Süddeutsche Zeitung

Kritik an Freundschaftsnetzwerk wächst:Wie Datenschützer weltweit mit Facebook ringen

Facebooks Like-Button ist nicht nur deutschen Datenschützern suspekt: Auch in anderen Ländern prüfen Behörden und Politiker, was die Software des Unternehmens speichert. Können sie Facebook zähmen, wird dies das Internet verändern.

Niklas Hofmann

Auch die Kongressabgeordnete Jackie Speier möchte natürlich gemocht werden. Und so ist denn auch auf ihrer Internetseite der kleine blaue Knopf mit dem nach oben gereckten Daumen und der Aufschrift "Like" zu finden.

Dabei hat die kalifornische Politikerin im amerikanischen Repräsentantenhaus einen Gesetzentwurf mit dem wohlklingenden Titel "Do Not Track Me Online Act" eingebracht, der die Funktionsweise des Facebook-Buttons in Frage stellt.

Denn würde ihr Vorschlag Gesetz, müsste die Verbraucherschutzbehörde Federal Trade Commission (FTC) Regeln für einen obligatorischen Opt-Out-Mechanismus entwickeln, durch den jeder amerikanische Nutzer in seinem Browser verbindlich festlegen könnte, ob Daten über sein Surfverhalten aufgezeichnet werden dürfen.

Entschiede er sich dagegen, dürfte kein Unternehmen die Nutzer-Daten sammeln, auswerten oder weiterverkaufen. Das Tracking, das Aufzeichnen von Spuren der Nutzer, würde illegal.

Abmahnungen ohne Folge

Das gälte nicht nur für Facebook, sondern für die gesamte Internetbranche. Das Vorhaben der Abgeordneten Speier zeigt aber, dass die Frage, ob Facebook mit seinem "Gefällt Mir"-Knopf in unzulässiger Weise Informationen über das Nutzungsverhalten von Menschen zusammenträgt, keine rein schleswig-holsteinische Regionalbesorgnis ist.

Dort gehen das Kieler Unabhängige Landeszentrum für Datenschutz (ULD) und sein Chef Thilo Weichert allerdings nicht direkt gegen Facebook vor, sondern gegen Seitenbetreiber, die den Knopf in ihren Seiten einbinden oder bei Facebook-Fanpages betreiben. Der Verlauf seiner Aktion ist bisher auch für das ULD "enttäuschend": Von 15 abgemahnten öffentlichen und privaten Stellen, die Fanpages betrieben, hat nur eine einzige ihre Seite abgestellt.

Weichert hat nun Beanstandungen ausgesprochen und droht Zwangsgelder an. Die von ihm als besonders renitent ausgemachte schleswig-holsteinische Staatskanzlei und die IHK des Landes will er zu Feststellungsklagen bewegen, und damit eine gerichtliche Klärung erreichen.

Parallel führt Bundesinnenminister Friedrich seinen - von Weichert als unerwünschte Einmischung angesehenen - runden Tisch fort, an dem neben Datenschützern Vertreter aller sozialen Netzwerke einen einvernehmlichen Branchenkodex entwickeln sollen. Wann der fertig sein könnte, steht aber in den Sternen.

Unter die Lupe genommen wird die Praxis zur Zeit nicht nur in Deutschland - wenn auch hier wohl am konfrontativsten. Vor zwei Wochen hat der irische Datenschutzkommissar am europäischen Facebook-Sitz in Dublin ein ausführliches Prüfungsverfahren begonnen, das bis Weihnachten abgeschlossen sein soll. Aufgrund der Beschwerden des österreichischen Studenten Max Schrems und seiner Gruppe "Europe vs. Facebook" wird der Kommissar dabei ausdrücklich auch den Like-Button überprüfen.

Anders als in Europa gibt es in den USA keine einheitliche Datenschutzgesetzgebung. Einem politischen Fetisch folgen die Politiker also nicht, wenn auch sie die Frage des digitalen Schutzes der Privatsphäre immer mehr zum Thema machen.

Vielmehr stützen sie sich auf ein verbreitetes Unwohlsein ihrer Wählerschaft. Die Abgeordnete Speier etwa beruft sich auf eine Umfrage unter US-Computernutzern, bei der 50 Prozent der Google-Nutzer und gar 70 Prozent der befragten Facebook-Mitglieder erklärten, sie seien besorgt, was den Schutz ihrer Privatsphäre durch die Online-Firmen angehe.

In den USA wie in Schleswig-Holstein ist der Like-Button, den auch sueddeutsche.de verwendet, ein zentraler Punkt des Misstrauens. Seine Schaltfläche bildet gewissermaßen eine Facebook-Exklave auf den Seiten Dritter; wo er ist, da ist auf Millionen von anderen Websites immer auch ein bisschen Facebook.

