2-Klick-System

Aus Social-Media-ABC
Zur Navigation springen Zur Suche springen

Das so genannte 2-Klick-System (auch unter dem Begriff "2 Click Social Media Button" bekannt) ist ein insbesondere von Webseitenbetreibern forcierter Schutzmechanismus, um die Besucher der eigenen Webseite vor der ungewollten Weiternutzung und Speicherung ihrer Daten durch Dritte, insbesondere durch soziale Netzwerke wie Facebook, zu bewahren. Im Zuge eines doppelten Authentifizierungsprozesses müssen Nutzer hierbei erst der Sichtbarmachung ihrer IP-Adresse und der damit verbundenen Datenspeicherung zustimmen, ehe sie durch einen zweiten Klick Artikel auf sozialen Netzwerken teilen, liken und weiter verbreiten können. 2011 wurde das 2-Klick-System insbesondere auf Betreiben des Nachrichtenportals heise online konzipiert, auf den eigenen Seiten implementiert und als Open Source-Schnittstelle auch anderen Webseitenbetreibern zur Verfügung gestellt. In der Folge betteten beispielsweise auch prominente Nachrichtenseiten wie die des Südwestdeutschen Rundfunks (SWR) oder rp-online das 2-Klick-System in ihre Webseiten ein. Andere Möglichkeiten, die eigene Privatsphäre bzw. die der eigenen Nutzer zu schützen, bietet das Unterdrücken von Cookies oder die Verwendung von Links statt iFrame-Programmierungen.

Hintergrund des Problems

Um die Sichtbarkeit ihrer Webseiten zu erhöhen, begannen immer mehr Nachrichtenportale, Like- und Share-Buttons unter ihren Artikeln aufzuführen. Sie sollten die Zustimmung der Leser für bestimmte Themen und Artikel erleichtern, indem es für sie mit nur einem Klick möglich war, die eigenen Freunde in den sozialen Netzwerken über das Gelesene zu informieren und Artikel mit ihnen zu teilen. Nur ein einzelner Klick trennte somit den Artikel, den ein User gelesen hatte, von der Teilung auf dessen Privatprofil, wodurch nicht nur der Artikel selbst, sondern auch die ihn zur Verfügung stellende Webseite eine schneeballartige Verbreitung erfahren konnte.

Das Problem: Die Einbettung des Like-Buttons von Facebook erfolgt über einen sogenannten iFrame, eine kleine Miniseite innerhalb der Hauptseite, die im Quellcode auch gesondert aufgeführt ist und für die Facebook selbst der Host ist. Facebook erhält damit schon dann Informationen über den Nutzer, ehe dieser überhaupt etwas geliked oder geshared hat – die bloße Tatsache, dass sich auf der betreffenden Seite ein Like- oder Share-Button befindet, genügt, um Facebook darüber zu informieren, dass dieser Artikel von einer bestimmten IP-Adresse gelesen wurde. Dabei sendet der eigene Browser an Facebook die URL der gerade geöffneten Nachrichtenseite. Ist zeitgleich ein Fenster geöffnet, auf dem der betroffene User bei Facebook eingeloggt ist, können diese Informationen verknüpft und die Leser eines Artikels anhand ihrer Sitzungs-ID identifiziert werden.

Dies gilt auch für Leser, die gar kein Facebook-Profil besitzen, denn: Bei jedem Aufruf einer Seite mit eingebettetem Facebook-Button setzt das Unternehmen automatisch einen Cookie, der dem betreffenden User – so anonym er auch zu diesem Zeitpunkt noch sein mag – zugeordnet ist. Auf diese Weise kann Facebook nicht nur die Surf-Aktivität bestimmter Nutzer weiterverfolgen, insofern diese sich weiter durch Seiten mit eingebettetem Facebook-Button klicken, das Unternehmen kann auch für den Fall, dass sich diese Nutzer zu einem späteren Zeitpunkt zum Anlegen eines Facebook-Profils entscheiden, dieses Profil mit den gespeicherten Cookies in Verbindung bringen, die zwei Jahre lang gespeichert werden. Vergleichbare Informationen, so heise online, gehen auf vielen Webseiten auch an Google oder Twitter.

