Kommentar: Urteil zu »Gefällt mir«-Button

1. Gerichtsurteil notwendigLike-Button

Und wieder bedarf es einem Gerichtsurteil, um dem »Wahnsinn« Einhalt zu gebieten. Die Rede ist von der Einbindung sogenannter Drittanbieter-Dienste in Webseiten. Im Fall des Facebook Like-Buttons urteilte das Landgericht Düsseldorf (Az. 12O 151/15) nun: Wenn Firmenseiten den Button eingebaut haben, müssen sie Kunden über die Datenweitergabe aufklären. Bei mir stellt sich nun die Frage, ob dieses Urteil genügend Signalwirkung entfalten kann, um die Einbindung externer Inhalte generell auf den Prüfstand zu stellen.

Im Grunde genommen bestätigt das Urteil lediglich einen Sachverhalt, der schon längst bekannt sein sollte: Die Integration der Like-Buttons verletzt die Datenschutzvorschriften, weil dadurch unter anderem die IP-Adresse des Nutzers ohne ausdrückliche Zustimmung an Facebook weitergeleitet werde. In Zukunft müssen Unternehmen also darüber aufklären, dass beim Besuch ihrer Webseite Daten an Facebook übermittelt werden.

2. Facebook: Allgegenwärtige Datenkrake

Facebook Nutzer sollten es Wissen: Facebook sammelt alles, um vermarktbare Erkenntnisse zu gewinnen. Dazu zählen einfache Registrierungsdaten, wie Name, Wohnort, Geburtstag, Geschlecht und E-Mail Adresse. Dazu kommen alle Informationen, die der Nutzer über seine Aktivität auf Facebook von sich Preis gibt. Also die »Gefällt mir«-Angaben, Kommentare, Statusmeldungen, Teilnahmen an Gruppen und Veranstaltungen, Verlinkungen und Postings (Fotos, Video, Texte). Aber auch die eher als »privat« empfundenen Aktivitäten, wie bspw. private Nachrichten oder Chats.

Was viele nicht wissen: Es werden noch subtilere Informationen ausgewertet, dazu zählen bspw.:

  • Der Ort und das Datum an dem Fotos aufgenommen wurden
  • Die Häufigkeit der Interaktion mit anderen Personen
  • Welche Spiele jemand spielt und in welcher Häufigkeit
  • [ … ]

2.1 Auswertung externer Aktivitäten bzw. Informationen

Facebook beschränkt sich allerdings nicht nur auf die Auswertung der Aktivitäten auf der Plattform, sondern ist schon längst in andere Bereiche vorgedrungen:

  • Erfassung der Geräteinformationen über die Smartphone-App (Versionsnummer, Batterie- und Signalstärke, eingeloggtes WLAN, etc.)
  • Verfolgung bzw. Identifizierung der Nutzer und auch Nicht-Nutzer im Internet (bspw. Like-Button, datr-Cookie)
  • Viele Plattformen bieten die Anmeldung über ein bestehendes Facebook-Konto an
  • [ … ]

2.2 Zurück zum Urteil

Mit Blick auf das Urteil könnte dies in Zukunft bedeuten: Für Facebook wird es zumindest in Deutschland erheblich schwieriger, seine Nutzer und auch Nicht-Nutzer durch das Internet zu »verfolgen«. Denn die datenschutzkonforme Umsetzung des Urteils müsste bedeuten, dass der Nutzer über die Datenweitergabe aufgeklärt wird und er dieser dann Zustimmen muss. In Zukunft müssen wohl Lösungen erarbeitet werden, die dem Sharrif-Projekt von heise ähneln.

