https://www.faz.net/-gqm-6pzbt

Facebook : „Gefällt mir“ gefällt nicht

  • -Aktualisiert am

Verwirrspiel um die Verarbeitung persönlicher Daten bei Facebook Bild: dapd

Wer den Facebook-Button „Gefällt mir“ drückt, gibt seine Daten preis. Die Datenschützer rebellieren. Aber wie funktioniert „Gefällt mir“, und welche Informationen werden übertragen?

          6 Min.

          Vor einigen Wochen reagierte Thilo Weichert, der oberste Datenschützer Schleswig-Holsteins, mit voller Härte: Er drohte Website-Betreibern im hohen Norden mit einem Bußgeld von bis zu 50.000 Euro, wenn die nicht bis Ende September die „Gefällt mir“-Buttons von Facebook von ihren Seiten entfernen. Weicherts Begründung: „Die Daten der Webnutzer werden in die Vereinigten Staaten übermittelt und dort rechtswidrig zu Nutzerprofilen verarbeitet. Die Nutzer wissen nicht, was mit ihren Daten geschieht.“

          Tatsächlich werden Internetverkehrsdaten an Server von Facebook geschickt, wann immer ein Websurfer auf das Facebook-Symbol mit dem hochgereckten Daumen klickt oder eine Website mit diesem „Gefällt mir“-Button besucht. Lange Zeit hat Facebook ein regelrechtes Verwirrspiel um die ermittelten Daten gemacht. Vor gut einer Woche hat nun Richard Allan, bei Facebook für das Europa-Geschäft verantwortlich, im Innen- und Rechtsausschuss des Kieler Landtages eingeräumt, dass auch von Webnutzern, die nicht Mitglied bei Facebook sind, die Internetprotokolladresse erhoben wird.

          Über die sogenannte IP-Adresse kann zumindest der Computer des Websurfers eindeutig identifiziert werden. Facebook-Manager Allan versicherte den Kieler Politikern allerdings, dass eine Analysesoftware auf den Servern von Facebook prüfe, ob die IP-Adresse aus Deutschland stamme. Wird mit diesem sogenannten Geo-IP-Verfahren festgestellt, dass es sich um eine deutsche Adresse handele, werde sie anonymisiert.

          Das Problem liegt in der Programmierung der „Gefällt mir”-Buttons

          Verarbeitungsschritt prinzipiell rückverfolgbar

          Richard Allan führte vor dem Rechtsausschuss des Kieler Landtages weiter aus, dass aus der individuellen Adresse eine sogenannte generische Internetprotokolladresse erzeugt werde. Damit setzte er das Verwirrspiel um die Verarbeitung persönlicher Daten durch Facebook fort. Solche generischen IP-Adressen können für eine bestimmte Klasse von Absenderadressen frei definiert werden. Eine IP-Adresse der Art 172.20.27.42 würde in einem solchen Fall nach Identifizierung mit einem Geo-IP-Verfahren zum Beispiel in die generische Adresse 123.123.123.123 überführt. Allan argumentiert, eine Rückverfolgung auf einen bestimmten Computer sei dann nicht mehr möglich.

          Aber das ist nur die halbe Wahrheit: Problematisch bleibt, dass die echte und individuelle IP-Adresse an Facebook übermittelt und auf dessen Servern verarbeitet wird. Wenn nämlich aus der echten IP-Adresse nach dem Geo-IP-Verfahren eine generische erzeugt wird, ist dieser Verarbeitungsschritt prinzipiell nachvollziehbar und rückverfolgbar.

          Facebook-Manager Allan beteuert jedoch, dass bei deutschen Surfern die generische IP-Adresse für 90 Tage nur in einem sogenannten Logfile gespeichert werde. Die individuelle Adresse wiederum werde darin nicht abgelegt. Facebook macht aber auch auf Nachfrage keine Angabe, ob und wie die individuelle IP-Adresse an anderer Stelle gespeichert wird. Und dann argumentiert Facebook wolkig: „Die tatsächliche IP-Adresse wird dadurch nur genutzt für den notwendigen und vorübergehenden Zweck, dass Kommunikation ermöglicht wird.“

          Interessen- und Nutzerprofil

          Und so räumten schließlich die Facebook-Vertreter ein: „Wenn ein Nicht-Facebook-Nutzer eine Seite mit einem Like-Button aufruft, erhalten wir bestimmte Daten über den Besuch inklusive Datum, Zeit, URL und den Browser-Typ.“ Dazu muss nicht einmal der Like-Button angeklickt werden. Diese persönlichen Daten landen auf Facebook-Servern und werden dort weiterverarbeitet. Facebook hat dabei lediglich ausgeschlossen, dass die seinen Servern übermittelten tatsächlichen IP-Adressen aus Deutschland in sogenannte Logfiles geschrieben werden. Ob und wie diese IP-Adressen sonst noch gespeichert und verarbeitet werden, bleibt unklar. Klar ist: IP-Adressen aus anderen Ländern werden als echte und jederzeit rückverfolgbare IP-Adressen in den Logfiles gespeichert.

