Datenschutz

Facebook Like-Button datenschutzfreundlich lokal einbauen

Der Facebook Like-Button entwickelt sich wegen seiner Allgegenwärtigkeit bekanntermaßen langsam zur CCTV-Überwachungskamera des Webs. In Schleswig-Holstein wird sogar ab September dem Datenschutzrecht zur Geltung verholfen, indem Webseitenbetreiber, die den Button eingebaut haben, mit Geldstrafen gedroht wird.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Spätestens diese Strafandrohung gibt doch mal Anlass zum Nachdenken darüber, ob es überhaupt notwendig ist, den Button durch Code von Facebook-Servern generieren zu lassen, statt ihn – dem gesunden Menschenverstand Folge leistend – lokal zu hosten. Alles keine Hexerei, Bursali hat das heute nochmal zusammengefasst.

Ich habe das mal zum Anlass genommen, auch hier bei uns einen datenschutzfreundlichen LikeShare-Button (Unterschied 1, 2) einzubauen [wer möchte, darf das zum Anlass nehmen, auch mal unser Stylesheet neu zu laden]. Bei WordPress geht das mit einer Zeile (hier zur besseren Illustration mit Umbrüchen):

<a href="http://www.facebook.com/sharer.php
?u=<?php the_permalink() ?>&amp;
t=<?php the_title(); ?>" target="_blank">
<img src="/unser/eigenes/like-button-logo.png">
</a>

Da mit dieser Methode kein Code von von Facebook-Servern geladen wird, sollte man damit in Schleswig-Holstein sicher sein. Verzichtet werden muss auf den Zähler, wobei man diese Zahl auch mit ein paar Zeilen Code lokal abfragen könnte, wenn einem denn daran gelegen ist, mit ihr zu prahlen.

Weitersagen und Unterstützen. Danke!
93 Kommentare
      1. Weil micropayment und daher geil ist. Wenn das alle nutzen würden, müsste netzpolitik.org keine Werbung schalten. Mit der „ich will alles umsonst“-Mentalität wurde dieses schöne Web, das wir schätzen auch nicht gebaut.

        1. Stimmt. Alternative wäre weniger bloggen, wenn mal Zeit neben anderem Geldverdienen ist. Wäre das die aus deiner Sicht bessere Alternative? (wir würden auch sicher mehr Geld verdienen)

    1. Flattr hat schon eine datenschutzfreundliche API, die ist nur schlecht dokumentiert. Der Einfachheit halber mache ich mal Eigenwerbung für mein Blog – da ist es nämlich so eingebunden.

      1. Beim Like-Button erscheint die „gelikede“ Seite direkt bei Klick im Facebook-Stream. Also zB „Linus Neumann gefällt ein Link“ und darunter der Link.
        Beim Share-Button öffnet sich erst noch ein weiteres Fenster, in dem man einen Kommentar zum Link eingeben kann, und muss dann nochmal auf „Teilen“ klicken, bevor er incl Kommentar im Stream erscheint.
        Like geht also viel schneller (und ist daher so beliebt).

      2. Es wäre für FB recht einfach, auch einen datenschutzkonformen Like-Button anzubieten (mir ist zumindest kein Weg bekannt), aber es fehlt wohl der Wille…

      3. Es gibt einen weiteren Unterschied zwischen Like und Share Button, der hier nicht genannt wurde bisher:
        Beim Share Button erscheint die Seite einmalig im Stream für alle Nutzer.

        Beim Like Button wird dieser aber zusätzlich im Profil unter „Aktivitäten und Interessen -> Sonstiges“ angezeigt.

  1. Ist diese Art der Verwendung denn auch ohne schriftliche Genehmigung erlaubt? Der Button samt Logo dürfte ja schließlich urheberrechtlich geschützt sein.

  2. Mir ist kein Weg bekannt, den aktuellen Like-Button datenschutzkonform einzubinden. Aber es gibt für FB durchaus Wege, den aktuellen Button datenschutzkonform zu gestalten.
    So ist es deutlicher.

    1. Nach der Argumentation des ULD ist es völlig unmöglich für Facebook einen konformen Button selbst anzubieten. Denn alles was Facebook anbietet, würde auch irgendwo von Facebook gehostet werden, und bereits das ist ja Teufelszeug für die ULD.

