Facebook Plug-Ins datenschutzkonform in Contao einbinden

Das LG Düsseldorf hat entschieden, dass die Einbindung von Facebook-Buttons, Like-Boxen usw. nicht den geltenden Datenschutzbestimmungen entspricht. Das Plug-In übermittelt nämlich Daten über das Surfverhalten des Nutzers an Facebook, ohne dass überhaupt klar ist, was mit den Daten passiert. Da dies bereits mit Aufrufen der Seite passiert, ist es weder möglich, diese Datenübermittlung im Vorfeld zu erkennen, noch sie zu unterbinden. Eine möglicher Workaround dafür ist die sog. Zwei-Klick-Lösung: Die Elemente werden erst nach erneuter Bestätigung durch den Nutzer geladen und bleiben ansonsten inaktiv. Auch bei dieser Umsetzung ließe sich streiten, ob mit Blick auf die fehlende Transparenz überhaupt eine informierte Einwilligung möglich ist; dies stellt jedoch die Plug-Ins insgesamt in Frage. Als Webdesigner möchte ich mich im Folgenden daher mit dem Workaround beschäftigen und beschreiben, wie Facebook Plug-Ins datenschutzkonform in Contao eingebunden werden können.

1. Um ein Plug-In zu nutzen, können die entsprechenden Codeschnipsel direkt via Facebook erzeugt werden. Für das folgende Beispiel werde ich das Page-Plugin nutzen: https://developers.facebook.com/docs/plugins/page-plugin. Die Codeschnippsel bereiten wir vor und legen sie für die folgenden Schritte bei Seite.

2. Zunächst gehen wir ins Contao Backend und legen ein neues Modul an (eigenes HTML-Modul). In dieses Modul kopieren wir den include-Code, der uns von Facebook vorgegeben wird. In meinem Fall sieht das dann so aus:

3. Als nächstes legen wir ein neues Seitenlayout an, ich habe es Facebook genannt. Dort fügen wir in der Hauptspalte das eben erstellte Modul ein. Die üblichen Stylesheets unserer sonstigen Webseite laden wir nicht; wir wollen eine leere Seite, in der lediglich das Plugin liegt. Bei eigener Javascript-Code fügen wir die Javascript-SDK von Facebook ein:

4. Wir haben nun also ein Seitentemplate und ein Modul erstellt. Als nächstes gehen wir in die Seitenstruktur und legen eine neue Seite an, ich nenne sie in meinem Beispiel Facebook. Bei den Layout-Einstellungen stellen wir das zuvor angelegte Layout „Facebook“ ein. Wenn ihr jetzt die Seite aufruft, sollte die Like-Box angezeigt werden. Ich verzichte an dieser Stelle darauf den Link zu posten, damit ich mir nicht die hier erklärte Zwei-Klick-Lösung selber aushebele. 😉

5. Nun legen wir ein weiteres HTML-Modul an, in dem wir die Zwei-Klick-Lösung integrieren, die später auf unsere Webseite soll. Bei dem iframe in Zeile 5 muss die URL bzw. Seiten-ID (kann in der Seitenstruktur von Contao eingesehen werden, indem man mit der Maus über eine Seite fährt)  der zuvor erstellten Seite mit der Like-Box drin eingefügt werden. Unten folgt dann ein Text, der den Nutzer vor den Folgen seiner Entscheidung warnt. Bitte dabei beachten, dass <script> und <iframe> in den Contao-Einstellungen ggf. erst freigegeben werden müssen, um nicht aus dem HTML-Modul entfernt zu werden. Bei mir sieht das z.B. so aus:

6. Dieses Modul können wir nun an beliebiger Stelle in unsere Contao Webseite einbinden. Das fertige Ergebnis kann dann so aussehen: http://jst-media.de/facebook-2click.html – die optischen Anpassungen aus meinem Beispiel gibts im nächsten Punkt.

7. Zu guter letzt passen wir die Optik noch etwas an. Ich habe dazu einen Screenshot des Plug-Ins gemacht und mit einem transparenten Layer überzogen, der als Hintergrundgrafik dient. Daraus ergibt sich folgendes CSS:

 

 

Ich hoffe, das Tutorial ist hilfreich. Falls ja würde ich mich – in diesem Fall ganz besonders – über ein Like im frisch erstellten Page-Plugin freuen.

