Facebook trackt irgendwie doch. Nicht. Oder so. (Sagen Sie)

Was bisher geschah:
Das Unabhängige Landeszentrum für Datenschutz (ULD) betont, dass Facebook-Buttons Nutzerverhalten verfolgen (tracken) und gegen deutsches Datenschutzrecht verstoßen. Es will entsprechend juristisch gegen Seiten vorgehen, die die Buttons einbinden. Facebook widerspricht und ist sich keiner Schuld bewusst, Nichtnutzer zu tracken, sondern betont, dies nicht zu tun.

Heise stellt eine Möglichkeit vor, den Facebook-, Google- und Twitter-Buttons so einzubinden, dass sie erst bei Benutzung die jeweiligen Server kontaktieren, und so ein Tracking von Nutzern und Nichtnutzern unterbinden, so lange der Button nicht auch tatsächlich genutzt wird.

Facebook beschwert sich bei heise, weil dies ein Verstoß gegen die AGBs sei und droht mit der Sperrung der App-ID und einem Blacklisting der Domain von heise, so dass diese generell gar nicht mehr über Facebook empfohlen werden kann.

Dem ULD reicht die 2-Klick-Lösung nicht als datenschutzfreundliche Alternative, sie…

geht zweifellos in die richtige Richtung, aber nur den halben Weg: Die Profilbildung bei Facebook lässt sich derart nicht verhindern, wenn man den Plugin nutzen möchte. Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen.

Facebook äußett sich in einem Ausschuss genauer zur Speicherpraxis. Und zwar:

  1. Bei Nicht-Mitgliedern, die noch nie facebook.com aufgerufen haben, erhält Facebook lediglich die IP-Adresse. Nach eigenen Angaben folgt eine Prüfung, ob diese IP-Adresse aus Deutschland kommt. Sollte das der Fall sein, wird sie anonymisiert und dann erst geloggt, Adressen aus allen anderen Ländern landen unanonymisiert in den Log-Dateien.
  2. Hat ein Nicht-Mitglied bereits facebook.com besucht, dann hat es dabei ein „Data-Cookie“ platziert bekommen, dessen Inhalt beim Laden von Like-Buttons ebenfalls übertragen wird. Facebook versichert, dieses Cookie habe keine Tracking-Funktion, sondern beuge „schadhaftem Verhalten“ von Nicht-Mitgliedern vor. „Vor allem hilft uns das Cookie dabei, verdächtige Aktivitäten wie fehlgeschlagene Login-Versuche und die mehrfache Erstellung von Spam-Accounts zu erkennen“, heißt es in der Stellungnahme.
  3. Wenn ein Mitglied, ob angemeldet oder nicht, den Like-Button lädt, erhält Facebook ungleich mehr Informationen: „Wenn solch ein Seitenbesuch stattfindet, zeichnen wir einige der Informationen für eine begrenzte Zeit auf, um damit unseren Service zu verbessern. Dazu zählen: Datum, Zeit, URL und Browsertyp.“ Den Angaben von Facebook zufolge werden gemäß der Richtlinien alle diese Informationen innherhalb von 90 Tagen wieder gelöscht.

Übersetzung: Der Like-Button trackt auch Nichtnutzer für 90 Tage Dauer – und zwar mittels eines Cookies. Die IP wird dabei nicht gespeichert, weil ja das (sehr viel aussagekräftigere, eindeutige) Cookie ausreicht, denn im Cookie werden Informationen gespeichert, die zu einer eindeutigen Identifikation ausreichen. Es sei denn, man hat noch nie Facebook.com besucht.

Damit wird der Vorwurf des ULD ziemlich genau bestätigt. Ansonsten versichert Facebook natürlich, nichts böses mit den Daten anzustellen.

Währenddessen sprießen überall die Facebook-Browser-Plugins aus dem Boden, die eine normale Nutzung ermöglichen, aber ein Tracking unterbinden wollen.

33 Ergänzungen

  1. Was erkenne ich daraus? Jede noch so hippe Funktion meines Browsers habe ich per Plugin deaktiviert. Was mir gerade einfaellt: NoScript, CookieMonster, RefControl, AddBlock, FlashBlock und zu guter letzt wurden alle integrierten CAs entfernt.

    Und Ja, man kann wirklich noch damit surfen!!!

  2. Unabhängig davon, was nun wirklich passiert:
    Die Stellungnahme von Facebook deckt sich nicht mit deiner Schlussfolgerung. Das Tracking über 90 Tage bezieht sich in der oben zitierten Formulierung ausschließlich auf Mitglieder.

      1. Hab ich gelesen, sehe aber trotzdem noch einen Übersetzungsfehler. Facebook spricht eindeutig von Mitgliedern. Du sprichst von Nichtnutzern.