      1. Ne, es geht. Facebook müsste eben eine URL à la facebook.com/like.php?uri=http://netzpolitik.org/… anbieten (eben wie bei dem Share-Button). Dann wird allerdings nicht mehr die Liste der Freunde, die die Seite schon „geliked“ haben nicht angezeigt. Und dann geht Facebooks „Social Experience“ flöten.

  3. Mal abwarten, ob die im September wirklich jemanden rechtlich belangen werden. Über die Rechtmäßigkeit des Vorgehens des ULD gibt es ja äußerst unterschiedliche Ansichten (mal googeln..).

    1. Das kann man vergessen, akf, da wir es im Durchschnitt der Onliner in Deutschland mit Vollidioten zu tun haben. Es ist weder jeder hier auf diesen Seiten, noch bei heise.de, noch sonstwo. Die meisten User haben das Niveau von bild.de und halten sich dort auch auf.

      Leute, die seit Jahren surfen, aber nicht wissen, was ein Browser ist.

      Faktum.

  4. Es sind keine Geldstrafen sondern Bußgelder. Es handelt sich auch nicht um eine STRAFtat sondern eine Ordnungswidrigkeit.

    Ansonsten unterbindet diese Möglichkeit das automatische Laden des Logos von Facebook servern und somit das Übermitteln der IP-Adresse eines jeden Blogbesuchers an Facebook.

    Wer glaubt dadurch die Share-Funktion legal zu nutzen irrt. Denn es fehlt weiterhin an der erforderlichen Aufklärung, dass bei Klick auf den Button personenbezogene Daten (IP-Adresse) an Facebook übermittelt werden.

    1. „Wer glaubt dadurch die Share-Funktion legal zu nutzen irrt. Denn es fehlt weiterhin an der erforderlichen Aufklärung, dass bei Klick auf den Button personenbezogene Daten (IP-Adresse) an Facebook übermittelt werden.“

      Nach dieser Logik wäre jedes setzen eines Links illegal! Bei einem Klick auf einem Link, erhält die verlinkte Seite auch die IP, sowie den Referrer, etc…

    2. Wer glaubt dadurch die Share-Funktion legal zu nutzen irrt. Denn es fehlt weiterhin an der erforderlichen Aufklärung, dass bei Klick auf den Button personenbezogene Daten (IP-Adresse) an Facebook übermittelt werden.

      Oh ja, bitte, ich will bei jedem Klick den ich irgendwo im Browser auf egal welcher Seite mache immer unbedingt eine Belehrung bekommen!
      Sag ma lebst Du unterm Stein oder hast Du einfach keinerlei Ahnung wie Computernetzwerke funktionieren?

    3. „…dass bei Klick auf den Button personenbezogene Daten (IP-Adresse) an Facebook übermittelt werden.“
      im internet ist alles immer nur einen klick von überall entfernt. da jetzt zwischen gut und böse unterscheiden zu wollen, um bei den bösen links eine warnmeldung vorzustellen, wird nicht funktioneren. immer noch schilder im kopf? jetzt die neue einbindung hier auf netzpolitik ist mMn ausreichender datenschutz, den ein betreiber leisten muss danke!

      1. Sobald der jeweilige Besucher der Internetpräsenz mit datenschutzkritischen Social Plugins auch gleichzeitig aktiv das entsprechende Social Network verwendet und sich gegenüber diesem identifiziert hat. Daraus besteht ein wesesentlicher Bestandteil des Facebook- Geschäftsmodells und ist offensichtlich sehr erfolgreich.

      2. Das ist rechtlich umstritten. Die Datenschutzbeauftragten der Länder (also etwa das ULD) gehen allerdings grundsätzlich von einem Personenbezug aus, da jedenfalls der Provider einen Personenbezug herstellen kann.

        Es ist unklar ob bei der IP-Adresse ein objektiver Personenbezug gilt (wie ihn die Datenschützer befürworten) oder ein relativer Personenbezug, dh. entscheidend ist, ob der Diensteanbieter einen Personenbezug herstellen kann. (Das wird bei Facebook zu bejahen sein, beim Webseitenbetreiber hingegen abzulehnen).

