Spurensuche im Internet: Social Plugins als Datenfalle im eCommerce

Facebook
Twitter
XING
LinkedIn
WhatsApp
Pocket
Email

Social Plugins spielen eine große Rolle im Social Media Marketing vieler Unternehmen. Kaum noch ein Nachrichtenportal, auf dem man nicht interessante News per Facebook weiterverbreiten kann, kaum noch ein Modeblog, Baumarkt oder Lebensmittelgeschäft, dessen Produkte man nicht per Button liken kann. Unbeschwert klicken die User auf „Gefällt mir“ oder teilen der Welt per Tweet mit, was sie von dem neuen Fensterreinigungsspray der Marke XY halten. Dass sie dabei ihre Spuren kreuz und quer im Netz verteilen, ist den wenigsten Nutzern so richtig bewusst – und was das in puncto Verstöße gegen Datenschutzvorgaben bedeutet, den wenigsten Shopbetreibern & Co.

mobile phone

Da mit der Einbindung von Social Plugins rechtliche Risiken einhergehen und einige Datenschutzregelungen beachtet werden müssen, möchte ich heute auf dem Blog einige Infos zum Thema geben und auf Stolperfallen aufmerksam machen.

Social Plugin: Die Seite in der Seite

Was Social Plugins sind und wie sie in die eigene Homepage eingebunden werden, dürfte inzwischen jeden klar sein, der beruflich im Internet unterwegs ist. Die juristischen Aspekte dagegen sind häufig noch unklar. Da der Datenschutz in Deutschland aber großgeschrieben wird, ist es durchaus lohnenswert, sich damit auseinanderzusetzen. Es warten nämlich einige Stolperfallen auf Shopbetreiber & Co., die die beliebten Buttons im eCommerce verwenden.

Damit der Like-Button auf einer Webseite erscheinen kann, muss ein sogenannter iFrame eingebettet werden. Dieser iFrame, eine Art in die Seite integrierte Unterseite, besitzt einen direkt von Facebook / Google / Twitter stammenden Quelltext. Damit wird bei Öffnen der gewünschten Internetseite also automatisch auch ein Frame des Plugin-Betreibers geöffnet.

Ungewünschter Automatismus: Übertragung von IP-Adressen

Das hat zur Folge, dass automatisch unter anderem die IP-Adresse aller User an Facebook übertragen wird – selbst wenn das Plugin gar nicht angeklickt wird. Geht man davon aus, dass es sich bei IP-Adressen um personenbezogene Daten handelt (siehe Diskussion dazu: Viel Lärm um nichts: Urteil zur Speicherung von IP-Adressen bringt keine Erkenntnis für Betreiber von Webseiten), so wäre eine Einwilligung der betroffenen Personen nötig – ansonsten läge ein Verstoß gegen das Datenschutzgesetz vor.

Manche Juristen sehen die Übermittlung der Daten an Facebook als Notwendigkeit für die Nutzung der Seite an. Bei dieser Betrachtungsweise wäre die Datenübermittlung nach § 15 Abs. 1 TMG ohne Einwilligung zulässig. Dieser Ansatz scheitert jedoch daran, dass die Anbieter aller relevanten Social Plugins ihren Sitz in den USA haben, wo es mit dem Datenschutz lange nicht so eng gesehen wird, wie in Deutschland.

So oder so – Datenschutz muss sein!

Eines ist in jedem Fall klar: Eine Datenschutzerklärung zur Unterrichtung der User über die Folgen der Benutzung von Plugins muss auf der Seite abrufbar sein (das gilt übrigens auch beim Einsatz von Trackingtools, wie Google Analytics: Kostenloses Whitepaper: So können Web-Analyse-Tools datenschutzkonform eingesetzt werden). Darin müssen bestimmte Inhalte allgemein verständlich formuliert sein, um der gesetzlichen Unterrichtungspflicht nachzukommen. Dazu gehören:

  • Verwendung bestimmter Social Plugins auf der Seite
  • Anbieter des Plugins samt Anschrift
  • Datenübertragung bei Seitenaufruf
  • Hinweis auf Datenschutzerklärung des Anbieters
  • Falls zutreffend: Möglichkeit der Verhinderung der Datenübermittlung

Die „2-Klick-Lösung“ by heise.de

Eine Lösung gibt es inzwischen immerhin für das Problem, dass Daten sofort bei Betreten der Seite an die Plugin-Betreiber weitervermittelt werden: Die sogenannte „2-Klick-Lösung“, die heise.de entwickelt hat. Sie ermöglicht eine datenschutzfreundliche Integration der Social Plugins in eine Webseite.

