Kleine Datenkraken: Social Bookmarking Buttons

Schnell mal Problembewusstsein schaffen: Wer auf Google Analytics verzichtet, aber weiterhin Social Bookmarking Buttons a’la „AddThis“ oder „AddToAny“ in seine Homepage einbaut, hat bzgl. BDSG-Konformität leider noch nicht viel gewonnen.


Was war nochmal das Problem mit Google Analytics? Dass IP-Adressen (als personalisierte Daten) gesammelt und darüber hinaus auch noch an Dritte außerhalb europäischer Jurisdiktion herausgegeben werden. Das lässt sich nur verhindern, indem man als Website-Betreiber Google Analytics von der Website verbannt und fortan Web Analytics gar nicht mehr oder zumindest lokal und nur mit anonymisierter IP-Adresse betreibt.

Was ist aber mit diesen allüberall im Web anzutreffenden, superpraktischen „Bookmark“-Buttons?

Ein kurzer Abriss für diejenigen, die überhaupt nicht wissen, wozu die Dinger gut sind: In der Steinzeit des Internets sammelte man seine Bookmarks auf dem eigenen Computer und freute sich über seine virtuelle Schatztruhe an spannenden Websites. Natürlich konnte man eine URL mit dem Hinweis „… musst Du Dir unbedingt ansehen!“ per E-Mail an Freunde weiterschicken, aber das war uncool. Zu dieser Zeit kamen „Tell-A-Friend“-Buttons in Briefumschlag-Form auf Webseiten auf, mit der man die aktuell betrachtete URL unter Angabe seiner eigenen und einer Ziel-E-Mail-Adresse bequem weiterleiten konnte. Aber das war immer noch unbequem.

Im Web 2.0, in dem sich für jede noch so abstruse Community-Idee sofort tausende Leute zusammenrotten, die das cool finden, kam dann das so genannte „Social Bookmarking“ auf. Dienste wie digg, del.icio.us, Mr. Wong und viele andere mehr dienen einerseits dazu, seine eigenen Bookmarks statt auf dem eigenen Computer immer verfügbar online im Internet zu speichern. In Zusammenhang mit der unvermeidlichen Community-Bildung, in der jeder gefriendete Buddy postwendend über die neuesten Aktivitäten informiert wird, trommelt man durch Hinzufügen eines Online-Bookmarks lesenswerte Surftipps direkt an seinen interessierten Freundeskreis weiter.

Unnötig zu sagen: Twitter, Facebook & Co. machen das, zusätzlich zu den Spezialfeatures des jeweiligen Portals, beim Posten von Web-URLs haargenau so. Und so verwundert es nicht, dass laut aktuellen Studien Facebook mitunter mehr Besucher auf bestimmte Webseiten leitet als der Suchmaschinengigant Google.


Folglich kamen auf Seiten der Webmaster der Wunsch auf, es den Besuchern der eigenen Website so leicht wie möglich machen, die gerade betrachtete Website nicht nur per „Tell-A-Friend“-E-Mail weiterzuleiten, sondern mit so wenigen Mausklicks wie möglich im eigenen Twitter- oder Facebook-Profil zu veröffentlichen. Denn: Die aktuelle URL kopieren, ein neues Browserfenster öffnen, dort zu Twitter navigieren, die URL einkopieren, den Titel der Webseite dazu tippen – das ist viel zu umständlich. Mit Hilfe der APIs der Social Bookmarking-Dienste geht das viel einfacher: Man kann z.B. einen „Add to Twitter“- und/oder „Add to Facebook“-Button auf der Homepage platzieren – dieser erledigt o.a. Handlungsfolge wie von Geisterhand mit nur einem Mausklick. Also: Einen Button für Twitter. Und einen für Facebook. Und einen für Digg. Und einen für del.icio.us. Und … und … und …

Dummerweise weiß man als Website-Betreiber nicht unbedingt, welchen Bookmarking-Dienst die Besucher bevorzugen. Und mitunter ändern sich die APIs. Es ist also ein Hase- und Igel-Rennen, um einerseits so viele derzeit hippe Social Bookmarking-Buttons wie möglich auf der eigenen Website zu versammeln, und andererseits die zugehörigen API-Anbindungen aktuell und funktionstüchtig zu halten.

