Hamburger Datenschützer verdächtigen Facebook, Internet-Aktivitäten von Nutzern im Netz zu verfolgen, selbst wenn diese ihr Konto bei dem Online-Netzwerk deaktiviert haben.

Falsche Facebook-Angaben?

Einen eindeutigen Beleg dafür präsentierten sie noch nicht. Sie werfen Facebook nach einer umfangreichen Prüfung aber vor, falsche Angaben über den Einsatz sogenannter Cookies zu machen. Das sind kleine Dateien, mit denen zum Beispiel eine Website einen Nutzer wiedererkennen kann.

Facebook wies die Vorwürfe abermals zurück und stellte auch in Frage, ob mit der Methode der Datenschützer die Funktionsweise der Cookies umfassend analysieren werden konnte.

Facebook-User geht, das Cookie bleibt

«Das Ergebnis der Prüfung erweckt den Verdacht, dass Facebook Trackingprofile der Nutzer erstellt», erklärte der Hamburger Datenschützer Johannes Caspar. Das hiesse, dass Facebook auch die Aktivitäten von Nutzern im Netz nachverfolgen kann.

Die Datenschützer stören sich vor allem daran, dass das sogenannte «datr»-Cookie für zwei Jahre auf dem Computer bleibe, auch wenn ein Facebook-Nutzer sein Konto bei dem Dienst deaktiviert habe - oder auch wenn jemand, der kein Mitglied des Netzwerks ist, eine Facebook-Seite besuche.

Vier verschiedene Facebook-Cookies

Dieses Cookie werde von Facebook-Plugins auf anderen Websites erkannt, es könne zumindest bei Mitgliedern eindeutig einem bestimmten Nutzer zugeordnet werden. Facebook versicherte bisher stets, die insgesamt vier verschiedenen Cookies würden vor allem für mehr Nutzer-Komfort, Personalisierung, Sicherheit und Jugendschutz eingesetzt.

Laut Caspar zeigte sich bei der Überprüfung aber, «dass die Angaben von Facebook über den Zweck dieser Cookies im Wesentlichen nicht zutreffen».

Mehrere Szenarien durchgespielt

Die Datenschützer analysierten bei ihrer Untersuchung, ob sich die Facebook-Seite mit und ohne die Cookies unterschiedlich verhält. Dafür spielten sie mehrere Szenarien durch, bei denen die Cookies laut Facebook zum Einsatz kommen könnten – zum Beispiel, wenn Kinder im Alter unter 13 Jahren versuchen, nach einem abgewiesenen Anmeldeversuch ein höheres Alter anzugeben.

Die Datenschützer prüften auch, was passiert, wenn bei der Anmeldung wiederholt ein falsches Passwort eingegeben wird, oder wenn ein Zugang zu einem Konto wiederhergestellt werden muss.

Cookies nicht rational begründet

Caspars Team kam bei den Tests zu dem Schluss, dass die von Facebook genannten Aufgaben auch mit «deutlich restriktiveren, datenschutzfreundlicheren Parametern der Cookies» erledigt werden könnten. Die Cookies seien aber «in der Lage, den Browser bzw. Benutzer im Sinne eines durch Facebook jederzeit auflösbaren Pseudonyms eindeutig zu identifizieren».

Caspar sagte daraufhin, das Setzen der Cookies lasse sich mit der bisherigen Argumentation von Facebook nicht rational begründen. «Die Argumentationslast, wonach die Cookies nicht für Trackingzwecke benutzt werden, liegt hier klar auf Seiten von Facebook. Andere Zwecke sind für uns gegenwärtig nicht ersichtlich», betonte Caspars Mitarbeiter Ulrich Kühn. Tracking als Verwendungszweck der Cookies liege sehr nahe, wenn sie schon nicht die Funktionen erfüllen, für die sie laut Facebook eingerichtet werden.

Zankapfel «Gefällt-Mir-Button» 

Facebook beharrt darauf, dass die Aktivitäten von Nutzern im Internet nicht verfolgt würden. Das Netzwerk habe einen «offenen Kommunikationskanal» mit Caspar und seinem Team und hätte gern bereits während der Untersuchung die nötigen technischen Informationen zugeliefert, sagte eine Sprecherin.

In Deutschland geht bereits der schleswig-holsteinische Datenschützer Thilo Weichert gegen Facebook-Fanseiten und den «Gefällt-Mir-Button» vor. Er sieht in ihnen einen Verstoss gegen Datenschutz-Bestimmungen und forderte alle öffentlichen Stellen im Bundesland auf, sie nicht mehr zu verwenden.

Deutschland setzt auf Selbstverpflichtung

Unterdessen peilt der deutsche Innenminister Hans-Peter Friedrich einen ersten Entwurf der geplanten Selbstverpflichtung für Online-Netzwerke in Deutschland bis Anfang März an. Der Kodex werde zunächst auf die Bereiche Daten-, Jugend- und Verbraucherschutz eingehen, hiess es nach einem Gespräch mit Anbietern wie Facebook und Google.

Friedrich setzt auf freiwillige Zugeständnisse der Online-Wirtschaft, was von einigen Datenschützern kritisiert wird. Zugleich schloss der Minister «flankierende gesetzliche Schritte» nicht aus, wenn bei den anstehenden Gesprächen keine angemessenen Regelungen gefunden würden.

(dpa/halp)