Selbstverständlich lässt sich das Tutorial auch mit einem Like-Button umsetzen, dann müssen nur die Code-Schnipsel und das css entsprechend angepasst werden.

Die oben genannte Umsetzung einer 2-Klick-Lösung soll lediglich als Denkansatz dienen. Die Rechtslage in diesem Feld ist sehr komplex, und ich möchte ausdrücklich nicht für mich beanspruchen, hiermit eine Lösung zu präsentieren, die sämtlichen rechtlichen Bedenken standhalten kann. Wer auf Nummer sicher gehen will, kann auh einfach „normal“ auf seine Facebook-Seite verlinken und das z.B. mi einem Icon etwas aufhübschen.

Abmahnung trotz korrekter Urhebernennung bei Fotolia-Bildern

Zuletzt war bekannt geworden, dass ein Fotograf, der seine Bilder bei Fotolia zur Verfügung gestellt hatte, Endnutzer, die Bilder des Fotografen auf ihrer Webseite eingebunden haben, trotz AGB-konformer Urhebernennung abgemahnt wurden. Grundsätzlich sind Fotolia-Nutzer verpflichtet, den Name des Fotografen und Fotolia als Quelle im Impressum zu nennen. Dies ist dem Fotografen offenbar jedoch nicht genug: Laut RA Plutte wurden nun von der Kanzlei Pixel.Law Abmahnungen verschickt.

Als Webdesigner, Jurist und Hobby-Fotograf möchte ich gerne alle Seiten beleuchten.

Der Fotograf hat verständlicherweise ein Interesse daran, dass seine Rechte respektiert werden. Dazu gehört unter anderem § 13 UrhG: Der Urheber hat demnach das Recht auf Anerkennung seiner Urheberschaft und kann darüber bestimmen, ob das Werk mit einer Urheberbezeichnung zu versehen ist. Das Urheberpersönlichkeitsrecht ist nicht übertragbar, kann also z.B. nicht an Fotolia abgetreten werden. Im Resultat ist das Recht auf Namenennung eines der wenigen Rechte, die tatsächlich beim Fotografen verbleiben. Dies Rechte wahrzunehmen sehe ich grundsätzlich als nicht verwerflich an, wobei die Abmahnungen des besagten Fotografen insgesamt den faden Beigeschmack haben, das es eher um das Geld geht, also um das bloße Wahrnehmen der Rechte.

Die rechtliche Situation insgesamt wurde u.a. von RA Schwenke ausführlich und gut analysisiert. Ich werde mich an dieser Stelle daher darauf konzentrieren, das Problem kurz zu erläutern: Werden mehrere Bilder von Fotolia verwendet, lässt sich nicht klar zuordnen, welcher Urheberhinweis zu welchem Bild gehört. Dies wird seitens der Abmahnkanzlei kritisiert und ist die Grundlage für die Abmahnung. Sollte sich dieser Standpunkt durchsetzen, wären nicht nur die AGB von Fotolia rechtswidrig, sondern es würden massenhafte Abmahnungen drohen. Aus meiner Sicht sprechen aber viele Argumennte dafür, dass die Abmahnungen sich in dieser Form nicht durchsetzen werden.

Als Webdesigner wollen Abmahnungen natürlich um jeden Preis vermieden werden. Die wohl sicherste Möglichkeit wäre, den Urheberhinweis direkt in das Bild einzufügen. Das mag bei einem full-hd Hintergrundbild vielleicht weniger stören, aber sobald die Bilder kleiner werden und der Urheberhinweis proportional mehr Platz einnimmt, empfinde ich das optisch als ziemlich störend. Davon abgesehen sind selbst völlig abwegige Abmahnungen zunächt ein Ärgernis, um das sich gekümmert werden muss. Webdesigner stehen daher vor der Herausforderung, eine Lösung zu finden, die möglichst keine Angriffsfläche bietet, aber auch praktikabel ist.
Ich habe für mich nun den Weg gewählt, im Impressum direkt eine Zuordnung der Bilder zu den Urhebern zu ermöglichen, indem ich kleine Thumbnails oberhalb des jeweiligen Hinweises eingefügt habe. Da die Notwendigkeit, die Urheberkennzeichnung direkt im Bild bereits vom OLG Köln verneint wurde und eine Zuordnung so problemlos möglich ist, dürften sich hieraus keinerlei Risiken ergeben.