        Wenn man aber der Auffassung des ULD folgt, ist die IP grundsätzlich personenbezogenes Datum.

      3. Facebook hat dazu erklärt, dass sie identifizierende Informationen nur bei Klick auf den Button speichern.

        Zu dumm halt, dass man Daten nicht direkt ansehen kann, ob sie gut oder böse sind und für welche Zwecke sie heute und in 20 Jahren genutzt werden.

    1. Google Maps kennt auch „statische Karten“, die nicht per JavaScript im Client laufen müssen. Daher muss auch keine Kommunikation zwischen Client und Google erfolgen, das kann alles dein Server liefern. Aber das bedeutet auch: statisch, kein weiches Scrollen/Zoomen etc.

      1. Wie das wohl gehen soll, wenn schon IP-Adressen böse sind? Ich glaube, das dieses Exportschlager-Argument ist mehr etwas, um sich selbst zu überzeugen. Wenn wir zudem den Datenschutz so extrem fahren, wie wir es tun, gibt es eigentlich kaum etwas, was unter diesen Bedinungen erfunden werden kann.

        Neue Technik heisst auch immer Risiko und wenn wir kein Risiko wollen, gibt es eben auch keine Chancen. Und Anzeichen, dass wegen des Like-Buttons die Welt untergeht, sehe ich auch keine. Also lieber Problem regeln, die auch existieren.

      2. @Christian Scholz

        Soweit ich das verstanden habe, geht es keineswegs darum, das die IP böse ist.
        Es geht vielmehr darum, die Leute vor FB zu schützen, die diesen Button ganz bewusst nicht anklicken!
        Cryptome.org
        Denn diese werden, wie so oft bei FB, ganz einfach ungefragt vereinnahmt.
        Im übrigen schließen sich Datenschutz und Innovation nicht aus.
        Denke heute Abend doch mal bitte darüber nach, was eigentlich Innovation ist und inwiefern FB überhaupt innovativ ist.

      3. Habe ich gemacht und festgestellt, dass Facebook sehr innovativ ist :-)
        (und das bezieht sich z.B. auch auf all das, was im Backend passiert, wenn man Vorträgen von denen über die neue Messaging-Architektur lauscht und wie man die Datenmengen handelt, ist das schon sehr beeindruckend).

        Und da Facebook erklärt hat, dass sie keine Verknüpfungen speichern oder Profile erzeugen, wenn man nicht drauf klickt, ist doch alles in Ordnung, oder?

      4. Es ist schön, wenn du aus der selbstbeweihräucherung von FB Innovation herauslesen kannst. Ich dachte bisher immer das innovation auch etwas mit NEU zu tun haben muss. Also eben kein alter Wein in neuen Schläuchen.
        Aber wenn du FB soo innovativ findest ist das völlig in Ordnung.
        So, so, FB erklärt sich zum Datenschützer. Alles klar!
        Wenn mir aber ein mehrfach ertappter Dieb erzählen würde, das er mich gaaanz bestimmt nicht beklaut, ICH würde ihm nicht glauben!
        … und FB glaube ich schon gar nicht, denn dazu wurden die viel zu häufig mit den Fingern in Taschen erwischt, in denen sie nun so gar nichts zu suchen hatten!
        Insofern ist für mich überhaupt nichts in Ordnung.
        Wie gehabt, FB hat sicherlich seine berechtigung, (zumindest für die Menschen die es nutzen möchten).
        Für alle anderen, und das ist sicherlich die Mehrheit der Internettnutzer, ist diese Plattform nur ärgerlich und erzeugt Wut über soviel Dreistheit!
        Im übrigen bist du bei FB nicht etwa der Kunde, sondern die Ware.

  5. Wg. Stylesheet neu laden: ändert den Dateinamen auf stylesheet-1.2.css und referenziert das in Zukunft. Dann lädt der Browser das garantiert neu.

  6. Man sollte ganz nebenbei den Surfer/innen erstmal mitteilen, daß sie die Kekssetzung abschalten sollten. Die Leute sollen sich gefälligst mal mit ihrem Browser befassen.

