Identifikations-Cookie: Datenschützer wirft Facebook verdeckte Profilbildung vor (Spiegel Online, 2.11.2011)
Identifikations-Cookie
Datenschützer wirft Facebook verdeckte Profilbildung vor
Facebook speichert auf Computern von Mitgliedern und Nicht-Mitgliedern Dateien mit eindeutigen Identifikationsnummern. Das sei für die Sicherheit unerlässlich, sagt das Unternehmen. Eine technische Analyse des Hamburgischen Datenschutzbeauftragten widerspricht dieser Darstellung.
SPIEGEL ONLINE, 2.11.2011
{jumi [*3]}
Hamburg – Jeder Web-Nutzer, der irgendwann einmal Facebook aufgerufen hat, findet auf seinem Rechner mit hoher Wahrscheinlichkeit einen Facebook-Cookie mit einer eindeutigen Identifikationsnummer. Dieser sogenannte datr-Cookie ist ein kleines Textdokument, das eine eindeutige ID enthält. Die Datei bleibt standardmäßig für zwei Jahre auf dem betroffenen Rechner gespeichert. Und sie ermöglicht Facebook theoretisch, weite Teile des Surf-Verhaltens der betroffenen Nutzer zu protokollieren. Das tue man nicht, sagt das Unternehmen. Hamburgs Datenschützer fragt sich, wozu der datr-Cookie dann gut sein soll.
Facebook liest die Datei mit der Identifikationsnummer jedes Mal aus, wenn man eine Website aufruft, auf der Facebook-Dienste – wie zum Beispiel der “Gefällt mir”- beziehungsweise “Empfehlen”-Button, den auch SPIEGEL ONLINE einbindet – enthalten sind. Der ID-Cookie wird auch abgefragt, wenn man nicht bei Facebook eingeloggt ist. Schon im April hatten Facebook zufolge 2,5 Millionen Websites weltweit Facebook-Funktionalität integriert, darunter die Hälfte aller Seiten aus den globalen Top 100 des Marktforschungsunternehmens Comscore. Täglich kämen 10.000 weitere Sites dazu. Der “Gefällt mir”-Button ist mittlerweile (fast) überall.
Deshalb könnte das Netzwerk nun protokollieren, mit welcher Identifikationsnummer zu welchem Zeitpunkt welche Seite abgerufen wurde. Für diese Profilbildung muss der Nutzer nicht bei Facebook eingeloggt sein. Facebook könnte den Cookie nutzen, um das Surf-Verhalten von Mitgliedern wie Nicht-Mitgliedern zu erfassen.
Facebook: ID-Cookie schützt vor “böswilligen Aktivitäten”
Warum setzt Facebook diesen Cookie?
Das Unternehmen beantwortete SPIEGEL ONLINE diese Frage Ende September so: “Der alleinige Zweck des datr-Cookies besteht darin, böswillige Aktivitäten festzustellen und zu unterbinden.” Facebook nutzt einem Sprecher zufolge den Cookie, um “schadhaftem Verhalten vorzubeugen” und den “Facebook-Service sowie seine Nutzer zu schützen”. Vor allem helfe der ID-Cookie Facebook, verdächtige Aktivitäten wie fehlgeschlagene Login-Versuche und die mehrfache Erstellung von Spam-Accounts zu erkennen.
In der Tat: Sollten Spammer dumm genug sein, den Cookie nicht automatisch nach jedem Login zu löschen (Facebook stellt dann einen neuen aus), könnte man so nachvollziehen, dass auf mehrere Accounts über denselben Browser zugegriffen wird.
Datenschützer: ID-Cookie irrelevant für Sicherheitsmaßnahmen
Nun ließ der Hamburgische Beauftragte für Datenschutz, Johannes Caspar, untersuchen, ob der Cookie tatsächlich diesen Zweck erfüllt. Das Ergebnis: Ob man den datr-Cookie behält oder sich immer wieder mit einem neuen bei Facebook einloggt, ergibt keinen Unterschied. Die wesentlichen Erkenntnisse der 53-seitigen Analyse zusammengefasst:
-
Ob ein datr-Cookie vorhanden ist oder nicht, hat kaum einen Einfluss auf die Verfahrensweise der Facebook-Website bei dem Versuch, ein bestimmtes Konto durch Passwort-Raten zu knacken.