3. Externe Quellen: Ein generelles Problem

Bei mir stellt sich nun die Frage, ob dieses Urteil genügend Signalwirkung entfalten kann, um die Einbindung externer Inhalte generell auf den Prüfstand zu stellen. Denn folgt man der Logik des Urteils, so ist die Einbindung JEDER externen Quelle fragwürdig, weil in diesem Zusammenhang immer auch die IP-Adresse übertragen wird. Beispiele gibt es zur Genüge:

  • Die Einbindung externer JavaScripts von »Fremdquellen« ist nicht nur aus Datenschutzperspektive bedenklich, sondern auch hinsichtlich der Sicherheit
  • Die Einbindung externer Schriftarten bzw. Webfonts (mit Vorliebe »fonts.googleapis.com«) ist demnach ebenfalls ein No-Go. Das einheitliche Gesamtbild bzw. Außenwirkung einer Webseite kann nicht wichtiger sein, als der Datenschutz der Besucher
  • Generell steht die Einbindung weiterer Social Media Buttons zur Diskussion. Denn auch die direkte Einbindung von Google+ oder Twitter übermittelt die IP-Adresse des Besuchers
  • Die Einbindung externer Tracker (bspw. Google Analytics) ist seit langem bedenklich. Und auch hier stellt sich die Frage, ob die Übertragung der IP-Adresse im Hinblick auf das Urteil überhaupt noch zulässig ist
  • Die Verwendung von Newsletter bzw. Newsletter-Diensten, die nicht selbst gehostet werden. Dazu gehört bspw. Mailchimp, das gerne auf WordPress-Seiten eingesetzt wird
  • [ … ]

Haben die Richter damit also die Büchse der Pandora geöffnet und wir beschäftigen uns endlich mal ehrlich und kritisch mit der Einbindung von Dritt-Quellen in Webseiten? In meinem Beitrag »Kommentar: Datenschutz auf Webseiten – Quo vadis!?« hatte ich dies bereits Ende 2015 thematisiert.

Du kannst den Blog aktiv unterstützen!

Unabhängig. Kritisch. Informativ. Praxisnah. Verständlich.

Die Arbeit von kuketz-blog.de wird vollständig durch Spenden unserer Leserschaft finanziert. Sei Teil unserer Community und unterstütze unsere Arbeit mit einer Spende.

Mitmachen ➡

3.1 Facebooks Reaktion auf das Urteil

Ein Facebook-Sprecher hat auf das Urteil bereits mit folgenden Worten reagiert:

Es ist üblich, dass Webseiten eine Reihe von Plug-ins von Drittanbietern benutzen, der ‚Gefällt-mir‘-Button von Facebook ist nur eines davon.

Nein lieber Pressesprecher, das ist nicht üblich. Die Unsitte solche Drittanbieter-Dienste in die Webseite einzubauen, hat in den letzten Jahren Einzug gehalten. Aus Sicht von Unternehmen wie Facebook dienen diese Buttons nur einem Zweck: Mehr Daten über die Nutzer sammeln zu können.

Weiterhin kommentierte er:

Der Knopf mit dem gereckten Daumen sei ein „akzeptierter, legaler und wichtiger Teil des Internets“.

Es ist wohl richtig, dass der Like-Button mittlerweile von den meisten Besuchern »akzeptiert« ist. Aber aus meiner Sicht ist die Einbindung in Deutschland weder legal noch stellt sie einen wichtigen Teil für das Internet dar. Aufgrund der Dominanz von Facebook haben sich viele Seitenbetreiber, aus Angst ansonsten den Anschluss verlieren zu können, schlichtweg dazu hinreißen lassen, diesen Button zu integrieren.

4. Fazit

Das Urteil entfaltet hoffentlich eine Signalwirkung und wir diskutieren endlich ehrlich über den Sinn und Unsinn der Einbindung von Drittanbieter-Diensten. Insbesondere Anwälte, Unternehmen oder Vereine die den Datenschutz in den Fokus ihrer Tätigkeit rücken, sollten hier mit gutem Beispiel vorangehen und auf die Einbindung von Drittanbieter-Diensten und Trackern vollständig verzichten. Denn die datenschutzrechtlichen Probleme, die sich durch die Einbindung ergeben, kann niemand verleugnen.

