Trackingverdacht: Datenschützer stößt bei Facebook-Cookies auf Widersprüche

Facebook legt wie viele andere Websites auch verschiedene Cookies bei Internetnutzern ab, die auf Dienste des Unternehmens zugreifen. Einige dieser Cookies bleiben auch dann erhalten, wenn sich der Nutzer bei Facebook abmeldet. Die Cookies bleiben zwei Jahre lang gültig, so dass Nutzer wiedererkannt werden können, wenn sie die Cookies nicht löschen. Das gilt auch dann, wenn Nutzer Websites aufrufen, die Facebooks Like-Button eingebunden haben.

Laut Facebook werden die Cookies aus Sicherheitsgründen gesetzt: Sie sollen Facebook beispielsweise helfen, fehlgeschlagene Loginversuche, die Erstellung vieler Accounts zu Spamzwecken und das Neuanmelden von minderjährigen Nutzern zu erkennen. Das aber setzt jeweils voraus, dass diese Nutzer ihre Cookies nicht zuvor löschen.

Johannes Caspar ließ nun untersuchen, ob die von Facebook gesetzten Cookies den von Facebook angegebenen Zweck erfüllen. Dazu wurden verschiedene Testnutzer angelegt und ermittelt, ob in den jeweiligen Szenarien Unterschiede im Verhalten von Facebook erkennbar sind.

Caspar geht davon aus, dass sich, wenn die Cookies in den untersuchten Szenarien den beschriebenen Zweck erfüllen, "signifikante Unterschiede in den Verhaltensweisen erkennen lassen. Bleiben diese Unterschiede aus, spricht dies dagegen, dass die Cookies den genannten Zweck tatsächlich erfüllen". Dabei weist Caspar darauf hin, dass Cookies zur Steigerung der Sicherheit denkbar ungeeignet seien, da sie komplett im Einflussbereich des jeweiligen Nutzers liegen. Das heiße aber nicht, dass sich unbedarfte Nutzer mit solchen Mitteln nicht doch abhalten ließen.

Und so kommt die Untersuchung zu dem wenig überraschenden Schluss, "dass die Angaben von Facebook über diese Cookies nur zu einem geringen Teil zutreffend sind". Caspar geht davon aus, dass "die Zweckerfüllung auch bei deutlich restriktiveren, datenschutzfreundlicheren Parametern der Cookies (Inhalt, Pfad, Gültigkeitsdauer) möglich" sei. Zudem könne das Setzen der Cookies auf die Fälle beschränkt werden, bei denen der Nutzer optionale Funktionen aktiviert hat, für die sie verwendet werden.

"Die Argumentation von Facebook, dass sämtliche Nutzer auch über das Ende einer Facebook-Anmeldung hinaus erkennbar sein müssen, um die Sicherheit des Dienstes zu gewährleisten, ist vor diesem Hintergrund nicht haltbar. [...] Das Ergebnis der Prüfung erweckt den Verdacht, dass Facebook Trackingprofile der Nutzer erstellt. Das wäre aber nach dem Telemediengesetz ohne entsprechenden Hinweis auch auf das hiergegen bestehende Widerspruchsrecht nicht zulässig", so der Hamburger Datenschutzbeauftragte.

Laut Caspar hat Facebook in einer ersten Reaktion auf seinen Prüfbericht die Bereitschaft signalisiert, "über die technischen Prozesse in eine Diskussion einzutreten". Er fordert Facebook auf, "zur transparenten und öffentlichen Aufklärung des Einsatzes von Cookies aktiv beizutragen und auf eine rechtskonforme Lösung zuzusteuern".

Nachtrag vom 2. November 2011, 14:10 Uhr

Auf Nachfrage von Golem.de erklärte Facebook: "Facebook verfolgt nicht die Aktivitäten von Nutzern im Internet. Stattdessen nutzen wir Cookies für soziale Plugins, um Inhalte zu personalisieren (z. B. um anzuzeigen, was den eigenen Freunden gefällt), um Wartung und Verbesserungen zu unterstützen (z. B. um Klickraten zu messen) oder aus Sicherheitsgründen (z. B. um zu verhindern, dass Kinder unter 13 Jahren versuchen, sich mit falschem Alter anzumelden). Wir nutzen keine Informationen, die wir durch soziale Plugins erhalten, wenn man sie sieht, für gezielte Anzeigen. Vielmehr löschen oder anonymisieren wir diese Daten innerhalb von 90 Tagen und wir verkaufen niemals Nutzerdaten."

Facebook versichert, kontospezifische Cookies zu löschen, sobald sich ein Nutzer von Facebook ausloggt. Daher erhalte Facebook in diesen Fällen auch keine persönlich identifizierbaren Informationen, wenn Nutzer im Internet unterwegs sind. Facebook bleibt dabei, dass die auch nach dem Ausloggen weiter bestehenden Cookies für Sicherheits- und Schutzmaßnahmen verwendet werden: Damit sei es beispielsweise möglich, Spammer zu identifizieren und zu erkennen, wenn jemand unautorisiert versuche, auf ein fremdes Nutzerkonto zuzugreifen. Außerdem würden die Cookies helfen, dass Facebook-Nutzer wieder auf ihr Konto zugreifen können, falls es gehackt wurde. Sie würden auch helfen, die Registrierung von Kindern unter 13 Jahren zu verhindern, die versuchen, sich mit Hilfe eines falschen Geburtsdatums wieder anzumelden.

Darüber hinaus würden die Cookies Sicherheitsfunktionen wie die Zwei-Weg-Anmeldebestätigung und -Benachrichtigung und die Identifizierung von Computern, die von mehreren Personen genutzt werden, unterstützen, um zu verhindern, dass dort die Option "Angemeldet bleiben" verwendet wird.