Dass er Daten an das Unternehmen übermittelt, selbst wenn man ihn gar nicht drückt, um eine Empfehlung weiter zu geben, ist bekannt. Nur in welchem Ausmaß, ist umstritten.

Glaubt man Facebook, verhält es sich so: Wer kein Mitglied bei Facebook ist und eine Seite aufruft, auf der der Like-Button integriert ist, überträgt dadurch eine IP-Adresse an Facebook, als deutscher Nutzer jedoch keine spezifische, sondern nur eine so genannte "generische IP", also einen anonymisierten Zahlencode, der es nicht mehr möglich machen würde, die Zahlen auf einen bestimmten Anschluss zurückzuführen. Für Nutzer aus anderen Ländern fände eine solche Anonymisierung demnach aber nicht statt.

Tracking oder Schutz vor Identitätsklau?

Beim ersten Besuch eines Nicht-Mitglieds bei Facebook.com wird außerdem der so genannte "datr-Cookie" auf seinem Computer platziert. Besucht der Nutzer später eine Seite, auf der der Like-Button angezeigt wird, so wird der Inhalt dieses mit einer Identifikationsnummer versehenen Cookies an Facebook übertragen.

Das könnte nun dem Tracking dienen, tut es aber laut Facebook ausdrücklich nicht. Man erstelle keine pseudonymen Profile, der Cookie diene der Sicherheit, etwa dem Schutz vor Spam oder Identitätsklau.

Kritiker wie Hamburgs Datenschutzbeauftragter Johannes Caspar halten diese Darstellung für nicht stichhaltig. Facebook bekräftigt sie aber.

Registrierte Mitglieder des Netzwerks übertragen ohnehin bei jedem Besuch einer Seite, auf der der Like-Button integriert ist, Informationen, wie "Datum, Zeit, URL und Browsertyp" an Facebook. Diese Informationen würden aber nach 90 Tagen gelöscht. Eine personalisierte IP werde auch in diesen Fällen nur dann übertragen, wenn der Nutzer den Like-Button gedrückt hat. Und auch hier, versichert ein Unternehmenssprecher, gelte klipp und klar: "Facebook verfolgt nicht die Aktivitäten von Nutzern im Internet."

Dass Facebooks theoretische Möglichkeiten das zu tun - zumindest zeitweise - noch größer waren als ohnehin angenommen, das hat das Vertrauen in solche Zusicherungen auch in den USA schwinden lassen.

"You can never leave"

Im September stellte der australische Hacker und Autor Nik Cubrilovic fest, dass nach einem Logout auf der Facebook-Seite neben dem datr-Cookie auch ein so genannter Session-Cookie namens a_user aktiv blieb, der eigentlich gelöscht werden müsste, sobald man sich als Nutzer abmeldet. Die Kombination beider Cookies aber verknüpfte jeden Besuch auf einer Seite mit Like-Button weiter mit dem individuellen Nutzerprofil.

Facebook erklärte Cubrilovics Fund mit einem Versehen, und änderte die Cookie-Einstellungen rasch. Dennoch sorgte die Entdeckung, dass Facebook die Nutzer auch nach dem Ausloggen im Blick behielt, in den USA für nachhaltige Missstimmung.

Die digitale Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) fühlte sich an den Eagles-Song Hotel California erinnert: "You can check out any time you like, but you can never leave."

Und neben Verbraucherschützern und Bürgerrechtlern forderten im Oktober Kongressabgeordnete beider großer Parteien eine Untersuchung durch die FTC, deren Chef Jon Leibowitz auch prompt erklärte, dass er die Sorgen der Politiker in Sachen Facebook teile. Einen "Do Not Track"-Mechanismus befürwortet seine Behörde ohnehin schon seit längerem. Auch die EFF glaubt, dass er "ein Segen für die Nutzer wäre".

Verfolgt mich nicht!

Die neue amerikanische Facebook-Skepsis könnte also auch die Chancen von Jackie Speiers "Do Not Track Me Online Act" verbessern. In Kalifornien, wo ein identisches Gesetz zur Debatte steht, hat Facebook gemeinsam mit Google heftig opponiert.

Und neben den sonstigen Lobby-Aktivitäten des Unternehmens in Washington soll nun ein frisch registrierter Spendensammelverein den Facebook-Angestellten helfen, sich politisch zu artikulieren, "indem sie Kandidaten unterstützen, die unsere Ziele teilen". Jackie Speier dürfte auf dieser Liste nicht ganz oben stehen.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.1183159
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 08.11.2011/joku
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.