      2. Nichtnutzer werden aber nunmal auch durch ein Cookie getrackt. Facebook hat zwar gesagt, dass sie das nicht auswerten, aber ob das stimmt ist eine ganz andere Sache. Ohne weiteres möglich wäre es!

      3. Schon klar. Nur ist es dann keine Schlussfolgerung aus dem darüber stehenden Zitat, sondern eine eigene Annahme.

  3. Zu dem Plugins aus dem Boden schießen. Warum weitere installieren, wenn die Standard Plugins das schon erledigen. Für Adblock gibt’s z.B. die SocialMediaBlock Liste. Und wenn man JS erlaubt, damit man die facebook seite selber nutzen kann, gibt’s RequestPolicy. Und die kümmern sich alle um viel mehr als nur Facebook.

  4. > Die Profilbildung bei Facebook lässt sich derart nicht verhindern, wenn man den Plugin nutzen möchte.

    Das stand da drin? Ich mag mich irren, aber technisch ist das auszuschließen doch überhaupt nicht möglich, weil das doch genau die Funktion eines Like-Buttons ist: Verbinde Herkunftsadresse mit FB-Account-ID, um auszudrücken „ID mag Seite“.

  5. Schwierig, schwierig, diese Frage
    Die Funktion ist sinnvoll für den Webseiten-Besitzer, weil mehr Besucher angezogen werden, aber auch für den Besucher, weil so einfach und schnell Inhalte geteilt werden können!
    ABER:
    Datenschutz ist ebenfalls von hoher Priorität.

    Ich meine die Kläger, aber auch Facebook stellen sich quer und sollten offener sein.

    1. DIe Funktion ist ja schön und gut, da sagt ja auch keiner etwas gegen. Es geht darum, dass die Daten auch übertragen werden wenn man den button nicht anklickt, sondern nur die Seite betrachtet…

  6. Cookies, der ULD und das BSI

    Das BSI warnt vor der Benutzung von Cookies:
    https://www.bsi.bund.de/ContentBSI/Themen/Internet_Sicherheit/Gefaehrdungen/AktiveInhalte/definitionen/cookiesgefahren.html;jsessionid=CC97080B37DF5B674D0DD5788EDB5807.2_cid183
    „Die Verwendung von Cookies kann jedoch im datenschutzrechtlichen Sinne mißbräuchlich genutzt werden.“

    Der ULD dagegen empfiehlt Cookies und da sogar ein besonderes Produkt: Piwik.
    http://www.johanvonhuelsen.de/blog/wordpress/2011/03/15/uld-empfiehlt-sinnloses-tracking/

    Hie rverfolgen unterschiedliche Behörden unterschiednlich Ansätze über Datenschutz. Pervers wird es, wenn der ULD selber Cookies gegen das BSI empfiehlt und dann anderen die Benutzung von Cookies vorwirft. Hier wird Schindluder auf dem Ticket des Datenschutzes getrieben.

  7. Vielleicht hätte man von vorne hinein einfach ein Facebook-Like-Plugin nehmen sollen, als das in jede Webseite zu packen?

  8. Ich habe ein empirisches Problem. Wenn ich in Firefox die Cookies von facebook.com lösche und dann eine Seite mit Facebook-Buttons aufrufe (Spiegel oder Tagesspiegel), dann wird bei mir kein Cookie gesetzt. Eines habe ich vorhin gefunden, das eine Lebensdauer bis zum Ende der Session hatte. Das war bei Neustart des Browsers wieder weg.

    Kann mir jemand eine Site nennen, auf der ich, ohne bei Facebook angemeldet zu sein, ein persistentes Cookie auf die Platte bekomme, das über die Session des Browsers hinaus erhalten bleibt?

  9. Was man auch berücksichtigen muss in dieser Diskussion: Die IP ist eine (über den Provider) personenbeziehbare Information.

    Browser-Header und Betriebssystem-Infos sind zwar für sich weniger Aussage-kräftig. Zusammengenommen schon. Siehe hierzu Experimente der EFF.

    Hier muss genau nachgehakt werden; nicht nur was mit den übrigen Daten ist, die bei http-Paketen mitkommen, sondern auch was denn Facebook mit „Anonymisierung“ meint; hier kann ich mir nur ein Löschen vorstellen. Wird die IP per Prüfsummen-Algorithmus in ein Hash verwandelt, der bei jeder IP immer derselbe ist, müsste eigentlich von Pseudonymisierung die Rede sein. Dann ist dieser Hash nicht mehr zur IP rückführbar, aber für sich genommen weiterhin eine Personen-beziehbare Information, die in Kombination mit den andern Daten natürlich wieder eindeutiger eine Identifizierung ermöglichen können.

    Die Browser/OS-Daten sind doch eh viel spannender, weil die sich meist weniger schnell ändern, als die IP eines Nutzers.

