Tracking: Facebook sagt angeblich nicht die Wahrheit

Eine technische Überprüfung durch den Hamburger Datenschutzbeauftragten legt nahe, dass Facebook Nutzer durchs Netz verfolgt, auch wenn sie keinen Account haben.

Bundesinnenminister Hans-Peter Friedrich (CSU) will bis zur Cebit 2012 einen allgemeinen Kodex für soziale Netzwerke entwickeln lassen. Das gab das Ministerium heute bekannt. "Die Regelungen dieser Selbstverpflichtung gelten dann unabhängig davon, wo das betreffende Unternehmen seinen Sitz hat", erklärte Friedrich – ein Seitenhieb auf Facebook, dass sich stets darauf beruft, wegen seines Sitzes in Irland nicht an deutsches Datenschutzrecht gebunden zu sein. Sollte die Selbstverpflichtung aber nicht weit genug gehen, seien "flankierende gesetzliche Schritte" nicht auszuschließen. Gemeint ist vor allem die aktuelle Überarbeitung der EU-Datenschutzrichtlinie, an der Deutschland mitarbeiten werde.

Federführend bei der Erarbeitung der Selbstverpflichtung soll die Freiwillige Selbstkontrolle der Multimedia-Dienstanbieter (FSM) sein. Der Verein also, dessen Mitglieder aus Verbänden und Unternehmen der Industrie besteht.

Datenschützern wie dem Hamburger Johannes Caspar bleiben da möglicherweise weniger Gestaltungsmöglichkeiten als erhofft. Caspar erhöht wohl auch deshalb nun auf anderem Wege den Druck auf Facebook. Der Landesdatenschutzbeauftragte hält dem Marktführer vor, falsche Angaben über den Einsatz seiner Cookies zu machen. Das habe eine technische Überprüfung durch seine Behörde ergeben.

Wenn jemand die Website von Facebook ansurft, speichert dessen Rechner ein Cookie mit dem Namen datr, berichtet Caspar. Wird dieses Cookie nicht gelöscht, kann Facebook es anschließend zwei Jahre lang nutzen, um mehr über den Nutzer zu erfahren. Denn die ID des Cookies wird immer dann an Facebook übertragen, wenn eine Seite besucht wird, auf der zum Beispiel der Gefällt-mir-Button eingebunden ist. Ob der Nutzer währenddessen bei Facebook eingeloggt ist, spielt keine Rolle.

Facebook versicherte bisher stets, seine Cookies würden vor allem für mehr Komfort, Sicherheit und Jugendschutz eingesetzt. Laut Caspar zeigte sich bei der Überprüfung aber, "dass die Angaben von Facebook über den Zweck dieser Cookies im Wesentlichen nicht zutreffen".

Die Analyseergebnisse im Wortlaut:

• Ob ein datr-Cookie vorhanden ist oder nicht, hat – bis auf geringe Unterschiede – keinen Einfluss auf das Verhalten bei dem Versuch, ein bestimmtes Facebook-Konto durch Passwortraten zu knacken.
• Es ist keine Sicherheitsmaßnahme von Facebook erkennbar, die einen massenhaften Versuch, sich an fremden Konten anzumelden, ver- oder auch nur behindern würde. Daher sind Cookies dabei irrelevant.
• Die Cookies spielen für die Verhinderung der Registrierung als Minderjähriger keine Rolle. Hierzu dient vielmehr das Session-Cookie tooyoung.
• Bei der Rücksetzung des Passworts über einen Freischaltcode spielen Cookies ebenfalls keine Rolle.

Mit anderen Worten: Die Sicherheitsmechanismen, die einen Account vor unbefugten Zugriffen schützen oder das Einloggen von minderjährigen Nutzern verhindern sollen, veränderten sich kaum, wenn die Cookies zuvor gelöscht wurden. Mit Sicherheit also haben die Cookies nichts zu tun. Facebook sagt offenbar die Unwahrheit.

Den Datenschützern kamen bei der Analyse der Facebook-Cookies weitere Zweifel. Im Bericht heißt es: "Dass durch das Setzen der Cookies tatsächlich nur die Erhebung solcher personenbezogener Daten eines Nutzers ermöglicht wird, die für die Nutzung des Dienstes erforderlich sind, erscheint sehr zweifelhaft." Gemeint ist offensichtlich, dass die Cookies mehr sammeln, als eigentlich nötig wäre, um den Dienst aufrecht zu erhalten.

Stellt sich die Frage, was die Cookies stattdessen tun. "Das Ergebnis der Prüfung erweckt den Verdacht, dass Facebook Tracking-Profile der Nutzer erstellt", erklärte Caspar. Das heißt, Facebook scheint das Surfverhalten von Internetnutzern auch dann zu verfolgen, wenn diese gar nicht bei Facebook eingeloggt sind.