Nachdem Facebook dank des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein vor einigen Wochen in den Schlagzeilen stand und beschuldigt wurde mit dem Like-Button und seiner Trackingfähigkeit gegen deutsches Datenschutzrecht zu verstoßen, hat nun der Australier Nik Cubrilovic Interessantes herausgefunden:

Wenn ein Facebook-Nutzer sich aus dem Netzwerk ausloggt, werden nicht alle erhaltenen Cookies gelöscht, sondern lediglich als „ausgeloggt“ markiert und mit neuen Ablaufdaten versehen. Beim Aufruf einer Seite, die Facebook-Elemente integriert hat, werden auch Daten aus der vorherigen Facebook-Session mitgesendet.
Das bedeutet also, dass auch nach dem Ausloggen das Surverhalten des Nutzers mit seinem Facebook-Account in Verbindung gebracht wird. Dies ist sicherlich nicht im Sinne eines Logouts. Die einzige Möglichkeit sich diesem accountgebundenen Tracking zu entziehen ist das vollständige Entfernen der erstellten Cookies.

Facebook begründet dieses Verfahren mit Usability und Sicherheit. Nutzer müssten sich dann nicht aufwendig identifizieren, wenn sie sich von einem anderen Computer einloggen würden. Gleichzeitig wird aber an die Nutzer appelliert, dem Unternehmen zu vertrauen, und an einer Lösung gearbeitet.

Diese Entdeckung reiht sich nahtlos in bereits bekannt gewordene Auswüchse über die Datensammelwut Facebooks ein und trägt sicher nicht dazu bei, das Unternehmen in einem weniger skeptischen Licht zu betrachten.

Update: In seinem neuen Blogpost schreibt Cubrilovic über den Dialog, den er in den letzten zwei Tagen mit Facebook bezüglich des Logoutvorgangs geführt hat. Der fragwürdige Cookie, der die Nutzer-ID enthielt, wird von nun an beim Ausloggen gelöscht. Das Verbleiben dieses Cookies wird von Facebook auf einen Bug zurückgeführt. Übrig bleiben zwei Cookies zur Browseridentifikation, die aber angeblich nicht im Zusammenhang mit dem Account gebracht werden und ein weiterer zur Verhinderung von XSS-Attacken. Zu letzterem wartet Cubrilovic noch auf eine Antwort auf die Frage, ob dieser mit der Nutzer-ID abgeglichen würde. Zusätzlich enthalte ein weiterer Cookie einen Zeitstempel, der es Facebook erlaubt, für die Performanzevaluierung einzelne Anfragen zu identifizieren. Auch dieser Cookie könne mit der Nutzer-ID verlinkt werden, was laut Facebook aber nicht passiere.

Was bisher geschah:
Das Unabhängige Landeszentrum für Datenschutz (ULD) betont, dass Facebook-Buttons Nutzerverhalten verfolgen (tracken) und gegen deutsches Datenschutzrecht verstoßen. Es will entsprechend juristisch gegen Seiten vorgehen, die die Buttons einbinden. Facebook widerspricht und ist sich keiner Schuld bewusst, Nichtnutzer zu tracken, sondern betont, dies nicht zu tun.

Heise stellt eine Möglichkeit vor, den Facebook‑, Google- und Twitter-Buttons so einzubinden, dass sie erst bei Benutzung die jeweiligen Server kontaktieren, und so ein Tracking von Nutzern und Nichtnutzern unterbinden, so lange der Button nicht auch tatsächlich genutzt wird.

Facebook beschwert sich bei heise, weil dies ein Verstoß gegen die AGBs sei und droht mit der Sperrung der App-ID und einem Blacklisting der Domain von heise, so dass diese generell gar nicht mehr über Facebook empfohlen werden kann.

Dem ULD reicht die 2‑Klick-Lösung nicht als datenschutzfreundliche Alternative, sie…

geht zweifellos in die richtige Richtung, aber nur den halben Weg: Die Profilbildung bei Facebook lässt sich derart nicht verhindern, wenn man den Plugin nutzen möchte. Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen.

Facebook äußett sich in einem Ausschuss genauer zur Speicherpraxis. Und zwar:

1. Bei Nicht-Mitgliedern, die noch nie facebook.com aufgerufen haben, erhält Facebook lediglich die IP-Adresse. Nach eigenen Angaben folgt eine Prüfung, ob diese IP-Adresse aus Deutschland kommt. Sollte das der Fall sein, wird sie anonymisiert und dann erst geloggt, Adressen aus allen anderen Ländern landen unanonymisiert in den Log-Dateien.
2. Hat ein Nicht-Mitglied bereits facebook.com besucht, dann hat es dabei ein „Data-Cookie“ platziert bekommen, dessen Inhalt beim Laden von Like-Buttons ebenfalls übertragen wird. Facebook versichert, dieses Cookie habe keine Tracking-Funktion, sondern beuge „schadhaftem Verhalten“ von Nicht-Mitgliedern vor. „Vor allem hilft uns das Cookie dabei, verdächtige Aktivitäten wie fehlgeschlagene Login-Versuche und die mehrfache Erstellung von Spam-Accounts zu erkennen“, heißt es in der Stellungnahme.
3. Wenn ein Mitglied, ob angemeldet oder nicht, den Like-Button lädt, erhält Facebook ungleich mehr Informationen: „Wenn solch ein Seitenbesuch stattfindet, zeichnen wir einige der Informationen für eine begrenzte Zeit auf, um damit unseren Service zu verbessern. Dazu zählen: Datum, Zeit, URL und Browsertyp.“ Den Angaben von Facebook zufolge werden gemäß der Richtlinien alle diese Informationen innherhalb von 90 Tagen wieder gelöscht.

Übersetzung: Der Like-Button trackt auch Nichtnutzer für 90 Tage Dauer – und zwar mittels eines Cookies. Die IP wird dabei nicht gespeichert, weil ja das (sehr viel aussagekräftigere, eindeutige) Cookie ausreicht, denn im Cookie werden Informationen gespeichert, die zu einer eindeutigen Identifikation ausreichen. Es sei denn, man hat noch nie Facebook.com besucht.

Damit wird der Vorwurf des ULD ziemlich genau bestätigt. Ansonsten versichert Facebook natürlich, nichts böses mit den Daten anzustellen.

Währenddessen sprießen überall die Facebook-Browser-Plugins aus dem Boden, die eine normale Nutzung ermöglichen, aber ein Tracking unterbinden wollen.