Fotolia-Bilder für Kunden bei Facebook verwenden

Stock-Photos erfreuen sich bei Webdesignern und Kunden hoher Beliebtheit, bieten sie doch einen relativ preiswerten Weg, um an qualitativ hochwertige Bilder zu kommen, mit denen Inhalte untermalt und ein professioneller Eindruck vermittelt werden kann. Bei einem meiner Projekte stellte sich die Frage, ob ein Bild, das ich zuvor für den Kunden bei Fotolia gekauft hatte, auch auf der Facebook-Seite verwendet werden kann. Die Situation ist hier m.E. alles andere als eindeutig, da in den AGB bzw. den FAQ zwar Erklärungen zur Nutzung in sozialen Netzwerken und für Auftragsarbeiten zu finden sind, nicht jedoch für eine Verbindung beider Elemente.

Um die Problematik zu verstehen, zunächst einige Worte zur Konstellation zwischen Fotolia, Webdesigner und Kunden: Durch den Kauf von Bildern bei Fotolia werden die Nutzungsrechte an den Bildern gegenüber dem Accountinhaber eingeräumt. Es gibt daher zwei denkbare Konstellationen: Entweder laufen die Bilder über den Account des Kunden, oder über den des Webdesigners. Kauft der Kunde die Bilder, kann der Webdesigner diese im Kundenauftrag auf der Webseite einbinden. Werden die Bilder umgekehrt vom Webdesigner gekauft, ist die rechtliche Situation etwas komplizierter: Ein Weiterverkauf der Bilder ist laut AGB verboten; um aber trotdem Kundenaufträge zu ermöglichen, wird stattdessen auf die Webseite als Gesamtwerk (das die Bilder enthält) abgestellt, an dem dem Kunden dann ein Nutzungsrecht eingeräumt wird. Eine genauere Erklärung dazu gibt es hier. Daraus resultiert, dass der Kunde das Bild nicht anderweitig nutzen darf, sondern immer auf vom Webdesigner als Rechteinhaber erstellte Gesamtwerke zurück greifen muss.

Das Kernelement dieses Konstrukts ist also, dass der Webdesigner die Möglichkeit hat, Rechte an einem eigenen Werk, das das Bild enthält, weiter zu geben. Damit für den Webdesigner ein Urheberrecht entsteht, muss das Werk eine ausreichende Schöpfungshöhe erreichen. Laut BGH ist dafür erforderlich, dass von einer „künstlerischen Leistung“ ausgegangen werden kann. Auf Webseiten, die in vielfältiger Weise gestaltet werden können, dürfte das noch relativ unproblematisch zutreffen. Eine Facebook-Seite hingegen bietet kaum Platz für Gestaltung: Es kann lediglich ein Profilbild und ein Hintergrundbild hochgeladen werden. Eine „künstlerische Leistung“ nur durch das hochladen eines Bildes scheint durchaus fraglich.

Um auf Nummer sicher zu gehen, habe ich mich an den Fotolia-Support gewandt und wurde in meiner Vermutung bestätigt: Fotolia-Bilder, die von einem Webdesigner gekauft wurden, dürfen nicht auf der Facebook-Seite eines Kunden verwendet werden. Für eine Nutzung in sozialen Netzwerken muss der Endnutzer auch der Rechteinhaber sein, nicht jedoch ein dazwischen geschalteter Webdesigner. Der Kunde muss das Bild daher selbst kaufen (alternativ kann allerdings auch ein Sub-Account für den Kunden angelegt werden).

Der Vollständigkeit halber sei noch erwähnt, dass die Nutzung in sozialen Netzwerken besonderen Bedingungen unterliegen: Die Urheberkennzeichnung muss hier direkt im Bild erfolgen, und das Bild darf nicht größer als 1000px sein.