In Hinblick auf das »soziale Netzwerk« Facebook gilt es noch weitere Themen endlich offen anzusprechen. Eines davon wäre die Rolle der öffentlich-rechtlichen Rundfunkanstalten. Wie kann es bspw. sein, dass viele öffentlich-rechtliche Rundfunfkformate sowohl im Radio, als auch im Fernsehen bei nahezu jeder Gelegenheit auf Facebook verweisen? Das stellt nicht nur eine indirekte Werbung für Facebook dar, sondern treibt weitere Menschen in ein Netzwerk, das mit einem offenen und freien Internet nicht viel gemein hat.

Bildquellen:

Thumbs down: Dave Gandy, http://fontawesome.io

Über den Autor | Kuketz

Mike Kuketz

In meiner freiberuflichen Tätigkeit als Pentester / Sicherheitsforscher (Kuketz IT-Security) schlüpfe ich in die Rolle eines »Hackers« und suche nach Schwachstellen in IT-Systemen, Webanwendungen und Apps (Android, iOS). Des Weiteren bin ich Lehrbeauftragter für IT-Sicherheit an der Dualen Hochschule Karlsruhe, sensibilisiere Menschen in Workshops und Schulungen für Sicherheit und Datenschutz und bin unter anderem auch als Autor für die Computerzeitschrift c’t tätig.

Der Kuketz-Blog bzw. meine Person ist regelmäßig in den Medien (heise online, Spiegel Online, Süddeutsche Zeitung etc.) präsent.

Mehr Erfahren ➡

SpendeUnterstützen

Die Arbeit von kuketz-blog.de wird zu 100% durch Spenden unserer Leserinnen und Leser finanziert. Werde Teil dieser Community und unterstütze auch du unsere Arbeit mit deiner Spende.

Folge dem Blog

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten, dem Blog zu folgen:

Bleib aktuell ➡


Diskussion

17 Ergänzungen zu “Kommentar: Urteil zu »Gefällt mir«-Button”

  1. Comment Avatar Reinhard sagt:

    Ich frage mich, was diese social-media buttons auf Webseiten FÜR die Betreiber bezwecken sollen? Eines der Gründe ist schon klar: ,,Gruppenzwang“. Ich persönlich habe noch nie auf einen solchen button geklickt. Weiß das einer hier?

    Des weiteren stimmt es leider, dass die Integration solcher Plugins mittlerweile üblich ist. Da die meisten (bekannten) Webseiten genau dies praktizieren, kann man das nicht verleugnen.

    • Comment Avatar Anonymous sagt:

      Ich nehme an, dass durch das Teilen auf FB der Bekanntheitsgrad der Webseite für den Betreiber gesteigert werden kann. (Heißt nicht, dass ich das gut heiße)

  2. Comment Avatar UH sagt:

    Ob allen klar ist, dass schon das Betrachten der Website, die einen Like-Button enthält, dazu führt, dass die IP-Adresse des Betrachters an FB weiter gegeben wird?
    Man muss diese buttons dazu nicht anklicken!

    Was mich interessieren würde und leider nicht erklärt wird, ist, ob und wie man diese Weitergabe verhindern kann – z.B. so ähnlich wie das Werbeblocker tun.

  3. Comment Avatar Sociobilly sagt:

    Was für FB gilt, gilt z.B. auch für Google und die Einbindung von Youtube Videos.

  4. Comment Avatar Ivana sagt:

    Lieber Mike,

    danke für deinen Beitrag, der im Vergleich zu vielen anderen, auch einen weiteren Blickwinkel auf dieses Urteil bietet. Ich werde die von dir verlinkten Beiträge auf alle Fälle durchlesen.

    Was mich ein wenig ratlos zurücklässt ist, dass ich als Content Marketerin auf viele dieser Dienste angewiesen bin: seien es Social Networks oder eben auch Newsletter-Programme. Hier den Spagat zwischen Datensicherheit – die mir sehr wichtig ist – und Content Marketing zu schaffen, scheint mir auf den ersten Blick nahezu unmöglich. Wie siehst du das?