In diese Bresche springen Anbieter wie die eingangs erwähnten AddThis oder AddToAny – um nur zwei der bekannteren Dienste zu nennen, es gibt derer unzählige. Die Grundidee ist simpel: Statt sich selbst um die ganzen Buttons zu kümmern, bindet man nur einen etwas größeren „AddThis“- oder „Bookmark“-Button ein – und nach Klick darauf öffnet sich ein Auswahlfenster mit den derzeit meistgenutzten Bookmark-Diensten – und Dutzenden anderen, wenn man weiter nach unten scrollt. Das Ganze ist für den Webmaster in wenigen Minuten in die eigene Website eingebettet – und vor allem kostenlos.

Dabei weiß man doch: „Hüte dich vor den Danaern, wenn sie Geschenke bringen.“


Problem dabei: Der Button liegt nicht auf dem eigenen Server, der Besucher holt also unfreiwillig Daten von einem externen Server ab. Das ist erst einmal noch kein Verbrechen – es kommt vor, dass man mal in eine Newsmeldung ein externes Bild einbettet (Obacht: Urheberrechte beachten!).

Jedoch: Sinn der Übung mit dem „Bookmark“-Button ist ja, dass er allgegenwärtig auf jeder einzelnen Seite eingebettet wird – klar, der Besucher soll ihn ja auf jeder Seite sofort anklicken können. Und hier bewegen wir uns aus extrem dünnes Eis: Ähnlich wie ein Web Analytics-Scriptlet, das auf jede einzelne Seite eingebettet wird, gelangt das fremde „Bookmark“-Scriptlet auf jede einzelne eigene Seite. Beim bloßen Laden der „Bookmark“-Grafik liefert der Besucher der eigenen Website also wiederum seine Verkehrsdaten, primär seine IP-Adresse, sekundär allerhand andere Konfigurationsdaten, bei einem wildfremden Dienst ab.

Sicher – wer liest schon Kleingedrucktes. Aber  wer es doch tut, der findet etwa in der Privacy Policy von AddThis folgenden Passus:

In addition, we collect certain information which cannot be used to personally identify any user, and which may be provided to third parties. Such non-personal data ordinarily includes non-identifiable aggregate, summary, usage data, and other behavioral data and may include, by way of example, statistics regarding total users, information regarding types of Internet browsers used by users, and behavioral usage patterns.

Aha  – AddThis betreibt im Hintergrund also Web Analytics – und gibt diese auch an Dritte weiter. Pssst … Bei AddThis kann man sich diese sogar ansehen, wenn man sich die Mühe macht, sich nicht nur ein „Bookmark“-Scriptlet für die eigene Homepage generieren zu lassen, sondern sich zu diesem Zweck einen personalisierten AddThis-Account anlegt.

Weiter im Text – direkt im nächsten Satz steht:

We also collect non-personal data about each user’s IP address to help diagnose problems with our servers, and to administer our website and Services.

Blöd nur, dass IP-Adressen ja laut aktueller Rechtssprechung bereits persönliche Daten sind. – Wohlgemerkt: Wir reden hier noch nicht einmal von den Besuchern, die den „Bookmark“-Button tatsächlich anklicken. Wer auf diese Weise Informationen über sein Surf-Verhalten in Form öffentlicher Bookmarks auf einer Web 2.0-Community preis gibt, der hat bzgl. Datenschutz und Wahrung der eigenen Privatsphäre offensichtlich eine höhere Toleranzschwelle. Betroffen sind in diesem Fall vor allem diejenigen, die mit dem ganzen Social Bookmarking eigentlich überhaupt nichts zu tun haben, aber trotzdem ungefragt und unbewusst Informationen zu ihrem Surf-Verhalten an externe Dienste abgeben.

… AddThis ist hier nur exemplarisch genannt, das Problem besteht nach genauer Ansicht der jeweiligen AGBs ebenfalls bei anderen Social Bookmark-Button-Providern.


Lange Rede, kurzer Sinn:Wer einen Social Bookmark-Button auf seiner Homepage einbaut, der zwingt seine Besucher unbewusst dazu, seine IP zusammen mit den üblichen Web Analytics Daten an den dortigen Provider abzuliefern. Wenn dieser in seinen AGBs zugibt, dass IPs gespeichert werden, am besten noch im außereuropäischen Ausland, dann ist das vor dem Bundesdatenschutzgesetz (BDSG) nichts anderes als die Verwendung von Google Analytics.

… Außer, dass Google viel größer ist und viel mehr Daten aggregieren kann. Insofern sind die Social Bookmark-Button-Provider aus meiner Sicht zwar vergleichsweise kleine, aber unzweifelhaft ebenfalls vielarmige Datenkraken.


