Können in KOGIS "I like"- bzw. "Gefällt mir"-Einträge (facebook) eingebunden werden?
Unabhängig davon, ob man bei Facebook eingeloggt ist oder nicht, werden beim Laden der Like bzw. "Gefällt mir" iframes eine ganze Menge Daten incl. IP-Adresse an Facebook in die USA übertragen.
"When you visit a partner site, Facebook sees the date and time you visited, the web page you are on (commonly known as the URL), and other technical information about the IP address, browser, and operating system you use. ... If you are logged into Facebook, we also see your user ID number. ... we will delete the data (i.e., data we receive when you see social plugins) associated with users in 90 days. We may keep aggregated and anonymized data"
Quelle: www.facebook.com (Stand: 10.11.2010)
Bei eingeloggten Facebook-Nutzerinnen und -Nutzern (Cookie) wird zusätzlich auch die Facebook ID-Nummer übertragen.
Es gibt im Wesentlichen vier Probleme, die gegen eine Einbindung von Like-Buttons per iframe sprechen:
- Facebook legt gegenüber den Website-Betreibern nicht vollständig offen, welche Daten es zu welchem Zwecke erhebt und nutzt. (Bei der Speicherung von IP-Adressen wird etwa darauf verwiesen, dass dieses Vorgehen allgemein üblich sei - "industry standard".)
- Die in mehreren Blogs geäußerte Annahme, dass § 15 Abs. 1 Telemediengesetz (Nutzungsdaten) als Rechtsgrundlage dienen könnte, ist unter Berücksichtigung des Prinzips der Datensparsamkeit (§ 3a BDSG) abzulehnen. Eine Rechtfertigung wäre nur gegeben, wenn die Daten "erforderlich (wären), um die Inanspruchnahme von Telemedien zu ermöglichen". Das könnte zwar für eingeloggte Facebook-Mitglieder gelten, die bewusst den Like-Button klicken, aber sicherlich nicht mehr für Personen, die nur den Inhalt einer Seite lesen möchten und nichts von einer Datenübermittlung an Dritte wissen.
Für die KoGIs-Nutzer und -Nutzerinnen wurde mit der Landesbeauftragten für Datenschutz und Informationfreiheit eindeutig abgestimmt, dass Daten wie die IP-Adresse nicht gespeichert werden dürfen. Aus diesem Grund ist die Einbindung von Like-Buttons bereits nicht zulässig.
- Alle Besucher der Webseite müssten über die Weiterleitung von Daten an einen Dritten außerhalb der EU informiert werden.
- Es könnte sich zudem um Auftragsdatenverarbeitung im Sinne des § 11 BDSG handeln. Gegebenenfalls müsste tatsächlich eine schriftliche Vereinbarung zur Auftragsdatenverarbeitung mit Facebook getroffen werden, die alle vom BDSG geforderten Bestandteile enthält.
Es gibt zahlreiche Blogs, die versuchen, in Richtung einer Zulässigkeit nach deutschem Recht zu argumentieren. Man kann es aber bei einem Hinweis auf Stefan Ernst "Der Like-Button als datenschutzrechtliches Problem", NJOZ 2010, S. 1917-1919 belassen. Derzeit sieht Ernst keine Möglichkeit einer gesetzeskonformen Nutzung dieser Technik.