2-Klick-Lösung für besseren Datenschutz bei Social-Plugins

11. Oktober 2011

Der Heise-Verlag stellt seit einiger Zeit allen interessierten Webmastern ein Skript zur Verfügung, welches dafür sorgt, dass die Social-Plugins von Facebook, Twitter und Google+ keine Daten übermitteln, bevor die Nutzer die Funktionalität der Schaltflächen nicht freischalten.

Ein solches Vorgehen ist notwendig, da insbesondere Facebooks Like-Button völlig ohne Zutun der Nutzer Daten an Facebook sendet. Dafür reicht bereits der Aufruf der Seite, auf der der Like-Button eingebunden ist; einer aktiven Nutzung des Buttons bedarf es nicht.

Bei der 2-Klick-Lösung laufen, im Gegensatz zu den normal eingebunden Social-Plugins, die Skripte der Social-Media-Anbieter nicht schon beim Laden der Seite im Hintergrund. Der Nutzer muss die Schaltflachen erst über einen Klick “scharf schalten”. Dies aktiviert die Skripte und die Funktionalität der Schaltflächen. Bereits wenn man den Mauszeiger über den deaktivierten Button bewegt (Mouseover), erhält der Nutzer ein Infofenster, das darauf hinweist, dass schon das reine Aktivieren der Schaltflächen zu einer Datenübermittlung an Dritte führt. Weiterhin wird in der kurzen Mitteilung auf eine “i” Schaltfläche verwiesen, die ihrerseits beim Mouseover erläutert, dass beim Aktivieren der Buttons Daten in die USA übertragen und dort auch möglicherweise gespeichert werden. Ein Klick auf “i” leitet auf die Projektseite weiter. Dort finden sich weitere Angaben zu den technischen Hintergründen und der Notwendigkeit des gewählten Verfahrens.

Heise verweist selber darauf, dass ein solches Verfahren bereits zuvor bei SWR3 und RP-Online eingesetzt wurde. Nichtsdestotrotz hat die Freigabe des Quellcodes durch Heise, sowie der große mediale Aufwand seitens des Verlags, eine gewisse Katalysatorwirkung für deutsche Onlinemedien gehabt. Heise selbst spricht von über 500 Anfragen allein in der ersten Woche. Auch große deutsche Portale wie zeit.de und computerbase.de sind mittlerweile dazu übergegangen, Social-Plugins standardmäßig zu deaktivieren.

Facebook selbst zeigte sich von dieser Lösung wenig begeistert und beschwerte sich sowohl bei Heise als auch bei SWR3 über einen Verstoß gegen die Platform Policies, da die Betreiber eine Facebook Funktion nachahmten. Dies wurde damit begründet, dass eine Schaltfläche, die wie ein Like-Button aussehe, auch die Funktionalität des Like-Buttons haben müsse. Um einer Sperrung der betroffenen Domains bei Facebook zu verhindern, haben die Verwantwortlichen das Design der deaktivierten Facebook-Buttons mittlerweile so angepasst, dass diese nicht mehr dem Like-Button von Facebook ähneln.

Während die 2-Klick-Lösung für den durchschnittlichen Internetnutzer ausschließlich positiv ist, da eine Datenübermittlung zu den Social-Media-Anbietern ohne sein Zutun nicht mehr stattfindet, reicht einigen Datenschützern diese Initiative nicht aus. Thilo Weichert vom ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) sieht darin zwar einen Schritt in die richtige Richtung, die aber nicht ausreiche. Nach seiner Einschätzung ist die Information beim Aktivieren des Button nicht ausreichend, da eine wirksame Einwilligung voraussetze, dass die Nutzer wüssten, worein sie einwilligten. Facebook lege aber bisher nicht dar, was mit den Nutzerdaten geschehe. Folgt man dieser Argumentation, ist eine datenschutzkonforme Nutzung von Facebook, und den entsprechenden Plugins, überhaupt nicht möglich, weil es immer an der erforderlichen informierten Einwilligung fehlt.

Unbeachtet dieser Kritik steht es völlig außer Frage, dass eine Einbindung der Social-Plugins im Wege der 2-Klick-Lösung deutlich datenschutzfreundlicher ist, als die Plugins ohne jegliche Restriktionen einzubauen. Wer also (überhaupt) plant Social-Media-Plugins zu verwenden, sollte im Interesse der Besucher seiner Website eine solche Lösung implementieren. (se)