Identifikations-Cookie Datenschützer wirft Facebook verdeckte Profilbildung vor

Facebook speichert auf Computern von Mitgliedern und Nicht-Mitgliedern Dateien mit eindeutigen Identifikationsnummern. Das sei für die Sicherheit unerlässlich, sagt das Unternehmen. Eine technische Analyse des Hamburgischen Datenschutzbeauftragten widerspricht dieser Darstellung.

Von

Facebook: Die Firma speichert auf Rechnern von Nicht-Mitgliedern Identifikations-Dateien
REUTERS

Facebook: Die Firma speichert auf Rechnern von Nicht-Mitgliedern Identifikations-Dateien


Hamburg - Jeder Web-Nutzer, der irgendwann einmal Facebook aufgerufen hat, findet auf seinem Rechner mit hoher Wahrscheinlichkeit einen Facebook-Cookie mit einer eindeutigen Identifikationsnummer. Dieser sogenannte datr-Cookie ist ein kleines Textdokument, das eine eindeutige ID enthält. Die Datei bleibt standardmäßig für zwei Jahre auf dem betroffenen Rechner gespeichert. Und sie ermöglicht Facebook theoretisch, weite Teile des Surf-Verhaltens der betroffenen Nutzer zu protokollieren. Das tue man nicht, sagt das Unternehmen. Hamburgs Datenschützer fragt sich, wozu der datr-Cookie dann gut sein soll.

Facebook liest die Datei mit der Identifikationsnummer jedes Mal aus, wenn man eine Website aufruft, auf der Facebook-Dienste - wie zum Beispiel der "Gefällt mir"- beziehungsweise "Empfehlen"-Button, den auch SPIEGEL ONLINE einbindet - enthalten sind. Der ID-Cookie wird auch abgefragt, wenn man nicht bei Facebook eingeloggt ist. Schon im April hatten Facebook zufolge 2,5 Millionen Websites weltweit Facebook-Funktionalität integriert, darunter die Hälfte aller Seiten aus den globalen Top 100 des Marktforschungsunternehmens Comscore. Täglich kämen 10.000 weitere Sites dazu. Der "Gefällt mir"-Button ist mittlerweile (fast) überall.

Deshalb könnte das Netzwerk nun protokollieren, mit welcher Identifikationsnummer zu welchem Zeitpunkt welche Seite abgerufen wurde. Für diese Profilbildung muss der Nutzer nicht bei Facebook eingeloggt sein. Facebook könnte den Cookie nutzen, um das Surf-Verhalten von Mitgliedern wie Nicht-Mitgliedern zu erfassen.

Facebook: ID-Cookie schützt vor "böswilligen Aktivitäten"

Warum setzt Facebook diesen Cookie?

Das Unternehmen beantwortete SPIEGEL ONLINE diese Frage Ende September so: "Der alleinige Zweck des datr-Cookies besteht darin, böswillige Aktivitäten festzustellen und zu unterbinden." Facebook nutzt einem Sprecher zufolge den Cookie, um "schadhaftem Verhalten vorzubeugen" und den "Facebook-Service sowie seine Nutzer zu schützen". Vor allem helfe der ID-Cookie Facebook, verdächtige Aktivitäten wie fehlgeschlagene Login-Versuche und die mehrfache Erstellung von Spam-Accounts zu erkennen.

In der Tat: Sollten Spammer dumm genug sein, den Cookie nicht automatisch nach jedem Login zu löschen (Facebook stellt dann einen neuen aus), könnte man so nachvollziehen, dass auf mehrere Accounts über denselben Browser zugegriffen wird.