          Diese eher harmlose Sammeltechnik betrifft allerdings nicht diejenigen Nicht-Facebook-Mitglieder, die schon einmal die Website „Facebook.com“ mit ihrem Browser aufgerufen haben. Dann ist man über einen Cookie mit eindeutiger Kennung identifizierbar. Die Software-Plätzchen bleiben nach dem Besuch der Website „facebook.com“ zwei Jahre im Browser des Anwenders aktiv, sofern man sie nicht manuell löscht. Mit diesem Cookie kann in rein technischer Hinsicht ein Computernutzer problemlos identifiziert werden. Die von ihm besuchten Websites können in einem Interessen- und Nutzerprofil zusammengestellt werden.

          Nur bei laufenden Facebook-Sitzungen

          Das Verhalten eines solchen Websurfers, der noch nicht einmal Mitglied bei Facebook ist, kann also genau nachvollzogen werden. „Tracking“ nennen die Fachleute diese Art der Webspionage. Sie wird besonders gern von der werbetreibenden Industrie in den Vereinigten Staaten genutzt, um die persönlichen Vorlieben von Webnutzern herauszufinden. Facebook versichert zwar, dass die Tracking-Funktion nicht für die Profilerstellung genutzt werde. „Vor allem hilft uns das Cookie dabei, verdächtige Aktivitäten wie fehlgeschlagene Log-in-Versuche oder die mehrfache Erstellung von Spam-Accounts zu verhindern“, erklärt man. Tatsächlich kann auch ein Nichtmitglied von Facebook auf diese Weise per Cookie-Identifizierung dingfest gemacht werden, wenn es beispielsweise versucht, in Webserver einzudringen, indem es nacheinander viele Benutzernamen und Passwörter ausprobiert. Auch die Identität von Websurfern, die unerlaubte Spam-Mail versenden wollen und dafür entsprechende Benutzerkonten anlegen, lässt sich mit IP-Adresse und Cookie ermitteln.

          Ruft nun ein Facebook-Mitglied eine Website mit einem „Gefällt mir“-Button auf, werden seine persönlichen Daten bis hin zur Identitätsnummer seiner laufenden Facebook-Sitzung an den Betreiber des sozialen Netzwerkes übermittelt. In einem solchen Fall kann Facebook detailliert beobachten, welche Websites das Mitglied besucht.

          Das setzt allerdings voraus, dass der Internetsurfer während dieser Zeit bei Facebook angemeldet ist. Nur bei laufenden Facebook-Sitzungen kann nämlich die Sitzungs-ID mit übertragen werden. Ist das der Fall, steht der gezielten Profilbildung und Auswertung des individuellen Nutzerverhaltens nichts mehr entgegen.

          „Das Surfen macht mit abgeschalteten Cookies einfach keinen Spaß“

          Facebook-Mitglieder, die während ihrer Websurftour nicht bei diesem sozialen Netzwerk angemeldet sind, geben spätestens beim Klicken auf einen Like-Button neben ihrer IP-Adresse und der Webadresse der aufgesuchten Seite auch noch Datum, Zeit, Browser-Typ und die eindeutige Cookie-Kennung preis. In der Regel reicht aber bereits der Aufruf der Seite. Doch kann es hier zu unterschiedlichem Seitenverhalten kommen, das davon abhängt, wie die Software mit dem „Gefällt mir“-Button eingebunden ist. In der Regel werden die persönlichen Daten des Surfers beim Aufruf der Website an Facebook übertragen, spätestens beim Klick auf den Button kommt es jedoch auf alle Fälle zur Datenübertragung, welche die Cookie-Kennung mit einschließt.

          Über diese Cookie-Kennung kann ein Facebook-Mitglied identifiziert werden, wenn es sich zu einem späteren Zeitpunkt beim sozialen Netzwerk anmeldet. Natürlich können Internetsurfer die Installation des Cookies in ihrem Browser verhindern. Entweder vermeiden sie es konsequent, die Website „Facebook.com“ aufzusuchen. Dann hat Facebook keine Chance, den Spionage-Krümel aufzuspielen. Oder man blockiere im Browser prinzipiell die Speicherung von Cookies. Allerdings funktionieren dann nicht nur die „Gefällt mir“-Buttons nicht mehr, sondern auch zahlreiche andere Funktionen auf diversen Websites versagen ihren Dienst. „Das Surfen im Internet macht mit abgeschalteten Cookies einfach keinen Spaß“, bringt das eine 20-jährige Facebook-Nutzerin auf den Punkt.

