bedeckt München 21°

Kritik an Freundschaftsnetzwerk wächst:Was kann der Facebook-Cookie?

Anders als in Europa gibt es in den USA keine einheitliche Datenschutzgesetzgebung. Einem politischen Fetisch folgen die Politiker also nicht, wenn auch sie die Frage des digitalen Schutzes der Privatsphäre immer mehr zum Thema machen.

Vielmehr stützen sie sich auf ein verbreitetes Unwohlsein ihrer Wählerschaft. Die Abgeordnete Speier etwa beruft sich auf eine Umfrage unter US-Computernutzern, bei der 50 Prozent der Google-Nutzer und gar 70 Prozent der befragten Facebook-Mitglieder erklärten, sie seien besorgt, was den Schutz ihrer Privatsphäre durch die Online-Firmen angehe.

In den USA wie in Schleswig-Holstein ist der Like-Button, den auch sueddeutsche.de verwendet, ein zentraler Punkt des Misstrauens. Seine Schaltfläche bildet gewissermaßen eine Facebook-Exklave auf den Seiten Dritter; wo er ist, da ist auf Millionen von anderen Websites immer auch ein bisschen Facebook.

Dass er Daten an das Unternehmen übermittelt, selbst wenn man ihn gar nicht drückt, um eine Empfehlung weiter zu geben, ist bekannt. Nur in welchem Ausmaß, ist umstritten.

Glaubt man Facebook, verhält es sich so: Wer kein Mitglied bei Facebook ist und eine Seite aufruft, auf der der Like-Button integriert ist, überträgt dadurch eine IP-Adresse an Facebook, als deutscher Nutzer jedoch keine spezifische, sondern nur eine so genannte "generische IP", also einen anonymisierten Zahlencode, der es nicht mehr möglich machen würde, die Zahlen auf einen bestimmten Anschluss zurückzuführen. Für Nutzer aus anderen Ländern fände eine solche Anonymisierung demnach aber nicht statt.

Tracking oder Schutz vor Identitätsklau?

Beim ersten Besuch eines Nicht-Mitglieds bei Facebook.com wird außerdem der so genannte "datr-Cookie" auf seinem Computer platziert. Besucht der Nutzer später eine Seite, auf der der Like-Button angezeigt wird, so wird der Inhalt dieses mit einer Identifikationsnummer versehenen Cookies an Facebook übertragen.

Das könnte nun dem Tracking dienen, tut es aber laut Facebook ausdrücklich nicht. Man erstelle keine pseudonymen Profile, der Cookie diene der Sicherheit, etwa dem Schutz vor Spam oder Identitätsklau.

Kritiker wie Hamburgs Datenschutzbeauftragter Johannes Caspar halten diese Darstellung für nicht stichhaltig. Facebook bekräftigt sie aber.

Registrierte Mitglieder des Netzwerks übertragen ohnehin bei jedem Besuch einer Seite, auf der der Like-Button integriert ist, Informationen, wie "Datum, Zeit, URL und Browsertyp" an Facebook. Diese Informationen würden aber nach 90 Tagen gelöscht. Eine personalisierte IP werde auch in diesen Fällen nur dann übertragen, wenn der Nutzer den Like-Button gedrückt hat. Und auch hier, versichert ein Unternehmenssprecher, gelte klipp und klar: "Facebook verfolgt nicht die Aktivitäten von Nutzern im Internet."

Dass Facebooks theoretische Möglichkeiten das zu tun - zumindest zeitweise - noch größer waren als ohnehin angenommen, das hat das Vertrauen in solche Zusicherungen auch in den USA schwinden lassen.

"You can never leave"

Im September stellte der australische Hacker und Autor Nik Cubrilovic fest, dass nach einem Logout auf der Facebook-Seite neben dem datr-Cookie auch ein so genannter Session-Cookie namens a_user aktiv blieb, der eigentlich gelöscht werden müsste, sobald man sich als Nutzer abmeldet. Die Kombination beider Cookies aber verknüpfte jeden Besuch auf einer Seite mit Like-Button weiter mit dem individuellen Nutzerprofil.

Facebook erklärte Cubrilovics Fund mit einem Versehen, und änderte die Cookie-Einstellungen rasch. Dennoch sorgte die Entdeckung, dass Facebook die Nutzer auch nach dem Ausloggen im Blick behielt, in den USA für nachhaltige Missstimmung.

Die digitale Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) fühlte sich an den Eagles-Song Hotel California erinnert: "You can check out any time you like, but you can never leave."

Und neben Verbraucherschützern und Bürgerrechtlern forderten im Oktober Kongressabgeordnete beider großer Parteien eine Untersuchung durch die FTC, deren Chef Jon Leibowitz auch prompt erklärte, dass er die Sorgen der Politiker in Sachen Facebook teile. Einen "Do Not Track"-Mechanismus befürwortet seine Behörde ohnehin schon seit längerem. Auch die EFF glaubt, dass er "ein Segen für die Nutzer wäre".

Verfolgt mich nicht!

Die neue amerikanische Facebook-Skepsis könnte also auch die Chancen von Jackie Speiers "Do Not Track Me Online Act" verbessern. In Kalifornien, wo ein identisches Gesetz zur Debatte steht, hat Facebook gemeinsam mit Google heftig opponiert.

Und neben den sonstigen Lobby-Aktivitäten des Unternehmens in Washington soll nun ein frisch registrierter Spendensammelverein den Facebook-Angestellten helfen, sich politisch zu artikulieren, "indem sie Kandidaten unterstützen, die unsere Ziele teilen". Jackie Speier dürfte auf dieser Liste nicht ganz oben stehen.

© SZ vom 08.11.2011/joku
Zur SZ-Startseite

Lesen Sie mehr zum Thema