Warum das Facebook-Urteil in Belgien richtig ist


Vergangene Woche wurde in Belgien ein Urteil gefällt, wonach Facebook keine sog. datr-Cookies mehr auf Rechnern speichern darf, wenn man nicht in Facebook angemeldet ist. Facebook muss demnach binnen 48 Stunden dafür sorgen, dass das Cookie bei nicht angemeldeten Benutzern nicht mehr gespeichert bzw. ausgelesen wird, ansonsten wird pro Tag eine Strafe von 250.000 Euro fällig.

Die Datenkrake Facebook und die bösen Bots

Das war mal eine Ansage, die das belgische Gericht gemacht hat, und das damit einer Klage der belgischen Datenschutzbehörde stattgegeben hat. Spannend ist dabei, dass Facebook dagegen in Berufung gehen möchte. U. a. wird argumentiert, dass das datr-Cookie notwendig sei, um Zugriffe auf Facebook Seiten zu identifizieren, die von sog. Bots durchgeführt werden.

Was Facebook damit meint, ist deren Datenschutzrichtlinie im Bereich Sicherheit und Webseitenintegrität wie folgt zu entnehmen: „Wir verwenden Cookies und ähnliche Technologien […], um sicherzustellen, dass die Nutzer und Geräte, die auf unsere Dienste zugreifen, nicht gegen unsere Richtlinien verstoßen. Beispielsweise sind bestimmte Informationen auf Facebook öffentlich und daher kann jeder im Internet darauf zugreifen. Diese Cookies und ähnlichen Technologien helfen uns, das Volumen und die Häufigkeit von Anfragen zu erfassen, damit wir Personen oder Maschinen ermitteln können, die Informationen von unserer Webseite „scrapen“.“

Ah ja, also anders ausgedrückt: Facebook darf Daten von allen und jedem sammeln, wenn aber Dritte öffentlich zugängliche Seiten von Facebook „scrapen“ dann behält Facebook sich vor, diese mittels „Cookies und ähnlicher Technologien“ von den öffentlich zugänglichen Informationen auszuschließen. Leider lässt sich Facebook insbesondere nicht darüber aus, was sie mit den „anderen Technologien“ genau meinen. Es ist also anzunehmen, dass weiterreichende Techniken eingesetzt werden, die ähnlich wie das Canvas-Fingerprinting arbeiten.

Warum es allerdings illegal sein soll, öffentlich zugängliche Facebook-Seiten mit Computern auszulesen, erschließt sich einem nicht, zumal derjenige, der nicht Mitglied bei Facebook ist, gar nicht gegen deren Richtlinien verstoßen kann, da er ihnen ja nie zugestimmt hat. Nochmals: es sind öffentlich zugängliche Seiten, die eben genau von Nichtmitgliedern aufgerufen werden können. Mit dem Aufruf einer Facebook-Seite stimme ich auf gar keinen Fall den Nutzungsrichtlinien von Facebook zu. Das zeigt, wie Facebook sich die Internet-Welt gerne vorstellen möchte, geht aber leider völlig an der Realität vorbei.

Bot-Programmierer sind ja nicht blöd

Aber wie genau soll die Erkennung eines Bots anhand des Cookie nach der Darstellung von Facebook eigentlich funktionieren? Wie in meiner dreiteiligen Cookie-Serie dargestellt, wird ein Cookie durch den Besuch auf einer Seite vom Browser auf dem jeweiligen Rechner gespeichert. Sobald der Rechner abermals die Domain besucht, kann die Seite anhand des gespeicherten Cookies (hier das sog. datr-Cookie) den Rechner identifizieren. Solange das Cookie also auf dem Rechner gespeichert ist, könnte Facebook also auch erkennen, ob der Rechner, der als Bot arbeitet, gerade versucht, öffentlich zugängliche Seiten in hoher Frequenz zu „scrapen“. Das Dumme dabei ist aber, dass auch von „normalen“ resp. nicht angemeldeten Besuchern der Facebook Seite, das Surf-Verhalten mit den Cookies getrackt werden kann. Das liegt in der Natur von Cookies.

Selbstverständlich ist es aber überhaupt kein Problem, das datr-Cookie jederzeit wieder zu löschen. Warum also sollte ein Bot so blöd programmiert sein, dass er es zulässt, dass Facebook genau das Cookie speichern darf, das dazu dient, das vermeintlich illegale Verhalten des Bots zu identifizieren?

Fazit

  • Cookies sind geeignet, das Surf-Verhalten von Benutzern zu tracken, die nicht Mitglied bei Facebook sind. Das wurde Facebook vom belgischen Gericht untersagt.
  • Bots können Cookies jederzeit löschen und damit genau das aushebeln, was Facebook vorgibt zu benötigen, um Bots zu erkennen.
  • Wenn Facebook erkennen möchte, ob ein Crawler oder Scraper die öffentlich zugänglichen Seiten von Facebook ausliest, lässt sich das durchaus mit anderen Technologien bewerkstelligen
  • Das Argument von Facebook, aus Sicherheitsgründen Cookies speichern zu müssen, erscheint deshalb als vorgeschoben.
  • Ergo: Facebook nutzt diese Cookies eben ggf. auch dazu, Benutzer, die nicht Mitglied bei Facebook sind, zu tracken. Und das wurde ihnen jetzt untersagt.
  • Facebook müsste eigentlich die „ähnlichen Technologien“ erklären, die sie neben Cookies einsetzen – denn auch damit ließen sich Benutzer ausspähen, die nicht bei Facebook angemeldet sind.
Advertisements

Was meinst Du dazu?

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s