Und so funktioniert’s: Beim Laden der Seite findet noch kein Datenaustausch mit dem Plugin-Betreiber statt. Der Nutzer hat die Möglichkeit, die Plugins zu aktivieren, falls er sie nutzen möchte. Erst dann wird die IP-Adresse an Facebook, Google etc. weitergeleitet. Auf diese Weise können die Besucher der Seite eigenverantwortlich entscheiden, ob sie einer Datenübermittlung zustimmen oder nicht. So kann gleichzeitig die Einwilligung des Nutzers eingeholt und ein Datenschutzverstoß vermieden werden.

Sollte dieses Vorgehen einem Nutzer zu umständlich sein, besteht auch die Möglichkeit, bestimmte oder alle Social Plugins mit einem Häkchen dauerhaft zu aktivieren. Durch Wegnahme des Häkchens kann dieser Vorgang jederzeit rückgängig gemacht werden.

Der Code zur Einbindung von Social Plugins mittels 2-Klick-Lösung kann übrigens kostenlos heruntergeladen werden.

Weiterführende Informationen

Kategorien

Über Ralph Günther

RGPortrait eckig final

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

Über die exali AG

exali logo

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.

Facebook
Twitter
XING
LinkedIn
WhatsApp
Pocket
Email

Alles rund um Chancen und Risiken im Business auf exali.de:

dsgvo gefe
DSGVO-Gesetze im Internet: Die wichtigsten Urteile und Risiken
Welche Regelungen gelten beim Datentransfer in Drittländer? Was muss eine DSGVO-konforme Webseite enthalten? Was gibt es hinsichtlich der DSGVO bei Newsletter oder Social Media zu beachten? Diese… weiterlesen
email gecdff
Newsletter-Abmeldung verhindern: So halten Sie Ihre Abonnent:innen
Newsletter-Abmeldungen verhindern: Wir zeigen Ihnen die fünf häufigsten Gründe, aus denen sich Abonnent:innen vom Newsletter abmelden und wie Sie sie doch noch umstimmen können. weiterlesen
cybersecurity gcdfffef
Cybercrime: Business-Risiko Cyber-Erpressung
Laut einer aktuellen Studie des BSI bleibt Ransomware weiterhin die Top-Bedrohung für Unternehmen. Wie Sie Ihr Business schützen können, haben wir in diesem Artikel für Sie zusammengefasst: weiterlesen
wordpress
Content-Kooperationen: Chancen und Risiken für Ihr Business
Eine Content-Kooperation bietet viele Vorteile: Mehr Reichweite, mehr Traffic, Verbesserung des SEO-Rankings und möglicherweise auch neue Kundschaft. Wir verraten Ihnen, wie eine Content-Kooperation… weiterlesen

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.
RGPortrait eckig final

Schnell, einfach und komplett online: So stellte ich mir als Versicherungsmakler den Abschluss einer Berufshaftpflicht für Freelancer und Selbständige vor.  Da kein Anbieter eine ansprechende Lösung hatte, setzte ich meine Idee 2008 selbst um und gründete die exali AG (damals exali GmbH). Über meine persönlichen Erfahrungen und Erkenntnisse schreibe ich auf dem RGBlog.

LogoBlog

Die exali AG mit Sitz in Augsburg ist der Spezialist für Berufshaftpflicht-versicherungen für Freelancer und Selbständige. Ein intuitiver Online-Rechner ermöglicht den Abschluss einer Berufshaftpflicht in unter 10 Minuten. Bei exali treiben wir die Digitalisierung der Versicherungsbranche jeden Tag ein weiteres Stück voran.