Bereits im Sommer diesen Jahres hatte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Websitebetreiber in Schleswig-Holstein aufgefordert, die immer weiter verbreiteten Social Plugins von ihren Websites zu nehmen, da diese nicht mit hiesigen Datenschutzrichtlinien vereinbar seien. Dieser Ansicht haben sich am 8. Dezember nun auch die im Düsseldorfer Kreis organisierten obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich angeschlossen und somit eine bundesweite Richtlinie zur Nutzung von Social Plugins, wie bspw. des Facebook Like-Buttons, geschaffen. Und diese besagt, dass die Nutzung derartiger Plugins ohne ausreichende Information der Nutzer darüber, dass Daten an das jeweilige Soziale Netzwerk übertragen werden, nicht zulässig ist.
Warum eigentlich? Hier eine kurze Erläuterung: ruft ein Nutzer eine Webseite auf, auf der z.B. der Facebook Like-Button integriert ist, so sendet der Browser des Nutzers automatisch die Adresse der Webseite und ein eventuell bereits früher von Facebook gesetztes Cookie an die Facebook-Server. Ist dieser Nutzer zufällig zum gleichen Zeitpunkt bei Facebook angemeldet (das ist er auch dann, wenn Facebook zwar geschlossen ist, er sich aber beim Verlassen nicht abgemeldet hat), so enthält das Cookie auch dessen Sitzungs-ID und Facebook kann ihm den Webseitenaufruf persönlich zuordnen. Auf diese Weise lassen sich relativ einfach Bewegungsprofile im Internet erstellen. Selbst, wenn zum Zeitpunkt des Aufrufes kein Facebook-Cookie auf dem Rechner des Nutzers vorhanden sein sollte – z.B. weil er gar kein Facebookprofil besitzt – kann Facebook seine Bewegungen im Internet zukünftig trotzdem nachvollziehen, da einfach ein neues Cookie gesetzt wird, auf das später bei ähnlichen Aufrufen zurückgegriffen werden kann. Die so gesammelten Daten können dann zwar keinem richtigen Namen, aber einer in dem Cookie gespeicherten ID zugeordnet werden. Ähnliche Verfahren verwenden auch andere soziale Netzwerke wie Twitter und Google+.
Wie kann man nun als Website-Betreiber Social Plugins datenschutzkonform einbinden? Dazu hat sich der Heise-Verlag Gedanken gemacht und eine zweistufige Lösung sowohl entwickelt, als auch unter der Open-Source-Lizenz veröffentlicht, die den Anforderungen der Datenschützer gerecht wird. Beim Laden der aufgerufenen Seite sind die Buttons für Facebook, Twitter und und Google+ noch deaktiviert und senden keinerlei Daten an die entsprechenden Server. Erst durch einen gezielten Klick des Nutzers werden die Buttons aktiviert und können dann dementsprechend genutzt werden. Durch das bewusste Aktivieren gibt der Nutzer seine Zustimmung zum Datenversand, womit eine Einbindung der Buttons entsprechend der am 8. Dezember beschlossenen Richtlinie gewährleistet ist. Ich selber habe in mein Blog diese Lösung implementiert und dafür das entsprechende WordPress Plugin benutzt, welches im zentralen Plugin-Verzeichnis zur Verfügung steht.
Es kann also wieder geliked, getweeted und ge+1ed werden!