          Das Problem liegt in der Programmierung der „Gefällt mir“-Buttons und seiner Einbindung in die Websites. Die Facebook-Entwickler haben diese Buttons so angelegt, dass jede Website, die einen solchen Button hat, auch Software beziehungsweise den entsprechenden Quelltext der Websitebeschreibungssprache einbindet. Dabei wird der Browser des Internetnutzers veranlasst, die Webadresse der aufgerufenen Webseite, wie zum Beispiel www.bundesregierung.de, zusammen mit dem Facebook-Cookie und der IP-Adresse des Nutzers an die Server von Facebook zu senden.

          Datensammelei beim bloßen Seitenaufruf unterbinden

          Diese Browser-Routine läuft automatisch ab. Der Internetsurfer hat keine Möglichkeit, hier etwas zu stoppen oder auf den Programmablauf einzuwirken. Deshalb haben einige Betreiber von Websites, wie zum Beispiel der Südwestrundfunk oder der Zeitschriftenverlag Heise, den „Gefällt mir“-Button von Facebook verändert.

          Beim SWR wird nicht der originale Facebook-Quelltext für den „Gefällt mir“-Button auf den Browser des Internetnutzers übertragen. Vielmehr wird ein einfacher Link zum Facebook-Button aufgerufen, der in einem eigenen Browser-Fenster dargestellt wird. Die persönlichen Daten des Surfers werden erst in einem zweiten Schritt beim Klick auf den original Facebook-Button an den Server des sozialen Netzwerks übermittelt. So wird die Datensammelei beim bloßen Seitenaufruf unterbunden, und es kann ein Informations- oder Warntext zwischen dem ersten „Gefällt mir“-Klick und dem zweiten eingebaut werden.

          Diese datenschutzfreundlichere Lösung ist gleich von zwei Seiten heftig kritisiert worden. Facebook bemängelt, dass damit der Original-Facebook-Button unzulässig verändert werde. Und den Datenschützern in Schleswig-Holstein reicht diese „Zwei-Klick-Lösung“ nicht aus. „Die Profilbildung bei Facebook lässt sich derart nicht verhindern“, bemängelt das Kieler Datenschutzzentrum. Inzwischen hat sich Bundesinnenminister Hans-Peter Friedrich in den Streit eingeschaltet und will vermitteln. Daraufhin erklärten sich Facebook-Vertreter prinzipiell bereit, an einer Datenschutz-Selbstregulierung der Branche mitzuarbeiten. Allerdings hat die in Hamburg ansässige Facebook Deutschland GmbH bisher weder den Verhaltenskodex zum Jugendschutz noch den Verhaltenskodex der Anbieter von Social Communities bei der Freiwilligen Selbstkontrolle der Multimedia-Anbieter unterzeichnet. Der Social-Network-Betreiber begründet diese Weigerung mit Zuständigkeiten. Facebook Europe habe seinen Sitz in Dublin, deshalb sei die irische Datenschutzbehörde zuständig - und keine deutschen Behörden.

          Weitere Themen

          Macht sie verantwortlich!

          Hetze im Internet : Macht sie verantwortlich!

          Die Bundesregierung will, dass Plattformen Hass und Hetze im Netz künftig selbst anzeigen. Das wird Staatsanwälte überlasten und greift zu kurz: Wir müssen an die Konzerne selbst heran. Ein Gastbeitrag.

          Topmeldungen

          Der umstrittene Tesla-Gründer Elon Musk am Dienstagabend in Berlin, als er überraschend zur Verleihung des „Goldenen Lenkrads“ auftauchte.

          Auch Design und Entwicklung : Musk verspricht Berlin eine Tesla-Fabrik

          Jetzt ist es raus: Elon Musk wird seine nächste „Gigafactory“ nahe Berlin bauen. Mehr Details ließ er sich nicht entlocken. Fest steht, dass dort nicht nur produziert, sondern auch entwickelt und entworfen wird.

          Rennen um SPD-Spitze : Das Duell der Ungleichen

          Scholz zieht den Säbel, Geywitz sekundiert: Ihre Gegner, Esken und Walter-Borjans, Lieblingskandidaten der Jusos, sehen im direkten Duell der SPD-Spitzenkandidaten blass aus. Ein Abend im Willy-Brandt-Haus.

          Newsletter

          Immer auf dem Laufenden Sie haben Post! Abonnieren Sie unsere FAZ.NET-Newsletter und wir liefern die wichtigsten Nachrichten direkt in Ihre Mailbox. Es ist ein Fehler aufgetreten. Bitte versuchen Sie es erneut.
          Vielen Dank für Ihr Interesse an den F.A.Z.-Newslettern. Sie erhalten in wenigen Minuten eine E-Mail, um Ihre Newsletterbestellung zu bestätigen.