Page-Plugin

Am 09.03.2016 fällt das Landgericht Düsseldorf ein Urteil, das mit einem Paukenschlag jeden Webseitenbetreiber in Deutschland aus dem Datenschutz-Schlaf klingelt: dem Unternehmen Fashion ID wird die Nutzung des Page-Plugins von Facebook untersagt, weil es personenbezogene Daten der Webseiten-Nutzer zu Werbezwecken sammelt. Doof nur: Gefühlt das halbe Internet benutzt dieses Plugin.

Like-Buttons, Tweet-Buttons, Instagram-Widgets: auch alles verboten!

Die Begründung für das Urteil: Selbst, wenn der Besucher kein Facebook-User ist, sendet er über das Page-Plugin seine IP-Adresse an Facebook, dafür muss er den Like- oder Share-Button noch nicht mal anklicken. Der Besuch der Seite reicht und genau das ist laut dem Landgericht rechtswidrig. Dabei ging es ursprünglich nur darum, dass Fashion ID mit dem Page-Plugin Sharing-Zahlen anzeigt und der Konkurrenz das nicht gepasst hat. Aber genau für diese Zahlen braucht Facebook eben die IP-Adresse des Endkunden.

Das richtig große Problem kommt aber erst: Auch, wenn es im Urteil nur um das Page-Plugin geht, betrifft die Entscheidung damit faktisch alle Like-Buttons und Social-Media-Plugins. Zwar ist das Urteil noch nicht rechtskräftig, aber Experten rechen durchaus mit Abmahnwellen – und plötzlich ist das digitale Deutschland im Panik-Modus. Denn wenn man das Urteil näher betrachtet, ist damit das gesamte dynamische Internet rechtswidrig: Sharing- und Like-Buttons, Instagram-Widgets, die die letzten hochgeladenen Bilder zeigen und Twitter-Feeds – allesamt grobe Datenschutzverbrechen.

Mit Shariff gibt es eine ordentliche Fertiglösung für Sharing-Buttons, die auch datenschutzkonform Like-Zahlen ausgibt und theoretisch könnte man auch eigene Lösungen programmieren. Vieles andere – wie eben Twitter-Feeds – ist damit vorerst gegessen. Nur YouTube-Embeddings haben hier eine Sonderstellung, lassen sich ohne das „Absaugen“ von Daten einbinden. Zwar ist das Urteil noch nicht rechtskräftig, aber die meisten Experten und vor allem die geschäftstüchtigen Abmahn-Anwälte gehen davon aus, dass eine Berufung hieran nichts mehr ändert.

Also:  Was ist zu tun?

  1. Ruhig bleiben! Der Handlungsbedarf ist zwar akut, voreilige Nachtschichten muss aber niemand einplanen.
  2. Eine Lösung finden! Die 1-Klick-Lösung Shariff ist derzeit die wahrscheinlich rechtssicherste Variante zur Implementierung von Social Buttons. Plugins und Widgets, die Social-Media-Inhalte direkt auf der Webseite ausgeben sind allerdings vorerst komplett tabu.
  3. Gleich alles richtig machen! Denn in Sachen Datenschutz haben die meisten deutschen Webseiten noch ganz andere Baustellen offen.

Datenschutz mit Google Analytics

Ein eigentlich viel größeres Problem betrifft den Umgang mit Google Analytics: Hier müssten die meisten schon viel länger deutlich mehr Abmahnungs-Panik schieben. Zwar kommt kaum eine professionelle Webseite mit Fokus auf Vertrieb ohne die Daten aus dem Analyse-Tool aus – trotzdem setzen es die meisten Webseitenbetreiber nicht rechtskonform ein. Dabei wäre alles so einfach, schließlich hat sich Google 2011 mit Datenschützern auf einen Kompromiss geeinigt, mit dem man Analytics beanstandungsfrei nutzen kann. Dafür ist es nötig, dass:

  • der Nutzer darauf hingewiesen wird (per Datenschutzerklärung und Pop-Up), dass er über ein Add-on die Erfassung seiner Daten verhindern kann.
  • der Webseitenbetreiber per Plugin oder mit der „_anonymizeIp()“-Funktion die letzten acht Ziffern der IP-Adresse eines Nutzers anonymisiert, sodass sie nicht mehr zugeordnet werden kann.
  • der Webseitenbetreiber einen vorgefertigten Vertrag mit Google eingeht – ihn also ausdruckt, unterschreibt und in die europäische Google-Zentrale in Irland schickt.
Wordpress-Plugins bieten oft 1-Click-Lösungen für die IP-Anonymisierung an. Auf vielen Webseiten ist die Sache aber nicht so einfach.
WordPress-Plugins bieten oft 1-Click-Lösungen für die IP-Anonymisierung an. Auf vielen Webseiten ist die Sache aber nicht so einfach.