    Liebe Grüße aus Wien,
    Ivana

    • Comment Avatar Mike Kuketz sagt:

      Hallo Ivana,

      meinst du Datensicherheit oder Datenschutz?
      Datensicherheit: Hat das Ziel Daten jeglicher Art in ausreichendem Maße gegen Verlust, Manipulationen und andere Bedrohungen zu sichern
      Datenschutz: Anders als bei der Datensicherheit handelt es sich nicht um den Schutz von Daten vor Schäden, sondern um den Schutz persönlicher Daten vor Missbrauch. Datenschutz soll das Recht der informationellen Selbstbestimmung wahren. Jeder soll selbst
      – über die Preisgabe
      – und Verwendung
      personenbezogener Daten bestimmen können

      Soviel zu den Unterschieden der beiden Begriffe.

      Der Spagat ist meiner Ansicht nach möglich. Im Kern geht es ja darum, dass bei einem Besuch einer Webseite meist irgendwelche Drittanbieter-Dienste direkt eingebunden sind.

      Konkretes Beispiel:
      Jemand ruft die Domain http://www.meinetollewerbedomain.de auf.
      Der Webseitenbetreiber hat folgende externe Drittanbieter-Dienste eingebunden:
      – Google Fonts (fonts.google.com)
      – Facebook Like Button (facebook.com)

      Wenn ein Besucher jetzt die Seite aufruft, dann werden nicht nur die Inhalte von der Domain abgerufen, sondern es werden auch die Schriftarten von Google nachgeladen bzw. der Facebook Like Button geladen. In beiden Fällen wird die IP-Adresse übermittelt, was in dem Urteil unter anderem kritisiert wurde.

      Willst du es also »datenschutzfreundlich« umsetzen, kannst du in solch einem Fall Folgendes tun:
      – Schriftarten müssen nicht von Google oder anderen externen Quellen nachgeladen werden. Sie können ebenfalls über CSS bzw. @font-face direkt in die eigene Webseite eingebunden werden. Das Nachladen entfällt somit.
      – Die Zwei-Klick Lösung für die Social Media Buttons einführen

      Wenn du das für das oben genannte Beispiel so umsetzt, dann wird die IP-Adresse deines Besuchers nicht mehr an Google oder Facebook übermittelt. Beziehungsweise erst dann, wenn jemand bei der Zwei-Klick Lösung den Schalter umlegt.

      Es geht also durchaus, nur die meisten Betreiber wissen nicht wie bzw. wollen sich damit nicht beschäftigen. Es ist auch einfacher, die Drittanbieter-Dienste direkt einzubinden, anstatt sich über eine datenschutzfreundliche Variante den Kopf zu zerbrechen. ;-)

      • Comment Avatar Ivana sagt:

        Servus!

        ja genau, um den Datenschutz ging es mir. Danke für die Richtigstellung. :)

        Für mich ist das ein Faß ohne Boden (an Themenbereichen, Beispielen und Umsetzungsmöglichkeiten), wenn man sich wirklich ausführlich damit beschäftigen will – und das versuche ich gerade. Der Wille ist also definitiv da.

        Ich bleibe also am Thema dran und melde mich mit Sicherheit wieder.

        Danke und liebe Grüße
        Ivana

  5. Comment Avatar woodchuck sagt:

    Aus dem Facebook-Urteil wäre tatsächlich zu folgern, dass Datenweitergabe an Dritte, der ein Webseiten-Besucher nicht ausdrücklich zugestimmt hat, grundsätzlich nicht legitim ist. (Wodurch ganz nebenbei fast die komplette Werbung im Web ihre Basis verloren hätte, weil seit ein paar Jahren so ziemlich jede Anzeige im Netz als Tracker fungiert.)