Datenschützer: ID-Cookie irrelevant für Sicherheitsmaßnahmen

Nun ließ der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, untersuchen, ob der Cookie tatsächlich diesen Zweck erfüllt. Das Ergebnis: Ob man den datr-Cookie behält oder sich immer wieder mit einem neuen bei Facebook einloggt, ergibt keinen Unterschied. Die wesentlichen Erkenntnisse der 53-seitigen Analyse zusammengefasst:

  • Ob ein datr-Cookie vorhanden ist oder nicht, hat kaum einen Einfluss auf die Verfahrensweise der Facebook-Website bei dem Versuch, ein bestimmtes Konto durch Passwort-Raten zu knacken.
  • Es ist keine Sicherheitsmaßnahme von Facebook erkennbar, die einen massenhaften Versuch, sich an fremden Konten anzumelden, ver- oder auch nur behindern würde. Cookies sind dabei also offenkundig irrelevant.
  • Die Cookies spielen für die Verhinderung der Registrierung als Minderjähriger keine Rolle. Hierzu dient vielmehr das Session-Cookie "tooyoung".
  • Bei der Rücksetzung des Passworts über einen Freischaltcode spielen Cookies ebenfalls keine Rolle.

Datenschützer Caspar kommentiert die Erkenntnisse mit den Worten: "Unsere technische Analyse zeigt, dass es für die Nutzung von Facebook keinen Unterschied macht, ob man diese Cookies löscht oder nicht. Daraus ergibt sich die Frage: Wozu werden diese Cookies dann gesetzt und genutzt?"

Ob Facebook die ID-Cookies setzen und auswerten muss, um Sicherheit zu gewährleisten, ist eine Kernfrage im Hinblick auf deutsches Recht. Das Telemediengesetz erlaubt es Anbietern, personenbezogene Daten eines Nutzers ohne Widerspruchsmöglichkeit zu erheben und verwenden - dann, wenn dies "erforderlich ist", um die Inanspruchnahme des Dienstes zu ermöglichen.

Der Bericht der Datenschützer kommt zu dem Fazit, dass Facebook "ohne erkennbaren Funktionsverlust" die ID-Cookies nicht standardmäßig, sondern nur nach Zustimmung der Nutzer setzten könnte. Der Prüfbericht erhärte den Verdacht, dass Facebook ohne das gesetzlich vorgeschriebene Widerspruchsrecht "Nutzungsprofile führt, bei denen die gesammelten Daten den Nutzern direkt zugeordnet werden".

Caspar zufolge weckt die Untersuchung den Verdacht, dass "Facebook über die Cookies das Surf-Verhalten der Nutzer analysiert". Anbieter, die pseudonyme Nutzungsprofile erstellen, müssen den Nutzern eine Widerspruchsmöglichkeit anbieten. Das ist bei Facebook derzeit nicht der Fall.

Facebook in Kontakt mit Hamburgs Datenschützern

Facebook bleibt bei der Darstellung, der datr-Cookie würde allein zu Sicherheitszwecken ausgewertet, so eine Firmensprecherin. Man kenne die Analyse des Hamburgischen Datenschutzbeauftragten und sei in Kontakt mit der Behörde.

Ende September bestätigte Facebook SPIEGEL ONLINE, dass Facebook von nicht-eingeloggten Nutzern mit datr-Cookie beim Aufruft von Seiten mit Facebook-Plugins "Standard Login Informationen" erhalte.

Zu solchen Standard-Informationen gehört neben der Identifikationsnummer des Cookies, dem Zeitpunkt und der URL der besuchten Seite auch die IP-Adresse des Computers, auf dem der Cookie gespeichert ist. Facebook betont, dass die Firma in solche Fällen die IP-Adressen von deutschen Nutzern nicht aufzeichnet, wenn sie nicht Facebook-Mitglieder sind. Die an den ID-Cookie gebundenen Informationen über Seitenaufrufe löscht Facebook nach eigenen Angaben innerhalb von 90 Tagen.

Facebook bestätigte SPIEGEL ONLINE, dass in bestimmten Fällen mit einem ID-Cookie verknüpfte Informationen auch mit dem Facebook-Konto eines Nutzers zusammengeführt werden - nur, wenn ein Nutzer sich bei dem Dienst einlogge. Ein Facebook-Sprecher betonte: "Diese Daten werden für keine anderen Zwecke außer zum Schutz der Web-Seite eingesetzt. Insbesondere kommen sie nicht für Werbeziele oder Statistiken zum Einsatz."