Piwik datenschutzkonform einbinden

Analysetools wie Google Analytics oder Piwik sind im Trend und auf vielen Webseiten eingebunden. Problematisch ist allerdings, dass offenbar weder Seitenbetreiber noch Webmaster bzw. Webdesigner genauere Kenntnisse darüber haben, wie eine datenschutzkonforme Einbindung erfolgen muss. So ist beispielsweise die bloße Anonymisierung der IP-Adressen nicht ausreichend. Hinzu kommt, dass auch wegen einer fehlenden oder fehlerhaften Datenschutzerklärung eine Abhmanung erfolgen kann.

Für die Nutzung von Webanalysetools hat der Düsseldorfer Kreis bereits im Jahr 2009 konkrete Vorgaben ausformuliert, konkret folgendes:

  • Dem Besucher muss der Widerspruch ermöglicht werden
  • Pseudonymisierte Daten müssen pseudonymisiert bleiben und gelöscht werden, wenn nicht mehr benötigt
  • In der Datenschutzerklärung muss ausdrücklich auf die Verwendung von Analyse-Tools hingewiesen werden
  • Ohne ausdrückliche Einwilligung dürfen keine vollständigen IP-Adressen verarbeitet werden
  • Erfolgt die Analyse nicht auf dem eigenen Webserver, müssen die Vorschriften der Auftragsdatenverarbeitung eingehalten werden

Bevor es jedoch an die Umsetzung geht, muss die wichtigste Entscheidung getroffen werden: Google Analytics oder Piwik? Bei mir fiel die Entscheidung auf Piwik, sowohl aus politischen als auch als pragmatischen Gründen: Zunächst einmal ist Piwik Open-Source, also kostenfrei verfügbar und – jedenfalls im Gegensatz zu Google Analytics – relativ unabhängig. Auch vom Funktionsumfang her ist Piwik für die allermeisten Projekte ausreichend. Viel wichtiger aber noch: Die Daten liegen ausschließlich bei mir, was wiederum die Anforderungen an eine Auftragsdatenverarbeitung entfallen lässt. Diese ist in § 11 BDSG geregelt und besagt unter anderem, dass entsprechende Verträge schriftlich zu schließen sind. Will heißen: Nutzer [nbsp]von Google Analytics müssten einen schriftlichen Vertrag mit Google abschließen. Es gibt dafür einen Mustervertrag, der an die Zentrale in Irland gesendet werden muss. Einigen Nutzerberichten im Internet zufolge kann es hierbei wohl zu größeren Verzögerungen kommen; da ich selber das Problem durch Piwik umgangen habe, kann ich das aber weder bestätigen noch widerlegen.

Die Erfordernis entfällt natürlich nur, wenn Piwik von der selben Person betrieben wird wie die Webseite. Wird z.B. die Piwik-Installation eines Webdesigners genutzt, müsste ein Vertrag zur Auftragsdatenverarbeitung geschlossen werden.

Nach diesem anfänglichen Erwägungen geht es nun also um die datenchutzkonforme Einbindung von Piwik, in meinem Fall in das Content-Management-System Contao. Dafür ist wie folgt vorzugehen:

  1. Zunächst sind beide Systeme zu installieren
  2. In Piwik oben rechts auf „Administration“ klicken, dann links auf Privatsphäre
  3. Die Anonymisierung der IP-Adressen aktivieren
  4. Auf der selben Seite etwas runter scrollen; dort findet[nbsp]sich unter „Piwik-Deaktivierung für Ihre Besucher“ ein iframe, der in die Datenschutzerklärung einzufügen ist. Das ist wichtig, weil dem Benutzer nur so eine Wahrnehmung des gesetzlich erforderlichen Widerspruchs möglich ist!
  5. In der Datenschutzerklärung muss auf die Nutzung von Piwik hingewiesen werden, ein Muster gibt es z.B. hier.
  6. Sodann kann im Seiten-Layout der Piwik-Tracking-Code eingebunden werden. dazu muss in Piwik auf Administration/Webseiten geklickt werden. Der Tracking-Code kann dort angezeigt werden.
  7. Dieser Code wird im Seitenlayout unter „Eigener Javascript-Code“ eingefügt

Und schon läuft Piwik.[nbsp]

Zu beachten wäre jetzt noch, dass Piwik für das Tracking Cookies setzt. Auch hier ist die Rechstlage nicht gänzlich sicher. Für Contao-Nutzer könnte hier z.B. die Cookiebar interessant sein.