UPDATE:

Dank Frank Koehl und seinem Artikel „Free and open source alternative to ShareThis, AddThis, AddToAny“ bin ich auf iBegin Share a/k/a Enthropia Share gekommen. Ähnlich wie beim Wechseln von Google Analytics zu Piwik ist iBegin Share ein OpenSource-Tool, das lokal auf dem eigenen Webserver installiert ist – also nicht irgendwohin „nach Hause telefoniert“.

Es kann Statistiken sammeln, man kann das aber per Mausklick deaktivieren (click!). Und: Ein WordPress-Plugin liegt freundlicherweise auch direkt vor – herrlich, das war einfach! Daher sind hier bei GZB die Share-Buttons nun blau statt orange.

8 Kommentare.

  1. Was ist nun mit diesem wissen von deinem share-button zu halten?

    Wäre es nicht möglich ein OS-projeckt zu haben, das einen button zur verfügung stellt, der aber nur auf den eigenen webspace zugreift?

  2. Der „Share“-Button ist ja ein OpenSource-Projekt – das aber im Falle von API-Änderungen bei den Communities gepflegt und geupdatet werden muss.

    Der Trick an AddThis & Co. ist, dass die Leute sich auf ein geändertes API nur einmal zentral einstellen müssen. Da die eigentliche Abwicklung über das serverzentrale Skript läuft, ist ein Update sofort für alle User ie. Websites verfügbar.

    Ändert aber beispielsweise Facebook sein Link-Posting-API, funktioniert Share spontan auf allen Websites nicht mehr, bis der jeweilige Webmaster ein Update eingespielt hat.

    Der entscheidende Aspekt ist für mich, dass die Abwicklung lokal auf meinem eigenen Server passiert, d.h. dass die Besucher-IP beim reinen Anzeigen des evtl. gar nicht benutzten „AddThis“-Buttons“ nicht unnötig ie. potenziell missbrauchbar (und sei es nur zu Werbezwecken) zu irgendeinem Provider geschickt wird. Das ist mit dem neuen Enthropia Share gegeben.

  3. Tja, da liegt auch direkt das Problem, der „eigene“ Server. Die meisten Homepage-Benutzer nennen selbige ihr „Eigen“ und klicken sich mit den Homepage-Baukästen was nettes Buntes zusammen, ohne sich ueber das, was sie da machen wirklich bewusst zu sein. Das schlimmste Unwissen ist, dass in Zeiten von Web 2.0 eben nicht mehr alles nur auf dem „eigenen“ Server passiert – mal davon abgesehen, dass das eh nur ein Hirngespinst ist bei Pauschal-Homepages -, sondern durch kaum noch nachvollziehbare APIs auf Servern in der ganzen Welt.

    Vielleicht sollte man AddThis und Co. eher in „Dodge This!“ umbenennen, käme der (virtuellen) Realität vielleicht näher…

    • Das ist es ja: API-Geschenke sind kostenlos, aber sicher nicht umsonst. – War mir bei AddThis aber auch nicht so klar.

      Ich habe ja auch nichts dagegen, irgendwo auf einer Kontakt-Seite mal ein Google-Maps-Scriptlet einzubinden. Dann wissen die halt, wie häufig die Kontaktseite aufgerufen wird – egal, Karl. Aber ein auf allen Seiten und Unterseiten präsentes Fremd-API – spätestens da sollte man nachdenklich werden und doch mal tiefer in die fremden AGBs schauen.

  4. Hallo Gero,

    für mich als interessierten Leihen ist das was Du und ihr schildert zwar verständlich, aber letztlich finde ich auch hier im Blog keine punktgenaue Antwort auf die Frage: „was mache ich, wenn ich social bookmarking auf meinen seiten anbieten möchte, ohne von solchen Spion-Diensten oder -Unternehmen gescannt zu werden??“

    Klar mache ich mir Gedanken zu meiner Sicherheit und der aller meiner Internetbesucher, aber hier würde ich als Unwissender gerne einige Tipps oder Anleitungen erbitten.
    Was müsste ich Deiner Meinung nach tun? Wie soll ich genau vorgehen? Welchen Social-Bookmarking-Dienst verwenden? Wie läuft das auf dem eigenen Webserver!
    PS: ich will selbst keine Analytics über meine Besucher betreiben, sondern lediglich ihnen die Chance auf Social Sharing meiner Website bieten….!!!

    Vielen Dank im voraus für eure bzw. Deine Antworten.
    lg
    jason