(Foto: blog.chip.de)

Some like it not: Deutsche Datenschützer schießen sich auf Facebooks Like-Button ein

How do you like Berlin?
„Facebook muss von Behörden-Webseiten verschwinden!“ Mit diesem Statement hat sich der Datenschutzbeauftragte des Landes Berlin, Alexander Dix, kurz vor Weihnachten per Interview zu Wort gemeldet. Diese Forderung ist die konsequente Umsetzung eines gemeinsamen Beschlusses der deutschen Landes- und des Bundesdatenschutzbeauftragten, die ihrem schleswig-holsteinischen Kollegen Weichert Anfang Dezember mit seiner identischen Forderung den Rücken gestärkt haben. Bis dahin konnte man sich noch über den norddeutschen Kollegen amüsieren. Und Unkenrufe à la „Ganz Gallien? Nein! …“ waren sicher keine Seltenheit.
Weichert hat neben seiner Forderung gegenüber den Behörden im August dieses Jahres auch private Webseitenbetreiber mit Sitz in Schleswig-Holstein ins Visier genommen. Diesen hatte er mit Bußgeldern gedroht, wenn sie den Like-Button nicht entfernen sollten. Das Medienecho hierauf war kaum zu überhören. Und Weichert ist PR-Profi genug, um dies auch vorher ganz richtig ebenso eingeschätzt zu haben. Bleibt jedoch die Frage: Wieso knüpft er sich nicht Facebook selbst vor? Ganz einfach: Ihm fehlt es an der Zuständigkeit. Deshalb wählte er den Umweg über die einzelnen Webseitenbetreiber, weil er sich wahrscheinlich erhoffte, damit Druck auf Facebook aufbauen zu können. Wenn ich keine Zuständigkeit habe, mache ich mir eben eine.

Like a satellite …
Aber warum überhaupt dieser Angriff auf ein Stück Netzkultur, das kaum mehr aus dem Internetalltag wegzudenken ist? Die datenschutzrechtlichen Bedenken lassen sich wie folgt zusammenfassen: Was da so unscheinbar als Ausdrucksmittel eines Lebensgefühls daherkommt, hat es tatsächlich in sich. Der Like-Button ist ein trojanisches Pferd zum Zwecke des Webtracking. Mit seiner Einbindung wird eine Art Satellit von Facebook auf der jeweiligen Webseite installiert. Und dieser funkt Daten wie IP-Adresse und Browsereinstellungen des Nutzers nach Hause, welche in der Summe schon Rückschlüsse auf die Identität des Seitenbesuchers zulassen könnten.

Dies wird – sofern sich ein Webseitenbetreiber des von Facebook vorgegebenen Generators für das Einfügen bedient hat – durch eine iFrame-Einbindung der entsprechenden Schaltfläche mittels JavaScript ermöglicht. Das Script enthält jedoch nicht den Like-Button selbst, sondern bewirkt nur die Anforderung der für dessen Darstellung nötigen Inhalte von Facebook-Servern. Und so werden im Verlauf der Kommunikation auch eine Reihe von Cookies gesetzt, mithilfe derer die vom Nutzer besuchten Seiten protokolliert werden können. Diese könnten dann später mit den Account-Daten des Nutzers verknüpft werden, was ein recht differenziertes Bild von dessen Internetaktivitäten ergeben dürfte. Wohlgemerkt ohne dass man den Button überhaupt angeklickt hat.

Like it or not – was ich nicht versteh, mach‘ ich kaputt!
Wer jetzt denkt, er sei fein raus, weil er bei diesem ganzen neumodischen Kram nicht mitmacht, hat sich geschnitten. Denn der für die Protokollierung des Nutzerverhaltens zentrale Cookie ist zwei Jahre haltbar – das kennt man sonst nur von Hartkeksen der Bundeswehr. Registriert man sich also innerhalb dieser zwei Jahre doch bei Facebook, sind die über den Cookie ermittelten Daten noch zuordenbar. Was Facebook mit all den Daten macht? Nichts Genaues weiß man nicht. Wenn man bedenkt, wie allgegenwärtig der Like-Button mittlerweile ist, war die ganze Diskussion um die Speicherung von IP-Adressen bei Google Analytics im Gegensatz dazu ein Kindergeburtstag.

Daumen hoch aus Irland
Darüber, ob diese Praxis von Facebook wirklich rechtswidrig ist, kann man sich zumindest streiten. Rückendeckung bekommen die Kritiker der deutschen Datenschützer vom für Facebook in Europa eigentlich zuständigen irischen Data Protection Commissioner (DPC). Dieser hat kürzlich einen Report veröffentlicht, welcher zu diesem Thema im Wesentlichen sagt: Thumbs up. Demgemäß ist die Erhebung der Daten mittels Like-Button mit dem irischen Datenschutzrecht, welches wie große Teile des deutschen auch auf europäischen Standards beruht, vereinbar. Allein die lange Speicherung der Daten wurde kritisiert. Diese sollte laut dem DPC auf maximal 90 Tage befristet sein.

Ob ein Webseitenbetreiber für die von Facebook vorgenommenen Datenverarbeitungen zur Verantwortung gezogen werden kann, ist ebenfalls umstritten. Eine Klärung könnte allein ein Gerichtsurteil herbeiführen. Aber so sehr sich Weichert auch bemüht, die Behörden in Schleswig-Holstein zum Jagen zu tragen: dazu fehlt den Verantwortlichen bislang offenbar der Mumm. Man kann gespannt sein, wie sich der Berliner Senat jetzt gegenüber Dix verhält.

Anleitung zum zivilen Ungehorsam
Eine Lösung des Problems, die den Bedenken der deutschen Datenschützer Rechnung tragen könnte, ist derzeit nicht in Sicht. Webseitenbetreiber sollten auf jeden Fall ihre Datenschutzerklärung um eine Passage zum Like-Button ergänzen, wenn sie diesen trotz der bestehenden Unsicherheiten verwenden wollen. Das Dilemma, dass man dann eine Datenverarbeitung beschreiben muss, über deren tatsächliche Reichweite man nicht Bescheid weiß, ist Grund für die fehlende Rechtssicherheit. Die Einbindung selbst sollte durch eine sog. “Zwei-Klick-Lösung” erfolgen. Bei dieser wird der eigentliche Like-Button erst nach dem Anklicken eines vorgeschalteten Buttons geladen. Dadurch wird die Kommunikation mit Facebook erst ermöglicht, nachdem der Nutzer die Möglichkeit zur Kenntnisnahme der Datenschutzerklärung hatte.

Ob Sie diesen Beitrag jetzt liken oder nicht, ist natürlich Ihre Entscheidung. Immerhin wissen Sie jetzt ja alles. Wenn Sie den Like-Button trotzdem gut finden, dann könnten Sie ein Zeichen für praxisgerechten Datenschutz setzen. Und wenn er Ihnen jetzt nicht mehr gefällt: Dann könnten sie jetzt einmal was Verrücktes machen …

Hier gehts zum Original Thread

Quelle: blog.chip.de