Juristische Folgen

2016 entschied das Landgericht Düsseldorf (LG Düsseldorf, Urt. v.09.03.2016, Az. 12 O 151/15), dass solche Social Plug-ins die Richtlinien des Datenschutzes verletzen und im Besonderen einen Verstoß gegen das Gesetz gegen den unlauteren Wettbewerb (UWG) darstellen. (Zum vollständigen Urteil als PDF geht es hier ) Das ursprünglich gegen "Fashion ID", eine Tochter von Peek&Cloppenburg gerichtete Urteil, das die Verbraucherschutzzentrale Nordrhein-Westfalen durch ihre Klage auf den Weg gebracht hatte, bedeutete 2016 eine Grundsatzentscheidung für alle Seiten, die mit Social Plug-Ins arbeiten. Insbesondere wertete das Gericht die Speicherung von IP-Adressen als Erhebung personenbezogener Daten, weil sie bei Vorlage eines entsprechenden Gerichtsbeschlusses über den Provider einem spezifischen User zugeordnet werden könnten - selbst dann, wenn dieser gar kein Facebook-Mitglied sei (man spricht hier von "absoluter Theorie").

Lösungsansätze

Das Gerichtsurteil hat Auswirkungen auf alle Seitenbetreiber, die Plug-Ins oder Widgets in ihre Seiten eingebunden haben. Da sie zugleich aber auf die Auswertung von Social Signals und User Signals angewiesen sind, ist eine rechtlich saubere Lösung gefragt, die das Urteil des Landgerichts Düsseldorf aber nicht bis ins Detail zur Verfügung stellt. Eine rechtliche Unsicherheit bleibt also auch weiterhin. Das "2-Klick-System", bei dem die Social Plug-Ins zunächst zurückgehalten werden und per Klick explizit freigeschaltet werden müssen, gilt jedoch zumindest als ein Lösungsansatz. Andere, zusätzliche Lösungsansätze, die Seitenbetreiber rechtlich absichern sollen, sind

  • entsprechende Hinweise in der Datenschutzerklärung auf der eigenen Seite, in der die User erfahren können, dass und welche Daten von ihnen erhoben werden (über Social Networks, Statistik Tools etc.)
  • sog. "Shariffs", durch die Social Plugins erst aktiviert werden, wenn der Nutzer bewusst auf diese klickt - eine Lösung, die vom Computermagazin c’t entwickelt wurde und das 2-Klick-System weiterentwickelt, indem es eine "impulsivere" und auf die Dynamik des Netzes besser zugeschnittene Teilung von Inhalten ermöglicht
  • eigene Sharing-Buttons mit einfachen Links zu programmieren
  • die Anonymisierung von IP-Adressen durch eine entsprechende Programmierung im Analytics-Code
  • Diskussionen und Call-to-Actions durch einen entsprechenden Link direkt auf Facebook oder andere Netzwerke auszulagern, anstatt sie auf der eigenen Seite zu leisten und so eine datenverbundene Querverbindung zuzulassen.


Weblinks

  1. https://t3n.de/news/schutz-vor-social-plugin-abmahnungen-697470/ (zuletzt abgerufen am 04.08.2018)
  2. https://allfacebook.de/policy/lg-duesseldorf-like-button-und-social-plugins-sind-rechtswidrig-faq-zum-urteil (zuletzt abgerufen am 04.08.2018)
  3. https://www.datenschutzbeauftragter-info.de/lg-duesseldorf-facebook-like-button-ist-wettbewerbswidrig/ (zuletzt abgerufen am 06.08.2018)
  4. https://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html (zum 2-Klick-System, zuletzt abgerufen am 06.08.2018)
  5. https://www.heise.de/ct/ausgabe/2014-26-Social-Media-Buttons-datenschutzkonform-nutzen-2463330.html (zum System des "Shariffs", zuletzt abgerufen am 06.08.2018)