    Das geht mir schon seit Jahrzehnten auf den Sack:

    Die Leute haben von allem eine Ahnung, nur von dem eigenen Browser nicht. Kein Keks ist das Motto. Und dann verstehen sie weder ihre Wall (falls überhaupt vorhanden) noch irgendwas von Scriptings.

    Für jeden Küttel werfen sie Google (ebenfalls nicht zu empfehlen) an, aber nicht dafür, wie man seinen Browser im Zaum hält.

    Bildungslücke, vor allem bei den Pickeln.

    1. Im Prinzip hast du recht. Aber wenn man Cookies einfach blockiert, funktionieren viele Seiten halt nicht, und das frustriert…
      Besser ist es, Cookies beim Schließen des Browsers automatisch löschen zu lassen. Und dann für verschiedene Sachen halt den Browser öfter mal neu zu starten.

      1. @akf

        ALLE Seiten funzen ohne Kekse. Wer nicht, den surft man nicht an.

        Deine Bank, Dein Provider, Deine Vertrauten brauchen den Keks, niemand sonst.

        Also lasse nur Kekse von denen zu oder sie werden eben neu gesetzt!
        Problem? Null!

      2. Ps.

        Besorge Dir zumindestens den C-Cleaner. Der schaut auch nochmal über die Platte. Der Browser kann nichts entfernen, er kann nur löschen.

        Löschen ist nie eine Entfernung. Schredder entfernen.

  7. Du läufst in ein anderes rechtliches Problem rein. Nach Facebooks Bedingungen brauchst Du dafür Facebooks schriftliche Einverständnis:

    „Du wirst unsere Urheberrechte und Markenzeichen (einschließlich Facebook, die Facebook- und F-Logos, FB, Face, Poke, Wall und 32665) oder andere ähnliche und daher leicht zu verwechselnde Zeichen nicht ohne unsere schriftliche Erlaubnis verwenden.“

    Kuckst Du unter „5. Schutz der Rechte anderer Personen“, Nr. 6

    1. Da ich nicht auf Facebook bin, teile doch dem Zuckerberg mit, er wird seine Sachen packen dürfen. Mit meiner Erlaubnis. Und dann geht er seines Weges. Mit meiner Erlaubnis.

      Und seine Blöden Jünger darf der Guru mitnehmen, denn gerade auf diese kann das Web verzichten.

      Klar?

  8. das problem ist imho nicht, dass fb als hoster seines eigenen dienstes zwangsläufig IP-adressen von besuchern oder besuchern von seiten mit fb-iframe bekommt (jaja und browserkennung, referrer etc), sondern wie fb mit diesen daten umgeht :L

    jeder sollte mal etwas an sein eigenes /var/log/apache2 denken xD

    1. Mir alleine geht es darum, dem Zuckerberg den After zu pudern.

      Und mir geht es darum, Leute endlich davon zu überzeugen, daß Facebook Müll ist. Wie sich Leute verkaufen an den Dreck macht mich fassungslos.

      Meidet Facebook!

      1. Ich traue Facebook genausowenig wie Google, IVW usw, daher benutze ich disconnect sowie JavaScript-, Flash-, iFrame- und Cookieblocker. Die sichersten Daten sind die, die gar nicht erst aufgezeichnet werden.

        Ich erwähne das nur, weil hier und auch anderswo gerne so getan wird, als sei es Fakt, dass FB diese Daten auswertet und verkauft. Das ist aber nur Spekulation.

      2. Auswerten werden sie die Daten auf jeden Fall, wie könnten sie sonst personalisierte Werbung schalten. Es gibt doch Werbung auf Facebook, oder? Und ich meine mich zu erinnern, dass sie schonmal Userdaten an Marktforschungsunternehmen verkauft haben. Auch mit Facebook-Partnern oder über viele Applikationen werden soweit ich weiß Userdaten geteilt.

      3. @perseid:
        Es geht hier um die Daten aus den Like-Plugins.

        Das Facebook die Daten, die die User in ihrem Profil eintragen zur personalisierten Schaltung von Werbung nutzt ist kein Geheimnis und sollte jedem Nutzer klar sein.
        Applikationen weisen vor Nutzung darauf hin auf welche Daten sie zugreifen. Man kann das dann entweder Annehmen oder an dieser Stelle abbrechen.