    1. „Was man auch berücksichtigen muss in dieser Diskussion: Die IP ist eine (über den Provider) personenbeziehbare Information.“

      Das ist sachlich falsch. Es muss heissen: Die IP kann eine personenbeziehbare Information sein. Wenn man über einen Proxy geht, den man mit 40.000 anderen Menschen teilt oder zu Hause einen Router mit NAT mit vier bis sechs Personen teilt, gibt es nichts personenbeziehbares. Deshalb hat der BGH die Störerhaftung erfunden.

      „Browser-Header und Betriebssystem-Infos sind zwar für sich weniger Aussage-kräftig. Zusammengenommen schon. Siehe hierzu Experimente der EFF.“ Viel Glück mit Firefox und Windows!

      „Die Browser/OS-Daten sind doch eh viel spannender, weil die sich meist weniger schnell ändern, als die IP eines Nutzers.“

      Dann sag mir doch wer das ist, wenn das so leicht ist:
      Mozilla/5.0 (Windows NT 6.0; rv:5.0) Gecko/20100101 Firefox/5.0
      Mozilla/5.0 (Windows NT 6.1; rv:6.0.1) Gecko/20100101 Firefox/6.0.1
      Mozilla/5.0 (Windows NT 6.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2
      Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2
      Mozilla/5.0 (Windows NT 5.1; rv:6.0.2) Gecko/20100101 Firefox/6.0.2

      Wobei der letzte über Arcor kam, der vorletzte über T-Online. Ich fände das wahnsinnig faszinierend die personenbezogen auseinander zu halten. Vielleicht steckt da ein Geheimcode hinter, den ich auf den ersten Blick nicht sehe. Oder die Person hat im Laufe des heutigen Tages den Provider gewechselt.

      Ich finde Verschwörungstheorien ganz toll spannend.

      1. Es fehlen noch die Bundestrojaner vom BKA und die Verschwörungstheorie, dass Facebook die Spionagemethoden der EFF nutzt. Verschwörungstheorien können so schön sein.

      2. Noch einen vergessen. Der CCC hatte beim neuen Personalausweis gezeigt, wie leicht es im Internet ist, Tastatureingaben zu loggen. Natürlich loggt das Imperium des Bösen bei Facebook auch die Tatstaureingaben, schaltet heimlich die Webcam auf und lässt das Micro mitlaufen. Das Gute an Verschwörungstheorien ist, das man keine Beweise braucht wie vor Gericht. Deswegen geht Weichert ja auch nicht vor Gericht,sondern verbreitet seine Verschwörungstheorien.

  10. Ich weiß gar nicht was ihr alle habt, facebook ist doch total transparent. Hier, kann man doch alles in der Datenschutzerklärung nachlesen:

    http://www.facebook.com/privacy/explanation

    Vorher natürlich einen facebook Account erstellen und einloggen. Um Mißbrauch vorzubeugen ist die Datenschutzerklärung selbstverständlich nur sichtbar NACHDEM man sich bei Facebook angemeldet und eingeloggt hat. Könnte ja sonst einer klauen das Ding.

  11. OT, aber bezeichnend:
    SpOn über die erste Ausgabe von WIRED Deutschland: „Da werden das Netz, das Digitale und seine Akteure gepriesen, als gäbe es kein Morgen, als müsse die Debatte um die Auswirkungen der digitalen Revolution nun in dieser einen Ausgabe endlich mal mit schierer argumentativer Masse beendet werden. Gerade die lange Titelstrecke, die den Begriff ´Geek´ in Deutschland salonfähig machen soll, wirkt zum Teil ermüdend missionarisch.“ Ein echter Knüwer eben. Das Heft ist summa summarum scheiße geworden. Keine Selbstironie, nirgends. Gunter Dueck nervt nur noch mit seinem solzaildarwinistischen Geseiere, nach dem Motto „Wir Netzaffinen sind ja soooo toll, während der ultradoofe, nichtsnutzige Rest der Gesellschaft lediglich vor sich hin dilettiert“. Der Mann trägt wie eine Monstranz zahllose charakterliche Defizite vor sich her, ohne dass er sich an ihnen stört. Ein bisschen wie Morbus Beckedahl.

  12. Das ist ja nicht unbedingt überraschen, dass es Facebook nich passt.

    Ich bin nicht gerade ein Computer-Experte, aber ich hab auf meinen PC´s unter anderem Facebook über die hosts-Datei geblockt. Sollt doch sicher sein, oder?

  13. Meine Herrschaften, nun schaltet doch ENDLICH mal diese verfluchten Kekse ab. Egal, ob bei Facebook oder nicht. Das kann doch nicht so schwer sein, sich ab und zu mal mit seinem Browser zu beschäftigen.

    Und wozu soll man sich jetzt @nero auch noch zig. Tools anschaffen, die ebenfalls gerne Daten sammeln, sich den Rechner damit vollmüllen, anstatt den Browser zu zügeln??

    Man braucht keine Tools, sondern Verstand.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.