Viele Menschen wissen, dass Facebook sie auf Klick und Wisch überwacht. Etwas weniger Menschen wissen, dass Facebook nicht nur alles auswertet, was Nutzer direkt auf der Plattform machen. Mit seinen Like-Buttons hat das Unternehmen das Netz verwanzt und verfolgt Milliarden quer durchs World Wide Web - selbst wenn sie gar kein Facebook-Konto besitzen.
So gut wie niemand weiß, dass Facebook auch alle Fotos, die Nutzer hochladen, mit einem digitalen Wasserzeichen versieht. Facebook fügt zwei Felder in den sogenannten Exif-Daten hinzu und kann das Bild damit eindeutig zuordnen. Selbst wer das Bild auf seinem Rechner oder Smartphone abspeichert, mit einem Programm wie Photoshop bearbeitet und an einem anderen Ort im Netz veröffentlicht, wird Facebooks Metadaten nicht mehr los.
Darauf hat der Australier Edin Jusupovic kürzlich aufmerksam gemacht. Er studiert Jura an der Universität Sydney und bezeichnet sich als Programmierer und IT-Sicherheitsexperten. Jusupovic nennt Facebooks Vorgehen ein "schockierendes Ausmaß an Tracking". Auf Nachfrage sagt er, dass Facebook damit Fotos überall im Netz weiterverfolgen könne. Die SZ fand den Tracking-Code auch in Bildern auf Instagram und aus dem Facebook Messenger. Whatsapp-Fotos scheinen nicht markiert zu werden.
Der Tweet von Jusupovic wurde fast 20 000 Mal geteilt und in mehreren Medien zitiert. Dutzende Nutzer schimpfen auf Facebook, auch auf Reddit und im IT-Forum Hacker News ist die Empörung groß. Doch ist sie berechtigt?
Die Erkenntnis von Jusupovic ist nicht neu. Bereits 2015 fragte der französische Fotograf Patrick Peccatte auf der Entwicklerplattform Stackoverflow: "Viele auf Facebook hochgeladene Bilder beinhalten IPTC/IIM-Felder [in denen speichert Facebook die Daten], die offenbar automatisch hinzugefügt werden. Was ist das?" Ein anderer Nutzer erklärte ihm, dass diese Felder eigentlich dazu dienen, zusätzliche Informationen oder Hinweise zum Bild zu geben. Dort könnte etwa ein Fotograf die Bedingungen für die Nutzung verdeutlichen oder eine Bildagentur ein Embargo kennzeichnen.
Facebook dementiert, dass es Nutzer mit den Metadaten trackt
2016 veröffentlichte der Informatiker Neal Krawetz einen Blogeintrag, in dem er Facebooks Tracking-Code genauer analysierte. Krawetz, der auch den Dienst Foto-Forensics betreibt, geht davon aus, dass Facebook Bilder schon seit Juni 2014 mit einem eindeutigen Wasserzeichnen kennzeichnet. In einer E-Mail schreibt Krawetz, derzeit gebe es zu dem Thema "eine Menge FUD". Die Abkürzung steht für "Fear, Uncertainty and Doubt": Angst und Verunsicherung.
Theoretisch könnte Facebook mit dem Tracking-Code Querverbindungen zwischen Menschen rekonstruieren, die in seinem Netzwerk gar nicht miteinander befreundet sind. Das sei aber reine Spekulation. Facebook teilt auf Anfrage mit, es gebe zwei Gründe für die "strukturellen Anomalien", wie Jusupovic sie nennt. Ein Teil sei darauf zurückzuführen, dass Facebook die Fotos ins sogenannte Progressive-JPEG-Format konvertiere. Damit laden die Bilder bei schlechten Verbindungen schneller. "Außerdem fügen wir Code hinzu, um unserem Sicherheitsteam zu helfen, Missbrauch zu verhindern", sagt ein Sprecher.
Einer der zuständigen Mitarbeiter erklärt, dass Facebook die zusätzlichen Informationen benötige, um Fake-Accounts zu erkennen. Betrüger nutzten oft Profilfotos realer Facebook-Nutzer, um gefälschte Konten glaubwürdiger erscheinen zu lassen. Die 20-stellige Identifikationsnummer helfe, den Großteil der Fakes automatisch zu löschen. Der zufallsgenerierte Code diene aber nicht dazu, die Menschen zu tracken, die die Bilder hochladen. Facebook nutze die Metadaten ausschließlich auf der eigenen Plattform und scanne das Netz nicht nach weiteren Kopien des Fotos.