Artikelformat

Der Facebook Like Button und der Datenschutz

Gefällt uns das?Gefällt uns das?

In der diese Woche erscheinenden Ausgabe 11-12/2010 der Zeitschrift Website Boosting, welche ich jedem am Thema Online Marketing Interessierten sehr empfehlen kann, schreibt Rechtsanwalt Dr. Martin Bahr unter dem Titel „Facebook: Eine datenschutzrechtliche Analyse“ unter anderem über die Problematik des Einbindens des Facebook „Gefällt mir“ Knopfes. Dieser Artikel wurde Abonnenten bereits vor Erscheinen des Magazins als PDF-Dokument zur Verfügung gestellt.

Herr Dr. Bahr stellt datenschutzrechtliche Probleme mit Facebook anhand zweier Beispiele dar, den AGB und dem „Like“ (bzw. „Gefällt mir“) Button. Er bezieht sich auf die Website „hamburg.de“, welche den Facebook Like Button wieder entfernt hat, nachdem die Betreiber erkannt hatten, dass dieses Plugin auch Daten von Benutzern an Facebook übermittelt, die gar nicht bei Facebook angemeldet sind und den „Gefällt mir“ Knopf gar nicht betätigen:

Im Zuge der Nutzung stellte sich jedoch heraus, dass das Plugin auch Daten von Personen übertrug, die gar keine Facebook-Nutzer waren und den Button gar nicht anklickten. Das heißt, das Tool übertrug von jedem, der die Webseite ansurfte, Informationen an Facebook.

Um zu verstehen wie das passieren kann, muss man wissen wie der Facebook „Gefällt mir“ Knopf eingebunden wird. Es handelt sich hier nicht einfach um ein auf der einbindenden Seite dargestelltes Bildchen, sondern um einen IFrame, einen „eingebetteten Rahmen“ der Inhalte von fremden Webservern in die aktuelle Seite integrieren kann. Ein solcher IFrame ist quasi eine Webseite innerhalb einer Webseite. Wenn man den Facebook „Gefällt mir“ Knopf also irgendwo sieht, dann hat der Browser bereits eine Verbindung zu Facebook aufgebaut.

Nun ist es natürlich interessant, welche Daten von diesem IFrame an Facebook übertragen werden. Zunächst mal ist da natürlich die IP-Adresse des Nutzers, außerdem der Referrer, also die Adresse der Seite die den Facebook „Gefällt mir“ Button enthält. Um zu sehen, welche weiteren Informationen zwischen Browser und Facebook ausgetauscht werden, habe ich einen Proxy dazwischen geschaltet und die Sitzung aufgezeichnet. Als Proxy nutze ich WebScarab, ein Tool des Open Web Application Security Project.

Analyse der HTTP-Kommunikation des Like-Buttons

Vorbereitungen:

  1. Eine Testseite mit integriertem Facebook Like Button basteln.
  2. Aus Facebook abmelden.
  3. Sämtliche zu facebook.com gehörenden Cookies löschen.
  4. WebScarab starten und die Browserverbindung über den Proxy localhost:8008 umleiten.

1. Versuch – nicht in Facebook angemeldet, keine Facebook-Seite vorher aufgerufen.

Tatsächlich werden von dem Frame fünf Requests an Facebook Server gestellt. Zum einen wird ein PHP-Skript aufgerufen, welches dann eine CSS-, eine Javascript- und zwei PNG-Dateien nachlädt. Cookies werden keine übermittelt oder gesetzt. Das heißt, wenn dieser Benutzer zwei Tage später eine weitere Seite mit einem Facebook „Gefällt mir“ Button aufruft, kann ihn Facebook nicht wiedererkennen und daher auch kein Besuchsprofil erstellen.

2. Versuch – nicht in Facebook angemeldet, aber Facebook Login-Seite aufgerufen.

Nun sieht die Sache anders aus. In diesem Fall gibt es vier Cookies von Facebook, eines davon – mit Namen „datr“ – ist zwei Jahre lang gültig, die anderen nur bis zum Sitzungsende. Der „datr“ Cookie enthält eine Zeichenfolge, anhand welcher der Browser wiedererkannt werden kann. Anhand des Langzeitcookies ist es für Facebook möglich, die Bewegungen dieses Benutzers auf Seiten, die den Facebook „Gefällt mir“ Button eingebaut haben, nachzuvollziehen. Ob dies gemacht wird, weiß ich nicht.

Wohl gemerkt, ich bin immer noch nicht bei Facebook angemeldet, habe nur einmal den Anmeldebildschirm angeschaut.

3. Versuch – in Facebook angemeldet

Die Anzahl Facebook-Cookies hat sich auf zwölf erhöht, wobei das bereits bekannte „datr“ Cookie und ein weiteres names „lu“ zwei Jahre Gültigkeit haben. Zusätzlich zu den Bewegungsdaten auf mit den Facebook Plugins ausgestatteten Seiten kennt Facebook in diesem Fall auch noch die persönlichen Interessen des angemeldeten Benutzers, seine „Likes“ und die seiner Freunde sowie weitere im Facebook-Netzwerk hinterlegte Informationen.

Fazit

Wer nicht bei Facebook angemeldet ist, und auch noch nie eine Facebbok-Seite besucht hat, also auch nicht einmal die Anmeldemaske, wird von Facebook nicht erfasst und dessen Bewegungen auf Seiten mit dem Like-Plugin werden wohl auch nicht nachverfolgt.

Anders sieht es aus, wenn man schon einmal eine Facebook-Seite aufgerufen hat oder wenn man sich gar bewußt aus Facebook abgemeldet hat, im Glauben man wäre dadurch nicht mehr erkennbar. Facebook kann anhand der vorhandenen Cookies den Browser immer noch dem Facebook-Account zuordnen. Ob das gemacht wird, weiß ich nicht.

Immerhin ist Facebook etwas besser im Umgang mit Benutzern, die noch nie mit Facebook in Kontakt waren, als z.B. die Webanalyse-Firma Omniture, welche – im Gegensatz zu Google Analytics – einen Cookie von ihrer eigenen Domain 2o7.net setzt. Dies erlaubt Omniture den Benutzer über mehrere Webseiten hinweg zu tracken. Auch die diversen Online-Werbenetzwerke wie z.B. das mittlerweile zu Google gehörende Doubleclick nutzen diese Technik, ohne dass der Benutzer darüber in Kenntnis gesetzt wird. All dies sind aber lediglich Beispiele für ähnlich gelagerte Fälle, die nur nicht so prominent sind wie Facebook und Google Analytics.

So, spätestens jetzt wisst Ihr, warum wir den Facebook „Like“ Button nur sehr kurz auf dem Blog hatten.

Weitere Informationen

Website-Betreiber haften, wenn sie den Facebook „like“- Button einbinden!

Ähnliche Beiträge:

11 Kommentare

  1. Pingback: Dieses Social Bookmark Tool macht jeden Blog Sexy

  2. Pingback: 2-Klick-Lösung: Alternative zum Facebook "Gefällt mir"- / Like-Button datenschutzkonform? | Externer Datenschutzbeauftragter (BDSG) Sascha Kuhrau

  3. Pingback: Facebook Like-Box Problem - Seite 2 - nPage.de - Forum

  4. Pingback: Rechtssichere Integration des Share-Buttons › comspace Blog

  5. Pingback: Neues Design für den Blog - FrankOli.de

Schreibe einen Kommentar

Pflichtfelder sind mit * markiert.