Forum - Diskutieren Sie über diesen Artikel
insgesamt 15 Beiträge
Alle Kommentare öffnen
Seite 1
präkariat 2.0 02.11.2011
1. Ich glaub,
sowas nennt man heutzutage "alternativlos".
JohnBlank, 02.11.2011
2. Politik schützt die Bürger nicht
Die Probleme sind bekannt, und was tut die Bundesregierung? Nur reden, glaubt man etwa wirklich, dass man Millardenkonzerne so zur Einsicht bewegt? Die Politiker müssen mal hart durchgreifen. FB wird einlenken, wer will schon 20 Millionen Kunden in einem der größten Märkte Europas verlieren? Aber Aigner und Co. machen ja lieber eine große Show als mal wirklich zu handeln. Ich lasse mich gerne bei dieser Sache vom Gegenteil überzeugen.
Carsten Zander, 02.11.2011
3. Scheindiskussion
Das Datensammel-Problem mit den Facebook-Buttons ließe sich sich sehr schnell lösen, wenn die Browserhersteller die Datenweiterleitung zu Facebook per Voreinstellung blockieren würden. "Per Hand" ist jedenfalls schon machbar. Die Bowserhersteller bräuchten hier sicherlich nur einen kleinen politischen Anschubser, um dies zu automatisieren. Aber offensichtlich ist niemand an eine schnellen Lösung des Problems interessiert. Die Politiker brauchen Feindbilder, um von den wirklichen Problemen abzulenken. Und andere Menschen brauchen Feindbilder, um etwas zu haben, was sie in Wallung bringt. Einfach die Funktionalität eines AdBlockers in den Browser einbauen und bei Updates anpassen: http://www.wlabs.de/413/wie-blockiert-man-den-facebook-like-button/ Oder der Browser wandelt diese iFrames automatisch in "Heise.de-Empfehlen"-Buttons um: http://www.heise.de/ct/artikel/2-Klicks-fuer-mehr-Datenschutz-1333879.html Technisch wäre das alles kein Problem. Nur man will das Problem nicht lösen. Auch nicht die, die sich aufregen.
Foul Breitner 02.11.2011
4. Gefällt mir nicht
und ist mir tätselhaft. Warum werden solche Seiten nicht einfach gesperrt. Dann können sich die Unternehmen überlegen ob sie auf 80 Millionen Kunden verzichten möchten.
Marginalius 02.11.2011
5. essrthe
Also wer sich darüber noch wundert, der wundert sich auch noch darber, dass die Erde plötzlich keine Scheibe mehr sein soll. Wer Facebook nutzt, müsste mittlerweile ganz genau wissen, dass Facebook Daten sammelt, spioniert und protokolliert, was nur irgendmöglich ist, um sich diese Daten irgendwann in der Zukunft mal versilbern zu lassen, vielleicht erst dann wenn Facebook mal wieder out ist, aber Zuckerberg trotzdem nochmal zum Abschluss seines Schaffens einen ordentlichen Multimilliarden-Bonus durch den Verkauf der Daten zu bekommen. Wer sich also bei Facebook anmeldet oder heute noch da angemeldet ist, nimmt es freiwillig billigend in Kauf, dass mit seinen Daten künftig mal Schindluder getrieben wird. Die Sache, dass Facebook auch bei Nicht-Mitgliedern, ein solches Cookie unterbringen kann, ist zwar nicht illegal, aber auch nicht einzigartig. Google & Konsorten machen das ja auch. Aber im Firefox kann man beispielsweise mit einem einfach Haken in den Einstellungen einstellen, dass alle Cookies beim Beenden des Browsers immer gleich mit gelöscht werden. Wenn man das Add-On "Better Privacy" installiert, kann man genauso auch mit den neueren sogenannten "Super-Cookies"-Verfahren, die von Flash-Animationen auf dem Rechner gespeichert werden. Viele Grüße
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2011
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.