[FRAGE] Facebook-Nutzer durch FB-Plugins identifizierbar?

[Darry]

Hi.

Angenommen, man baut auf seiner Seite Facebook Plugins ein, wie z.B. den "Like Button", oder den "Social Login".
Nun kommt ein Webseitenbesucher, der bei FB angemeldet ist.
Kann der Webseitenbetreiber nun irgendetwas über den Besucher herausfinden, bekommt er irgendwelche Informationen von Facebook, auch wenn der User das Social Login oder den Like Button nicht aktiv benutzt hat?

Sprich: Kann ein Webseitenbetreiber durch das Einbinden von Facebook "mal eben einfach so" etwas über den besucher erfahren bzw diesen identifizieren?
Oder erfährt lediglich Facebook, auf welcher Seite man sich befindet, da ja der Like Button für FB auch wie eine Art Tracker ist?

 

[kkapsner]

Kann ein Webseitenbetreiber durch das Einbinden von Facebook "mal eben einfach so" etwas über den besucher erfahren bzw diesen identifizieren?

Das kommt darauf an, wie die Anbindung gebaut ist. Wenn die FB-JS-API eingebunden ist, kann der Besucher eindeutig identifiziert werden: https://developers.facebook.com/docs/javascript/reference/FB.api/

 

[SteelWheel]

Lass Dich nicht erwischen ...

 

[Darry]

Hi.

Ich hab nicht vor, irgendwen auszuspionieren. Sondern es interessiert mich grundsätzlich, ob ein aktiver FB Login eventuell dazu führt, dass man eindeutig, eventuell sogar mit Realname, identifizierbar ist.

 

[kkapsner]

ob ein aktiver FB Login eventuell dazu führt, dass man eindeutig, eventuell sogar mit Realname, identifizierbar ist.

Ja, das führt dazu - das ist ja das Geschäftsmodell von FB.

 

[jeko]

Hallo Darry

ich bin ziemlich sicher, dass das nicht geht, da du zum benutzen der FB API afaik ein Access Token brauchst - und das codiert deine Möglichkeiten, Daten über "anderen" Nutzer zu lesen. Also wird der /me-Endpunkt wahrscheinlich nichts zurückliefern, wenn das App Access Token, das du zum Abfragen benutzt, keine Rechte auf dem eingeloggten User hat.

Um deine Frage abschliessend zu beantworten: Nein, eigentlich sollte das nicht möglich sein. Ausser du hast der App explizit die Rechte eingeräumt deine Profildaten zu lesen.

Grüsse

Dominique

 

[kkapsner]

Soweit ich weiß, gehört der Klarname immer zu den öffentlichen Daten, die jeder einsehen kann... kann sich aber auch geändert haben - verwende das nicht.

 

[Darry]

Ich hab mich mal ein bisschen mit dem FB JS Api auseinander gesetzt. Das Access Token bekommt man relativ leicht über Facebook. Man muss da eine App anlegen, dann wird ein Token generiert, was man nehmen kann.

Wenn man den FB Login nutzt, und als User auch abnickt, bekommt der Webseitenbetreiber relativ viel mitgeteilt.

In wie weit man über irgendwelche Hintertüren wie Social Plugin für Likes/Shares und Kommentare trotzdem den Realnamen auslesen kann, ohne dass der User das Plugin aktiv benutzt (Also z.B. liked), habe ich noch nicht genau raus.

 

[SteelWheel]

Ich hab nicht vor, irgendwen auszuspionieren. Sondern es interessiert mich grundsätzlich, ob ein aktiver FB Login eventuell dazu führt, dass man eindeutig, eventuell sogar mit Realname, identifizierbar ist.

Du hast Kontakt aufgrund Nichtzuständigkeit (sowie fehlender Auftrag einer entsprechenden Behörde) mit dem Datenschutzgesetz (da: persönliche Daten). Das ist ein Verstoß gegen geltendes Recht und genau davor habe ich Dich gewarnt mit den Worten "lass dich nicht erwischen". Unwissenheit hilft dann nicht weiter - und für "ob das geht" würde ich sowas mit Sicherheit nicht in ein Live-Szenario einbinden.

 

[kkapsner]

Du hast Kontakt aufgrund Nichtzuständigkeit (sowie fehlender Auftrag einer entsprechenden Behörde) mit dem Datenschutzgesetz (da: persönliche Daten). Das ist ein Verstoß gegen geltendes Recht

Woher hast du das? Ich darf mich mit jedem beliebigen Gesetz beschäftigen, wann immer ich will. Gegen welches Gesetz sollte das verstoßen?