      4. Ah okay, hatte mich schon gewundert.

        Aber wenn sie die Daten sowieso nicht verwenden, dürfte einer datenschutzfreundlicheren Implementierung eigentlich nichts im Wege stehen.

      5. Ich erwähne das nur, weil hier und auch anderswo gerne so getan wird, als sei es Fakt, dass FB diese Daten auswertet und verkauft. Das ist aber nur Spekulation.

        und

        Aber wenn sie die Daten sowieso nicht verwenden, dürfte einer datenschutzfreundlicheren Implementierung eigentlich nichts im Wege stehen.

        Wie naiv kann man denn noch sein? Das ist schlicht das Geschäftsmodell von Facebook. Zu glauben, dass Facebook diese Daten nicht verwendet, ist erschreckend weltfremd. Zuckerberg hat sein Milliardenvermögen im Lotto gewonnen oder im Schichtdienst bei den Stadtwerken…

      6. @Johannes:

        Naivität hin oder her, Spekulation bleibt Spekulation und diese als Fakt zu verkaufen ist schlicht und ergreifend schlechter Journalismus. Aber ist klar das Leute, die Zuckerberg für Luzifer halten sowas nicht verstehen.

  9. Wieso jubelt mir Netzpolitik eigentlich einen Cookie mit dem referrer unter? Ist der fuer irgendwas notwendig?

    Und wer ist „fastclick.net“?

    Und wieso wird der ivwbox ein referrer mitgeliefert, was geht die das an von welcher Site ich auf Netzpolitik gekommen bin?

  10. Jetzt wird man nicht vom ULD wegen BDSG und TMG belästigt, sondern von Facebook wegen Urheberrecht, und der +1 Button kommt weiterhin von ssl.gstatic.com.
    Ihr seid meine perönlichen Helden m)

    1. > der +1 Button kommt weiterhin von ssl.gstatic.com.
      Siehe Kommentar 1 vom Autor selbst

      > Jetzt wird man nicht vom ULD wegen BDSG und TMG belästigt, sondern von Facebook wegen Urheberrecht
      Selten so laut gelacht. Auf den Prozess freue ich mich, der wird das Web in seinen Grundfestern erschüttern.

  11. soweit ich kapierte gehts doch auch um das 2jährige Cookie,d as ich verpasst bekomm von fb jedesmal , wenn ich eine Website komm, die den like Button eingebaut hat und

    zwar , weil ich nicht bei fb bin

  12. ich find das total übertrieben, die leute die facebook nutzen und ein account haben, haben halt diese datenprofile, dagegen kann man (hier in deutschlang) eh nichts machen, sollte man auch nicht.
    und die, die facebook NICHT nutzen, haben auch datenprofile (wenn auch lang nicht so genaue), aber facebook verkauft doch werbung nur auf facebook.com? und wenn man da eh nie raufgeht, weil mans nich mag, bekommt man auch nie werbung zu sehen, die aufgrund dieser datenprofile angezeigt wird. und so ein theather zu machen und am ende kleine privatleute, die like-buttons eingebaut haben, abzuklagen, finde ich eine frechheit.

    1. Laut facebook haben die, die es nicht nutzen, aber keine Datenprofile und IP-Daten werden nach 90 Tagen gelöscht. Aber selbst wenn, ist für mich noch lange nicht klar, was das Problem daran ist. Konnte mir bislang auch noch niemand jenseits des unguten Gefühls erklären.

      1. Dass es 90 Tage sind ist schon Grund genug für ein ungutes Gefühl, denn es gibt ja eigentlich keinen guten Grund diese Daten überhaupt zu erheben.
        Wenn über so eine externe Einbindung Daten übertragen werden, dann normalerweise auch ein Cookie (oder eben nicht) und in diesem Cookie wird mit Sicherheit der Account drin stehen.
        Wenn also kein Cookie mitkommt oder in dem Cookie kein Account vermerkt ist braucht man es nicht zu speichern. Was man mit denen macht, die ein Cookie übertragen, in dem der Account vermerkt ist, die aber ausgelogt sind ist dann ein zweites Blatt Papier kann/müsste man sich Gedanken zu machen, soll mir persönlich auch egal sein, wer sich mit der Firma einlässt weiß ja hoffentlich worauf er sich einlässt und wird schon darauf hingewiesen worden sein.