-
Es ist keine Sicherheitsmaßnahme von Facebook erkennbar, die einen massenhaften Versuch, sich an fremden Konten anzumelden, ver- oder auch nur behindern würde. Cookies sind dabei also offenkundig irrelevant.
-
Die Cookies spielen für die Verhinderung der Registrierung als Minderjähriger keine Rolle. Hierzu dient vielmehr das Session-Cookie “tooyoung”.
-
Bei der Rücksetzung des Passworts über einen Freischaltcode spielen Cookies ebenfalls keine Rolle.
Datenschützer Caspar kommentiert die Erkenntnisse mit den Worten: “Unsere technische Analyse zeigt, dass es für die Nutzung von Facebook keinen Unterschied macht, ob man diese Cookies löscht oder nicht. Daraus ergibt sich die Frage: Wozu werden diese Cookies dann gesetzt und genutzt?”
Ob Facebook die ID-Cookies setzen und auswerten muss, um Sicherheit zu gewährleisten, ist eine Kernfrage im Hinblick auf deutsches Recht. Das Telemediengesetz erlaubt es Anbietern, personenbezogene Daten eines Nutzers ohne Widerspruchsmöglichkeit zu erheben und verwenden – dann, wenn dies “erforderlich ist”, um die Inanspruchnahme des Dienstes zu ermöglichen.
Der Bericht der Datenschützer kommt zu dem Fazit, dass Facebook “ohne erkennbaren Funktionsverlust” die ID-Cookies nicht standardmäßig, sondern nur nach Zustimmung der Nutzer setzten könnte. Der Prüfbericht erhärte den Verdacht, dass Facebook ohne das gesetzlich vorgeschriebene Widerspruchsrecht “Nutzungsprofile führt, bei denen die gesammelten Daten den Nutzern direkt zugeordnet werden”.
Caspar zufolge weckt die Untersuchung den Verdacht, dass “Facebook über die Cookies das Surf-Verhalten der Nutzer analysiert”. Anbieter, die pseudonyme Nutzungsprofile erstellen, müssen den Nutzern eine Widerspruchsmöglichkeit anbieten. Das ist bei Facebook derzeit nicht der Fall.
Facebook in Kontakt mit Hamburgs Datenschützern
Facebook bleibt bei der Darstellung, der datr-Cookie würde allein zu Sicherheitszwecken ausgewertet, so eine Firmensprecherin. Man kenne die Analyse des Hamburgischen Datenschutzbeauftragten und sei in Kontakt mit der Behörde.
Ende September bestätigte Facebook SPIEGEL ONLINE, dass Facebook von nicht-eingeloggten Nutzern mit datr-Cookie beim Aufruft von Seiten mit Facebook-Plugins “Standard Login Informationen” erhalte.
Zu solchen Standard-Informationen gehört neben der Identifikationsnummer des Cookies, dem Zeitpunkt und der URL der besuchten Seite auch die IP-Adresse des Computers, auf dem der Cookie gespeichert ist. Facebook betont, dass die Firma in solche Fällen die IP-Adressen von deutschen Nutzern nicht aufzeichnet, wenn sie nicht Facebook-Mitglieder sind. Die an den ID-Cookie gebundenen Informationen über Seitenaufrufe löscht Facebook nach eigenen Angaben innerhalb von 90 Tagen.
Facebook bestätigte SPIEGEL ONLINE, dass in bestimmten Fällen mit einem ID-Cookie verknüpfte Informationen auch mit dem Facebook-Konto eines Nutzers zusammengeführt werden – nur, wenn ein Nutzer sich bei dem Dienst einlogge. Ein Facebook-Sprecher betonte: “Diese Daten werden für keine anderen Zwecke außer zum Schutz der Web-Seite eingesetzt. Insbesondere kommen sie nicht für Werbeziele oder Statistiken zum Einsatz.”