 

[Darry]

Wenn man es genau nimmt, ist schon das Einbinden des FB Like oder Share Buttons bzw das Einbinden des Logins per FB JS Api nicht konform mit dem deutschen Datenschutzrecht.
Das Script wird normalerweise direkt von FB eingebunden und landet als Iframe auf der eigenen Webseite.
Dadurch wird in dem Moment, wo die Webseite aufgerufen wird, schon etwas an Facebook übertragen.

Es gibt aber Wege, es Datenschutzkonform hinzubekommen. In dem man es als Links realisiert bzw es Serverseitig macht. (z.B. die Zahl der Likes über den Server auslesen und selbst anzeigen, statt den FB Iframe zu nutzen)

Ich will bei meiner Seite auch eine Facebook Integration hinbasteln, weil FB halt unglaublich groß ist und man damit eine Menge Leute erreicht.
Idealerweise will ich eine FB Gruppe oder FB Seite mit meiner Seite verkoppeln. Als "einfacher Schnelleinstieg" So ne FB Seite bzw Gruppe ist für den User halt schnell mal "nebenbei" angeklickt. Und ich möchte auch den FB Login auf meiner Seite einbauen, damit die Leute sich nicht separat bei mir anmelden müssen, sondern einen bequemen Weg nehmen können.
Deswegen interessiere ich mich dafür.

Bei meiner "App" sind mir die persönlichen Daten der User aber egal, hauptsache es finden Leute den Weg auf meine Seite. Ich bräuchte noch nicht mal den Realnamen der Personen. Den bekommt man aber zwangsläufig mit wenn man in irgeneiner Weise mit der FB Integration arbeitet. Aber man muss ihn ja nicht speichern / Verarbeiten.
Wichtig an der ganzen Sache mit FB ist für mich nur die geringe "Einstiegshürde" für potentielle User und die große Reichweite von Facebook innerhalb der Zielgruppe.


Je mehr ich mich aber mit dem Thema Facebook Integration befasse, desto mehr Angst und Bange wird mir selber aber auch, wenn ich selbst im Internet unterwegs bin.
So von Wegen: Ist es wirklich so gut, immer bei FB angemeldet zu sein? Oder doch lieber wenigstens ausloggen wenn man es nicht aktiv nutzt.


Für mich ist FB also sozusagen ein Fluch und ein Segen zugleich. Eine riesen Chance, um später meine Seite bekannt zu machen und Nutzer anzulocken. Auf der anderen Seite aber gibt es mir aber selbst zu denken, wenn ich es aus meiner Usersicht betrachte.

 

[SteelWheel]

Also eines nach dem anderen:

Die blanke, blinde Einbindung und Verwendung der FB API ist ein totaler Verstoß gegen die Datenschutzbestimmung (DSB) sowie zugehöriger Randnotizen und Nebenurteile. Grund: Unbedarfte User mit aktivem Login hinterlassen somit ein Profil und geben preis, was diese im Internet so treiben. Ich erwarte hier aber ehrlich gesagt nochmal was. Stand Jetzt scheint weiterhin das LG Düsseldorf das letzte Wort hierzu gehabt zu haben.

Bei Wordpress wird weiterhin wohl Shariff empfohlen - ein fertiges Plugin ... Empfehlung generell wären hier.

Ja, Du darfst natürlich diese API verwenden, ABER: Die dringende Empfehlung lautet, dass der User a) darüber informiert wird und b) sich diese Verbindung erst mit seiner Bestätigung aufbaut. Weiterhin muss er in der Lage sein, diese Zusage wieder zu widerrufen (ähnlich der Cookie-Richtlinie und warum derzeit so viele Seiten mit "wir nutzen hier Cookies" beim Besuch gut sichtbar auf ihre User losgehen). Hat der User zugestimmt, muss er sich mit seiner Facebook-Zusage auseinander setzen, da FB regelt, was publik gemacht wird von ihm und was nicht. Empfehlung: Klare Ansage in der eigenen Datenschutzerklärung, was vom User gespeichert wird (was aus FB kommt; ähnlich "Log-Files").

Das gilt auch für das Facebook Pixel, wenn Du geschaltete Werbung auf Facebook messen willst (ROI bspw.).

Ergo: Alles, was mit den Kraken und Menschen zu tun hat, hast Du erst anzufragen, ob das genehmigt wird seitens Besucher. Alles davor ist die erwähnte "lass dich nicht erwischen" Definition.

@kkapsner: Ich hatte einen ausgiebigen Dialog mit einem exzellenten Medien-Anwalt aus Darmstadt. Bei mir ist hängen geblieben, dass Du nicht einfach Sammeln von personenbezogenen Daten beginnen kannst; irgendwas mit übergeordneter Stelle oder im Bundesauftrag (bspw. Ermittlungsbehörden) etc. Ich versuche das nochmal zu sortieren ... aber das hier ist schon grob die Richtung. Brauchst Du das für die Auftragsausführung (bspw. Lieferadresse) ist das verständlich - aber grundloses Sammeln von Besucherdaten (wie hier im Thread mit Klarnamen etc.) ist 'ne Schelle!