    Nur leider folgt die Rechtsprechung nicht unbedingt den Regeln der Logik. Ein Beispiel: Als Nebenprodukt des Urteils zum „Recht auf Vergessenwerden“ hat der EuGH 2014 festgestellt, dass ein Unternehmen dann der nationalen Rechtsprechung unterliegt, wenn es in dem betreffenden Land eine Unternehmenstochter hat, die eine Geschäftstätigkeit ausübt. Konkret ging es dabei um Google. Monate nach diesem Urteil hatte ich dann eine Anfrage an das Bayerische Landesamt für Datenschutzaufsicht gestellt und mich erkundigt, ob man dort für die Kunden von amazon.de (Amazon hat seine deutsche Zentrale in München) zuständig sei. Antwort: Das prüfe man noch. Und natürlich prüfen sie noch heute. Kurz gesagt: Wenn nicht jemand speziell wegen Amazon vors EuGH zieht und dort analog wie im Google-Fall geurteilt wird, ändert sich gar nichts.

    (Auf meine gleichlautende Frage nach der Zuständigkeit hat die luxemburgische Commission nationale pour la protection des données übrigens innerhalb von Stunden mit einem entschiedenen JA geantwortet. Als ich dann aber konkrete Fragen zu der Datensammelpraxis von Amazon stellte, hüllten sich die luxemburgischen „Datenschützer“ eisern in Schweigen und reagierten auch nicht auf mehrmaliges Nachhaken. Resümee: Was den Datenschutz angeht, bewegen sich diese Konzerne weitgehend im rechtsfreien Raum. Und genau das ist politisch so gewollt.)

  6. Comment Avatar .. sagt:

    Kann woodchuck nur zustimmen: Aufwachen! Es sind Teile des Panopticums.

  7. Comment Avatar Theodor M. sagt:

    Was diese ganzen Urteile und Prozesse angeht kann man wohl im ganzen nur so entgegentreten, dass man sich Bewusst ist, dass als PC, Smartphonebesitzer etc…sobald man sich ins Internet begibt immer irgendetwas gesammelt wird.
    Was genau gesammelt wird, kann eh keiner feststellen, dass sind Umstände, mit denen man in der heutigen Zeit einfach leben kann.

    Diese ganze Rechtsprechung in Deutschland ist kompletter Schwachsinn und dient eigentlich alleine dazu Rechtsanwälten Tür und Tor zu öffnen um mehr oder weniger arglose Publizisten abzuzocken.
    Internetrecht sollte einer allgemeingültigen Staatengemeinschaft unterstellt werden und Weltweit gleichermaßen Gültigkeit haben.
    Hinter jeder Kabelwindung lauert in Deutschland ein windiger Advokat, der nur darauf wartet die angeblichen Mühlen der Gerechtigkeit anzuschmeißen um daraus ohne großen Aufwand Profit zu schlagen.
    Bei solchen Dingen sollte es grundsätzlich eine erste Instanz geben, in der Webseitenbetreiber kostenfrei darauf hingewiesen werden müssten, Copyright-, Datenschutz- und andere Verletzung auf dem kurzen Dienstweg zu beseitigen, damit dass Internet seine „Freiheit und Autarkie“ behält und deutsche Rechtsanwälte in die Wüste geschickt werden.
    Wie gesagt es alles nur Geldeintreiber für eine arbeitsscheue Klientel die den schnelle Reibach manchen will und wenn man die ganze Welt um Auge hat ein einzigartiges Ökosystem mit hunderten Fußangeln.
    Soweit mein Wort zum Sonntag….TM

  8. Comment Avatar Anonymous sagt:

    Selbst wenn Internetseiten ihre Nutzer über die Weitergabe der Daten an Dritte aufklären, wird sich an der Datensammel-Praxis nichts ändern. Vielen ist der Datenschutz völlig egal (Zitat: ,,Wir haben nichts zu verbergen „), während andere nicht auf Webseiten verzichten wollen, die solche social-media buttons einbauen.
    Nicht jeder weißt, wie man mit Addons dies unterbindet geschweige denn was überhaupt ein Addon ist.

    • Comment Avatar Mike Kuketz sagt:

      Es muss niemand auf die Einbindung der Social-Media Buttons verzichten. Nur geht das alles auch »datenschutzfreundlich«. Daher verstehe ich die allgemeine Aufregung auch nicht. Es scheint gerade so, dass eine Mehrheit das Urteil nicht verstanden hätte. Die Menschen scheinen das Lesen verlernt zu haben. Es wird nur noch überflogen und dann schnell ein Kommentar reingedrückt, ohne überhaupt im Ansatz verstanden zu haben um was es eigentlich geht.

