Owl Content

Was bisher geschah:
Das Unabhängige Landeszentrum für Datenschutz (ULD) betont, dass Facebook-Buttons Nutzerverhalten verfolgen (tracken) und gegen deutsches Datenschutzrecht verstoßen. Es will entsprechend juristisch gegen Seiten vorgehen, die die Buttons einbinden. Facebook widerspricht und ist sich keiner Schuld bewusst, Nichtnutzer zu tracken, sondern betont, dies nicht zu tun.

Heise stellt eine Möglichkeit vor, den Facebook-, Google- und Twitter-Buttons so einzubinden, dass sie erst bei Benutzung die jeweiligen Server kontaktieren, und so ein Tracking von Nutzern und Nichtnutzern unterbinden, so lange der Button nicht auch tatsächlich genutzt wird.

Facebook beschwert sich bei heise, weil dies ein Verstoß gegen die AGBs sei und droht mit der Sperrung der App-ID und einem Blacklisting der Domain von heise, so dass diese generell gar nicht mehr über Facebook empfohlen werden kann.

Dem ULD reicht die 2-Klick-Lösung nicht als datenschutzfreundliche Alternative, sie…

geht zweifellos in die richtige Richtung, aber nur den halben Weg: Die Profilbildung bei Facebook lässt sich derart nicht verhindern, wenn man den Plugin nutzen möchte. Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen.

Facebook äußett sich in einem Ausschuss genauer zur Speicherpraxis. Und zwar:

1. Bei Nicht-Mitgliedern, die noch nie facebook.com aufgerufen haben, erhält Facebook lediglich die IP-Adresse. Nach eigenen Angaben folgt eine Prüfung, ob diese IP-Adresse aus Deutschland kommt. Sollte das der Fall sein, wird sie anonymisiert und dann erst geloggt, Adressen aus allen anderen Ländern landen unanonymisiert in den Log-Dateien.
2. Hat ein Nicht-Mitglied bereits facebook.com besucht, dann hat es dabei ein “Data-Cookie” platziert bekommen, dessen Inhalt beim Laden von Like-Buttons ebenfalls übertragen wird. Facebook versichert, dieses Cookie habe keine Tracking-Funktion, sondern beuge “schadhaftem Verhalten” von Nicht-Mitgliedern vor. “Vor allem hilft uns das Cookie dabei, verdächtige Aktivitäten wie fehlgeschlagene Login-Versuche und die mehrfache Erstellung von Spam-Accounts zu erkennen”, heißt es in der Stellungnahme.
3. Wenn ein Mitglied, ob angemeldet oder nicht, den Like-Button lädt, erhält Facebook ungleich mehr Informationen: “Wenn solch ein Seitenbesuch stattfindet, zeichnen wir einige der Informationen für eine begrenzte Zeit auf, um damit unseren Service zu verbessern. Dazu zählen: Datum, Zeit, URL und Browsertyp.” Den Angaben von Facebook zufolge werden gemäß der Richtlinien alle diese Informationen innherhalb von 90 Tagen wieder gelöscht.

Übersetzung: Der Like-Button trackt auch Nichtnutzer für 90 Tage Dauer – und zwar mittels eines Cookies. Die IP wird dabei nicht gespeichert, weil ja das (sehr viel aussagekräftigere, eindeutige) Cookie ausreicht, denn im Cookie werden Informationen gespeichert, die zu einer eindeutigen Identifikation ausreichen. Es sei denn, man hat noch nie Facebook.com besucht.

Damit wird der Vorwurf des ULD ziemlich genau bestätigt. Ansonsten versichert Facebook natürlich, nichts böses mit den Daten anzustellen.

Währenddessen sprießen überall die Facebook-Browser-Plugins aus dem Boden, die eine normale Nutzung ermöglichen, aber ein Tracking unterbinden wollen.

Was bisher geschah:
Das Unabhängige Landeszentrum für Datenschutz (ULD) betont, dass Facebook-Buttons Nutzerverhalten verfolgen (tracken) und gegen deutsches Datenschutzrecht verstoßen. Es will entsprechend juristisch gegen Seiten vorgehen, die die Buttons einbinden. Facebook widerspricht und ist sich keiner Schuld bewusst, Nichtnutzer zu tracken, sondern betont, dies nicht zu tun.

Heise stellt eine Möglichkeit vor, den Facebook-, Google- und Twitter-Buttons so einzubinden, dass sie erst bei Benutzung die jeweiligen Server kontaktieren, und so ein Tracking von Nutzern und Nichtnutzern unterbinden, so lange der Button nicht auch tatsächlich genutzt wird.

Facebook beschwert sich bei heise, weil dies ein Verstoß gegen die AGBs sei und droht mit der Sperrung der App-ID und einem Blacklisting der Domain von heise, so dass diese generell gar nicht mehr über Facebook empfohlen werden kann.

Dem ULD reicht die 2-Klick-Lösung nicht als datenschutzfreundliche Alternative, sie…

geht zweifellos in die richtige Richtung, aber nur den halben Weg: Die Profilbildung bei Facebook lässt sich derart nicht verhindern, wenn man den Plugin nutzen möchte. Zudem setzt eine wirksame Einwilligung voraus, dass Nutzende wissen, worin sie einwilligen.

Facebook äußett sich in einem Ausschuss genauer zur Speicherpraxis. Und zwar:

1. Bei Nicht-Mitgliedern, die noch nie facebook.com aufgerufen haben, erhält Facebook lediglich die IP-Adresse. Nach eigenen Angaben folgt eine Prüfung, ob diese IP-Adresse aus Deutschland kommt. Sollte das der Fall sein, wird sie anonymisiert und dann erst geloggt, Adressen aus allen anderen Ländern landen unanonymisiert in den Log-Dateien.
2. Hat ein Nicht-Mitglied bereits facebook.com besucht, dann hat es dabei ein “Data-Cookie” platziert bekommen, dessen Inhalt beim Laden von Like-Buttons ebenfalls übertragen wird. Facebook versichert, dieses Cookie habe keine Tracking-Funktion, sondern beuge “schadhaftem Verhalten” von Nicht-Mitgliedern vor. “Vor allem hilft uns das Cookie dabei, verdächtige Aktivitäten wie fehlgeschlagene Login-Versuche und die mehrfache Erstellung von Spam-Accounts zu erkennen”, heißt es in der Stellungnahme.
3. Wenn ein Mitglied, ob angemeldet oder nicht, den Like-Button lädt, erhält Facebook ungleich mehr Informationen: “Wenn solch ein Seitenbesuch stattfindet, zeichnen wir einige der Informationen für eine begrenzte Zeit auf, um damit unseren Service zu verbessern. Dazu zählen: Datum, Zeit, URL und Browsertyp.” Den Angaben von Facebook zufolge werden gemäß der Richtlinien alle diese Informationen innherhalb von 90 Tagen wieder gelöscht.

Übersetzung: Der Like-Button trackt auch Nichtnutzer für 90 Tage Dauer – und zwar mittels eines Cookies. Die IP wird dabei nicht gespeichert, weil ja das (sehr viel aussagekräftigere, eindeutige) Cookie ausreicht, denn im Cookie werden Informationen gespeichert, die zu einer eindeutigen Identifikation ausreichen. Es sei denn, man hat noch nie Facebook.com besucht.

Damit wird der Vorwurf des ULD ziemlich genau bestätigt. Ansonsten versichert Facebook natürlich, nichts böses mit den Daten anzustellen.

Währenddessen sprießen überall die Facebook-Browser-Plugins aus dem Boden, die eine normale Nutzung ermöglichen, aber ein Tracking unterbinden wollen.