 

[kkapsner]

dass Du nicht einfach Sammeln von personenbezogenen Daten beginnen kannst

Ok - dann haben wir uns wohl missverstanden. Dass man das nicht darf ist mir klar und bewusst.
Ich hatte das so verstanden, dass du meinst, dass man sich nicht mit dem Datenschutzgesetzt beschäftigen darf...

 

[Darry]

Moin.
Ja das deutsche Datenschutzrecht ist ziemlich scharf, teilweise aber auch zurecht.
Ich würde auf meiner Landing Page ohnehin auf die Direkteinbindung von sozialen Plugins verzichten.
Ich würde es Serverseitig abfragen (Zahl der Likes etc), und das Teilen/Sharen als statische URL einbinden. Das geht ja problemlos. Lösungen wie Shariff verfolgen einen ähnlichen Weg.
Damit kann man die Datensammelwut von FB auch etwas begrenzen.

Den FB Login würde ich ebenfalls nicht direkt mit der FB JS Api auf die Landing Page knallen. Auch das kann man als statischen Link realisieren, so dass das bloße Anzeigen des Buttons noch keine Daten an FB sendet.

Ansonsten würde ich sowieso alles daran setzen, dass die Leute möglichst einen Lokalen Login nutzen. Wenn jemand über FB kommt, kann er sich trotzdem einen Nickname und ein Passwort vergeben und ein lokaler Account wird erzeugt. Außerdem: Facebook Login wäre nicht verpflichtend, man kann sich auch normal mit einer eMail Adresse registrieren.

Ich würde auch keine Webseite bzw App machen, die nur über FB erreichbar ist. Das stört mich bei vielen FB Spielen ja selbst.

Aber die gigantische Reichweite von FB ist einfach so, dass eine FB Anbindung auch eine große Chance für eine neue Webseite ist.

 

[mikdoe]

shariff geht nicht nur in WP: https://github.com/heiseonline/shariff/blob/master/README-de.md

 

[SteelWheel]

Ich hatte das so verstanden, dass du meinst, dass man sich nicht mit dem Datenschutzgesetzt beschäftigen darf...

Wenn man die Arschbombe in die Juristerei derart machen will oder braucht: einfach ignorieren und machen was man will.

Hab hier noch was sehr Informatives (gilt vllt. nur für Niedersachsen; vielleicht auch für mehr): Landesbeauftragte für Datenschutz Niedersachsen - wichtigster Satz daraus: "Zum gegenwärtigen Zeitpunkt ist daher eine datenschutzrechtlich beanstandungsfreie Einbindung von Google Analytics durch Webseitenbetreiber in Niedersachsen nicht möglich."

Checkt mal eure Bundesländer!

 

[mikdoe]

"Zum gegenwärtigen Zeitpunkt ist daher eine datenschutzrechtlich beanstandungsfreie Einbindung von Google Analytics durch Webseitenbetreiber in Niedersachsen nicht möglich."

besser gleich https://piwik.org/ benutzen!

 

[SteelWheel]

Nur bedingt, Mik. So kann mein SEO-Flaggschiff (Software) keine Schnittstelle von Piwik ansprechen, um die Daten für Analysen etc. in Projekten zu integrieren (bspw. Besucherzahlen; mein Reporting wird wieder aufgebrochen auf mehrere Lösungen - quasi dezentralisiert). Aber ich gebe das mal als Vorschlag weiter ... Integration sieht easy aus, aber das müssen die Coder entscheiden.

Verstoß wäre bei Piwik übrigens auch möglich. Explizit dann, wenn Du cloud-hosted Piwik wählst (da das eigene Webpäckchen zu klein ist für noch mehr Last) ... aus den ToS geht nicht hervor, wo die Daten physisch abgelegt werden ... und: ein Standort mit "USA" ist auch dabei. Ansonsten hätte ich hier meine Schwierigkeiten - da kenne ich mich gar nicht aus: "If there is any dispute arising out of the Services, by using the Services, you expressly agree that any such dispute shall be governed by the laws of the Republic of Poland."

 

[mikdoe]

in der neuesten website boosting #39 beginnt gerade eine dreiteilige reihe zu piwik.
datenbank kann gehostet werden wo/wie man will. ds probleme nur bei falscher konfig, sonst konform.

 

[SteelWheel]

Wie erwähnt: "nur bedingt" bzw. "möglich".

Vorschlag zur Integration von Piwik habe ich eingereicht ... Ticketnummer ole ole. ... also mal abwarten.