Einbinden externer Plugins/Inhalte in Blogs
Da man beim Einbinden von Inhalten und Plugins externer Seiten immer etwas aufpassen muss, dachte ich mal ich verfasse einen Post dazu. Denn traurigerweise verstoßen viele Blogger ungewollt gegen deutsche Datenschutzgesetze.
Baut ein Plugin oder ähnliches auf einer externen Seite auf, so bindet dieses nur einen Container ein, die eigentlichen Daten werden beim Aufruf der Seite vom externen Server geladen und Code wird dort ausgeführt. Auf diese Weise bekommt diese externe Seite immer Daten darüber, wer wann genau die Seite aufgerufen hat. Und das ohne, dass überhaupt mit dem Container auf der Blogseite interagiert wurde. Wenn ein unvorsichtiger Surfer vielleicht auch noch einen Cookie gesetzt hat, dann kann die externe Seite diese Daten ganz leicht in ihren sozialen Graphen einordnen. Das bedeutet, die externe Seite bekommt immer Daten, obwohl der Surfer gar nicht direkt auf dieser unterwegs ist. Abgesehen davon, dass der User das vielleicht gar nicht möchte, entspricht es auch nicht deutschen Datenschutzgesetzen Daten ohne explizite Einwilligung des Users an Dritte z.B. Google oder Facebook weiterzugeben. Natürlich bezieht sich das nicht auf beliebige Daten, sondern nur auf personenbezogene, das sind Daten mit denen man Rückschlüsse auf Personen oder deren Identität ziehen kann.
Das bekannteste solcher Probleme ist das Like-Button-Problem. Genau der überall genutzte Like-Button verstößt gegen deutsche Datenschutzgesetze, weil auch dieser ohne Usereinwilligung Daten an Dritte weitergibt und das, ohne überhaupt geklickt worden zu sein.
Wann passiert das?
Immer dann, wenn jemand etwas über einen Tag, iFrame, Shortcode oder Sonstigem auf seiner Seite einbindet. Beispielsweise Kartentools von Google-Maps, Youtube-Videos, direkte Like-Buttons, Facebook-Elemene, andere HTML-Tags. Problematisch sind hier nicht die Leute, die den Like-Button usw. benutzen, denn diese interagieren ja mit der externen Seite. Es werden aber auch Daten von Leuten gesammelt, die nicht mit dem entsprechenden Element tun und genau das ist das Problem. Einfache Links sind absolut unproblematisch.
Was kann man dagegen machen?
Die einfachste Möglichkeit ist nichts einzubinden, sondern alles selbst zu hosten. Holt euch die Bilder nicht über Links, sondern speichert sie selbst. Doch durch diese Möglichkeit ist man schon sehr eingeschränkt.
Man könnte auch bei Besuch der Seite immer auf das Impressum umleiten, denn dort sollte ja ein Hinweis auf die Verlinkungen und Einbindungen externer Seiten sein. Das ist aber vor allem für den Leser total umständlich und macht die Seite sehr unattraktiv.
Manche Anbieter bieten mehrere Einschränkungsmöglichkeiten, z.B. nutze ich beim Einbinden eines Youtube Videos immer den erweiterten Datenschutzmodus, der erst Daten sammelt, wenn das Video tatsächlich angeschaut wird, das ist rechtlich auch in Ordnung.
Die sogenannte 2-Klick-Lösung von Heise ist auch sehr beliebt. Hier wird beim ersten Klick der Like-Button oder ähnliches aktiviert und dann erst tatsächlich geliked.
Eine weitere gute Möglichkeit ist sich einfach zu informieren, was genau ein Plugin tut und wie man es daran hindern kann, Daten zu sammeln oder anzufragen. Das ist aber im Einzelfall sehr verschieden.
Nochmal ganz grob zusammengefasst: Alles in unbedenklich, wenn man die Einwilligung des Users vor der Weitergabe hat, doch leider gibt es noch keine wirklich bequeme Lösung um dies auch in jedem Anwendungsfall sicherzustellen.
Ich versuche so viel wie möglich selbst zu hosten, auf alternative Plugins ohne externe Seiten zurückzugreifen und bei meinen Youtube-Einbindungen benutze ich den erweiterten Datenschutzmodus.
Ich hoffe ich konnte etwas Licht in dieses noch viel zu unbekannte Thema bringen, nur weil viele Leute diese Technik nutzen, heißt es nicht, diese auch rechtskonform ist. Also immer nachhaken.
Don’t Panic!
