beitrag von John Oliver zum Thema Datenverschlüsselung (was eng im Zusammenhang mit den hier besprochenen Themen steht):
(Dies ist übrigens ein iFrame. Das heißt konkret: Google / YouTube könnte jetzt wissen, dass du diese Seite hier besuchst. Das könnte mit dem nächsten ähnlichen Urteil direkt auch wieder ein furchtbares Problem sein und daher schau dir das Video besser schnell an, bevor ich es entfernen muss. 😉 )
Hallo Oliver,
vielen Dank für diese wirklich mal klare und auf den Punkt gebrachte Stellungnahme, du sprichst mir aus der Seele,
Daniel
(Webdesigner, leicht genervt da seit Wochen nur noch Datenschutzerklärungen überarbeitend, GA-Opt-Outs einbindend, Cookie-Consent-Plugins installierend etc. pp.)
Oh ja, jetzt mit der DSGVO ist das alles noch viel nerviger. Witzigerweise ist genau das, was im Artikel noch Vermutung war (dass das YouTube-iFrame verboten werden wird) mittlerweile auch Realität und man muss Maßnahmen ergreifen.
Wir haben versucht, aus der Not eine Tugend zu machen und entsprechend haben wir einfach ein Komplettpaket für DSGVO Anpassungen geschnürt. Mehr Infos dazu auf unserer Academy-Seite. 😉
Super Artikel und super erklärt.
Hallo Oliver,
danke für diesen informativen und auch für „Intertnet-Doofies“ wie mich, verständlichen Artikel. Ich bin ein absoluter Neuling auf diesem Gebiet und kann deine Tipps wirklich gut gebrauchen. Ich freue mich, wenn du mich in deinem Verteiler aufnimmst (offizielle Erklärung 😉
Alles Liebe
Monika
Hey Monika,
vielen Dank für deine Rückmeldung. 🙂
Du kannst dich ganz einfach selbst für den Newsletter eintragen; direkt unter dem Beitrag gibt es ein Anmeldeformular, in das du lediglich deine E-Mail Adresse und deinen Vornamen eingeben musst.