Das Like-Problem

Was Facebooks Gefällt-Mir-Buttons verraten

Jürgen Schmidt - 20.04.2011

Datenschützer warnen vor den überall auftauchenden Gefällt-Mir-Buttons von Facebook. Tatsächlich übermittelt er persönliche Daten, auch ohne dass man ihn angeklickt hat.

Immer mehr Web-Seiten bieten Ihren Lesern die Möglichkeit, durch einen Klick auf das "Gefällt mir"-Symbol ihre Facebook-Freunden auf eine interessante Seite aufmerksam zu machen. Von Spiegel Online über Bild.de bis hin zur Fan-Seite von Hannover 96 – überall begegnet man dem hochgestreckten Daumen.

Web-Sites versprechen sich mehr Sichtbarkeit und damit höhere Zugriffszahlen, die Anwender finden den Service ebenfalls praktisch. Datenschützer warnen allerdings, dass damit die Privatsphäre der Anwender gefährdet sei. Zum besseren Verständnis sei hier der technische Hintergrund der Problematik kurz erklärt.

Hier sind die eingebetteten iFrames eines Spiegel-Artikels mit einem blauen Rahmen markiert. Sie enthalten Code von Facebook beziehungsweise Twitter. Für den Like-Button bindet die Web-Seite einen sogenannten iFrame ein. Das ist eine kleine Mini-Seite innerhalb der Seite, deren Quelltext von Facebook selber stammt. Ruft man etwa eine Spiegel-Online-Seite auf, bettet diese sofort den Facebook-Frame ein – also bevor der Anwender auf "Gefällt mir" geklickt hat. Konkret führt etwa das Öffnen einer Spiegel-Online-Seite zu folgendem Aufruf des Browsers:

GET http://www.facebook.com/plugins/like.php?locale=de_DE&
href=http%3A%2%2Fwww.spiegel.de%2F...00.html... HTTP/1.1
Host: www.facebook.com 
Referer: http://www.spiegel.de/.../0,1518,758141,00.html 
Cookie: datr=12...f; lu=T...XQ; c_user=100...20; sct=13...539; ... 

Dabei sendet der Browser an Facebook unter anderem als Referer die URL der gerade geöffneten Spiegel-Seite. Außerdem schickt er dem Facebook-Server auch das von ihm bereits früher gesetzte Cookie. Ist der Anwender gerade in einem anderen Fenster bei Facebook angemeldet, enthält das seine Sitzungs-ID. Damit kann Facebook diesen Aufruf der Spiegel-Seite einer konkreten Person zu ordnen.

Konkret kann Facebook also während Sie dort angemeldet sind beobachten, welche Web-Seiten Sie aufrufen, sofern diese einen solchen Like-Button oder andere Facebook-Elemente enthalten. Angesichts des Erfolgs des sozialen Netzwerks nimmt deren Zahl ständig zu. Und anders als Statistik-Server wie Google Analytics, die IVW oder auch die Server von Anzeigen-Dienstleistern, die mit anonymisierten Daten oder schlimmstenfalls IP-Adressen arbeiten, kann Facebook diese Daten direkt mit einer realen Person verknüpfen, deren Adresse und Freunde es kennt.

Auch wer nicht bei Facebook angemeldet ist, sendet Daten an deren Server. Auch wer nicht bei Facebook angemeldet ist, sendet auf Seiten mit aktiven Facebook-Elementen Daten an Facebook. So setzt Facebook bei jedem Aufruf der Web-Site ein Cookie mit einer Kennung wie E9dcTgVq3xnuDQAAFw47QTAZ,das zwei Jahre gültig ist. Da der Browser dieses Cookie bei jeder Verbindung mit einem Facebook-Server ungefragt mitschickt, könnte der Betreiber damit prinzipiell ein Profil erstellen, welche Web-Seiten der zu der Kennung gehörende Anwender aufgerufen hat. Und es wäre dann auch durchaus möglich, diese Kennung später – etwa beim späteren Anmelden bei Facebook – auch wieder einer Person zuzuordnen.

Angesichts der einschlägigen Erfahrungen, was die Daten und Privatsphäre der Mitglieder angeht, muss man auch davon ausgehen, dass die amerikanische Firma alle Daten, derer sie habhaft werden kann, auswertet und früher oder später zu Geld macht. Vergleichbare Informationen gehen übrigens auf vielen Web-Sites auch an Twitter oder Google.

Um das zu verhindern, kann man etwa in Firefox Cookies von Drittanbietern blockieren. Dann sendet der Browser bei eingebetteten Inhalten anderer Anbieter keine Cookies an den Server. Damit funktionieren allerdings außer dem Like-Button unter Umständen auch andere Site-übergreifende Funktionen nicht mehr. Um Datenschutz besorgte Web-Seiten-Betreiber müssen nicht völlig auf Facebook verzichten. Sie können statt ein iFrame einzubetten, einen einfachen Link einbauen, bei dem der Klick ein eigenes Facebook-Fenster öffnet. Dort kann Leser dann einen Kommentar erstellen und die Seite seinen Freunden empfehlen. Das ist nicht zwar ganz so komfortabel, aber es übermittelt erst dann Daten an Facebook, wenn der Anwender seine Bereitschaft dazu signalisiert hat.

Update: heise online hat mittlerweile eine datenschutzfreundliche Lösung umgesetzt, die der Artikel 2 Klicks für mehr Datenschutz beschreibt. Da deren Code frei verfügbar ist, können auch andere Sites dieses Konzept einsetzen. (ju)