      @Anonymous: Das war jetzt nicht gegen dich gerichtet. Das ist nur eine Beobachtung meinerseits, wenn ich Kommentare zum Urteil lese.

  9. Comment Avatar Anonymous sagt:

    Hallo,

    das FB das Wort Datenschutz nicht kennt ist nichts neues, Max Schmrems hat es einmal so erzählt.
    Als er zum Ersten mal eingeladen wurde ins HQ von Facebook und sich mit Anwälten getroffen hat. Hat er ihnen die Problem mit dem „Datenschutz“ im europaischen Sinne erklärt. Darauf hin wurde ihm ein müdes Lächeln geschenkt und jeder hat so getan als würde Sie jetzt gerade einen Teil des neuen Testaments hören ;) Man kann es nicht glauben aber Anwälte die gute 500 bis 1000 dollar in der Stunde bekommen, haben noch nie sich mit dem Thema „Datenschutz“ in anderen Ländern außerhalb der USA beschäftigt, da kann ich nur sagen „well played“.

    Mal abgesehen, dass das neue Safeharborabkommen aka „Privacy Shield“ wieder vom EUGH zerpflückt wird, versuchen sich viele Firmen wie FB,Apple,Google mit Klauseln im AGB abzusichern.
    Das diese wiederum gegen nationales recht in gewissen einzel Staaten verstoßen, ist anscheinend vielen wurscht. Man kann gespannt sein wie es in den nächsten jahren so weiter geht, es müssen endlich Gerichtsentscheide / Urteile her!

    Facebook hat keine Einsicht und wird auch keine haben, weil sie das Konzept von „Datenschutz“ nicht einsehen wollen !! In ihrere Sicht ist „Datenschutz“ eine Geschäftshämmnis ^^

    Aus Webentwicklersicht gibt es eine Möglichkeit social media „buttons“ möglichst datenschutz freundlich einzubinden –> https://github.com/heiseonline/shariff – funktioniert recht gut
    Nur wer denkt darüber nach ,dass es auch anders geht ?
    Leider viele nicht :(

    grüße mediainfo

  10. Comment Avatar no name sagt:

    „Denn folgt man der Logik des Urteils, so ist die Einbindung JEDER externen Quelle fragwürdig, weil in diesem Zusammenhang immer auch die IP-Adresse übertragen wird.“

    Gemäß Addon „ublock origin“ und den eigenen Datenschutzhinweisen wird eine Verbindung zu media.kuketz.de aufgebaut, da sich Blog-Inhalte (wie Texte und Bilder) auf entsprechenden Webservern der Kuketz IT-Security befinden.

    Müssten diese (semi-)externen Quellen dann nicht auch auf kuketz-blog.de umziehen?

  11. Comment Avatar Anonymous sagt:

    Nun ist das leider so, dass die wenn auch so kleine kritische Gruppe von Menschen leider auf Deutschland beschränkt ist. In anderen Länder in der EU kennt man das Wort Datenschutz überhaupt nicht. Es bedarft eine EU-Weite Aufklärungskampagne zwecks Sensibilisierung

HilfeWenn du konkrete Fragen hast oder Hilfe benötigst, sind das offizielle Forum oder der Chat geeignete Anlaufstellen, um dein Anliegen zu diskutieren. Per E-Mail beantworte ich grundsätzlich keine (Support-)Anfragen – dazu fehlt mir einfach die Zeit. Kuketz-Forum

Abschließender Hinweis

Blog-Beiträge erheben nicht den Anspruch auf ständige Aktualität und Richtigkeit wie Lexikoneinträge (z.B. Wikipedia), sondern beziehen sich wie Zeitungsartikel auf den Informationsstand zum Zeitpunkt des Redaktionsschlusses.

Kritik, Anregungen oder Korrekturvorschläge zu den Beiträgen nehme ich gerne per E-Mail entgegen.