        So, dennoch werden diese Daten erhoben aus einem mir nicht bekannten Grund. Am Wahrscheinlichsten ist, dass sie einfach Nutzungs-Profile erstellen, also schlicht Marktforschung welche Seiten von der gleichen Person typischerweise besucht werden. Aber das ist auch nur die freundliche Annahme.
        Und dann gibt es eben zwei Wege diese zu nutzen, entweder man benutzt es um die eigene Werbung für die eigenen Nutzer zu „verbessern“ weil man typische Nutzungsprofile durch die größere Erhebungsgröße viel besser bewerten kann oder man verkauft diese Erkenntnisse an externe Werbetreibende.

        Aber wie gesagt, warum 90 Tage? Ich habe eine statische IP-Adressse also selbst wenn ich Cookies lösche/ablehne, solange ich TOR nicht anhabe… das ist ein SEHR präzises Profil, was sie über 90 Tage von mir anfertigen können und wahrscheinlich bekämen sie jeden dritten Klick mit (Schätzung dass ein Drittel der Seiten, die ich besuche so einen Button hat).

        Und noch zwei Punkte die stören:
        1. Das exportieren derartiger Daten in Länder wie den vereinigten Staaten ist _möglicherweise_ nicht erlaubt.
        2. Der Nutzer kann nicht vorhersehen dass diese Daten übertragen werden, außer er nutzt ein entsprechendes PlugIn o.ä.

        Bei einer wie im Beitrag dargelekten Variante gehe ich voll konform. Lokal einbinden und der Klick erzeugt dann das Datenpaket und ich denke durchaus mit Zustimmung des Nutzers. Damit ist für mich alles gut, ich kann aktiv entscheiden über welche Besuche ich facebook informiere und über welche nicht. Vielleicht möchte ich (oder finde es okay) dass FB weiß dass ich diesen oder jenen Blog besuche (und „gefällt“) aber bei den politischen und religiösen möchte ich das nicht und ich möchte auch nicht, dass FB weiß dass ich mir gerade ein neues Auto zulege.

        Der Wunsch über die Kontrolle darüber zu haben ist mehr als legitim.

        Ich finde es toll, dass dieser Tage (bzw. seit einigen Jahren) die Hürden im Netz als Sender aufzutreten massiv gesunken sind und man sich nicht besonders tief in die technische Materie eingraben muss. Endlich ist das Internet nicht mehr nur ein Haufen Nerds und eben Firmen. Aber wie man sieht bringt es auch Schattenseiten mit sich, nämlich Publizisten, die nicht wissen was sie tun (bzw. was technisch geschieht) und die sich von Firmen einlullen lassen und deren komische PlugIns verwenden anstatt sich das vom Hausnerd von nebenan schnell stricken zu lassen.

        Und was die Urheberrechts-Debatte hier in dern Kommantaren angeht: Das wäre ein echter Spaß! Mal angenommen das ULD(?) greift tatsächlich durch UND facebook beginnt Leute abzumahnen, dann wird es spannend wie die Blogosphäre reagiert.
        Sparen sie sich den Button?
        Wechseln sie auf ausländische Server/Adressen?
        Binden sie die Buttons mit eigenen oder freien Grafiken ein? (in dem Sinne ist der im Beitrag genannte Weg mitnichten urheberrechtlich bedenklich, welche Grafik dahinter steckt ist ja nicht definiert).

        So, genug der Worte, danke für den Fisch!

  13. Jeder Blogger sollte sich mit dem Thema Datenschutz bei Social Media Plugins auseinander setzen. Auf meinem Blog sind letztlich alle script-gesteuerten Buttons raus geflogen. Ein statisch verlinkter Button zum Teilen eines Artikels reicht mir völlig. Zumal die ganzen Social Plugins auch die Performance einer Webseite beeinträchtigen (wer sich mal die Ladezeit seiner eigenen Website einmal mit und einmal ohne Social Plugins ansieht, weiß was ich meine).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.