Die meisten Webseiten, die Google Analytics einsetzen, verletzen wenigstens einen dieser Punkte, in vielen Fällen sogar alle drei. Zwar weisen wir als Agentur auf diese Umstände hin und wo wir uns selbst um den Aufbau und die Betreuung einer Webseite kümmern, setzen wir Google Analytics natürlich datenschutzkonform auf. Durch unseren eigenen Agentur-Vertrag mit Google sind die von uns betreuten Analytics-Accounts rechtlich dann auch abgedeckt. Aber spätestens, wenn Sie neue Analytics-Accounts für neue Projekte aufsetzen, die wir nicht betreuen, müssen Sie sich selbst um den Vertrag kümmern.

Außerdem haben wir natürlich keinen Einfluss auf IP-Anonymisierungen von Webseiten, auf denen wir keinen Backend-Zugang oder keinen weiterführenden Betreuungs-Auftrag haben. Hier fangen die Probleme meist schon damit an, dass Impressum und Datenschutzerklärung nicht auf einzelnen Seiten getrennt sind. Auch das wäre nach § 13 des Telemediengesetzes bereits ein Abmahngrund – und zwar spätestens seit dem 24.02.2016.

Datenschutz mit Cookie-Richtlinien 

Noch viel länger – nämlich seit 2009 – sind europaweit Cookie-Richtlinien in Kraft, die bis heute ein Großteil der Webseitenbetreiber einfach ignoriert. Cookies sind Textdateien, mit denen bestimmte Dienste sich einen Besucher, vor allem aber sein Surf-Verhalten merken. Spätestens mit dem Einsatz von Google Analytics setzt auch Ihre Webseite Cookies beim Kunden. Sie müssten sich laut der EU-Richtlinie von 2009 von jedem User das Einverständnis für das Setzen dieser Cookies holen, bevor Sie ihn auf Ihre Seite lassen. Nur: Mit einer Vorschaltseite aus Erklärungstext vergraulen Sie garantiert 90 Prozent aller Besucher direkt zur Begrüßung.

Auch wenn sie nerven: Pop-Ups sind derzeit die rechtssicherste Variante, die EU-Richtlinien für Cookies umzusetzen.
Auch wenn sie nerven: Pop-Ups sind derzeit die rechtssicherste Variante, die EU-Richtlinien für Cookies umzusetzen.

Die gängigste Variante dafür ist eingeblendetes Banner, das den User direkt beim Besuch der Webseite über die Verwendung von Cookies informiert und klarstellt: Wer sich noch länger hier aufhält, stimmt dem zu. Daneben ein „OK“-Button und ein Direktlink zur Standalone-Datenschutzerklärung. Auch das ist nicht 100 Prozent rechtssicher, vor Allem weil Deutschland die EU-Richtlinien nicht konsequent umsetzt, sich im Streit mit Datenschützern und der europäischen Union befindet. Einig sind sich aber alle drei Parteien darin, dass der Endverbraucher informiert und geschützt werden muss – früher oder später kracht es also. Trotzdem gilt die genannte Variante derzeit als die bestmögliche.

Wie sieht die perfekte, datenschutzkonforme Webseite also aus?

Eine Webseite, die die aktuell geltenden Datenschutz-Bestimmungen umsetzt, erfüllt also die folgenden Punkte:

  • Sie hat getrennte, eigene Seiten für Impressum und Datenschutzerklärung.
  • Sie weist direkt bei Besuch der Webseite auf die Verwendung von Cookies hin (wie beispielsweise hier auf lottaleben.de)
  • Sie erfüllt alle Bedingungen für den sauberen Einsatz von Google Analytics, allen voran die IP-Anonymisierung.
  • Social Buttons sind entweder als pure Links mit Bildern eingepflegt (bieten dann aber keine Möglichkeit, Artikel direkt zu teilen, führen nur auf die Profilseiten) oder über die etwas aufwendigere, aber datenschutzkonforme Shariff-Lösung. Wie die aussieht, können Sie zum Beispiel hier im Blog begutachten.

Wenn eine Webseite auch nur einen dieser Punkte nicht erfüllt, steigt die Wahrscheinlichkeit für eine Abmahnung. Diese ist zwar zunächst kein Weltuntergang, schließlich müssen Sie danach „nur“ aktiv werden oder eine Unterlassungserklärung unterzeichnen. Auf jeden Fall aber kostet sie erstmal 1.000 bis 3.000 Euro für den Abmahnanwalt.

Sie benötigen Hilfe beim richtigen Umgang mit Datenschutz und möchten Ihre Webseite einmal komplett auf Vordermann bringen? Schreiben Sie uns an kontakt@lottaleben.de nennen Sie uns Ihre wichtigsten Baustellen und wir erstellen Ihnen schnell und unverbindlich ein Angebot.

Disclaimer: Wir übernehmen keine Garantie für die Rechtssicherheit unserer Ausführungen – schließlich sind wir keine Anwälte. Wir haben uns jedoch überdurchschnittlich ausführlich mit dem Thema befasst und beraten nach bestem Wissen und Gewissen, empfehlen nur, wonach wir auch selbst handeln.