So

01

Feb

2015

Facebook ist die Privatausgabe eines Überwachungsstaates

Facebook hat seine Allgemeinen Geschäftsbedingungen geändert. Da gibt es keinen Widerspruch, die Nutzer haben das zu schlucken. diese neuen Nutzungsbedingungen sehen im wesentlichen vor, dass Facebook künftig das gesamte Surfverhalten seiner Nutzer auswertet.

 

Diese Daten zum Surfverhalten liefern ein ziemlich detailliertes Persönlichkeitsprofil: Wofür ein Facebook-Nutzer sich so interessiert, was er zu politisch umstrittenen Fragen denkt, wie risikofreudig oder konfliktscheu er ist.

 

Die Auswertung dieser Facebook-Daten mittels Big-Data-Analyse, erlaubt einen sehr tiefen Einblick in die Lebensumstände, in das Denken, in die Persönlichkeit eines jeden einzelnen Facebook-Mitglieds. An solchen Daten sind viele interessiert.

 

Für Werbekunden aus der Buchbranche kann Facebook so zum Beispiel herausfinden, für welche Titel ein Facebook-Nutzer gerade in Kaufstimmung ist. Regierungen sind an diesen Daten interessiert, weil sie mit smarten Analysewerkzeugen herausfinden können, was die Bürger zu einzelnen politischen und gesellschaftlichen Fragen wirklich denken. Sicherheitsbehörden und Nachrichtendienste sind an den Daten ohnehin interessiert, weil sie damit das individuelle Verhalten ihrer „Zielpersonen“ genau prognostizieren können. Bei so vielen Interessenten verdienen Facebook & Co mit den Daten ihrer Nutzer eine Menge Geld.

 

So ist eine Art nachrichtendienstlich-industrieller Komplex entstanden.

 

Vor vier Jahren schon hat Thilo Weichert, noch oberster Datenschützer Schleswig-Holsteins, das Geschäftsmodell von Facebook so auf den Punkt gebracht: „Die Daten der Webnutzer werden in die USA übermittelt und dort rechtswidrig zu Nutzerprofilen verarbeitet. Die Nutzer wissen nicht, was mit ihren Daten geschieht“. Fragt sich nur, warum nehmen Facebook-Nutzer in Deutschland das einfach so hin. Warum kündigen sie nicht scharenweise ihren Facebook-Account?

 

Die Antworten auf diese Frage sind vielfältig: Noch immer werden über Facebook viele Menschen erreicht. So mancher etwas obrigkeitsstaatlich denkender Facebook-Nutzer fidnet die Polizeistaat-Methoden von Facebook auch gar nicht so schlimm. Viele Facebook-Nutzer wissen nicht, was Facebook mit den Daten eigentlich anstellt.

 

Nun, zumindest das lässt sich aufklären. Ich bezweifle zwar, dass diese Aufklärung bei so vielen gedankenlosen Facebook-Nutzern, bei gar nicht mal so wenigen obrigkeitsstaatlich gesinnten Facebook-Nutzern etwas bewirkt. Aber probieren wir es mal.

 

 

Über die IP-Adresse kann zumindest der Computer eines jeden Facebook-Nutzers eindeutig identifiziert werden. Sein Smartphone kann zudem über GPS auf wenige Meter genau geortet werden – angeblich, nur um lokalisierte Werbung zu schalten. Aber wir wissen ja inzwsichen, wei die Datenströme ihren Weg zu den Nachrichtendiensten finden.

 

Facebook-Manager Richard Allan führte vor gut vier Jahren dem Rechtsausschuss des Kieler Landtages aus, dass aus der individuellen Adresse eine sogenannte generische Internet-Protokolladresse erzeugt werde. Damit setzte er das Verwirrspiel um die Verarbeitung persönlicher Daten durch Facebook fort. Auch das ist eine in Polizeistaaten gern genutzte Methode der Desinformation.

 

Solche generische IP-Adressen können für eine bestimmte Klasse von Absenderadressen frei definiert werden. Meine IP-Adresse 172.20.27.42 würde in einem solchen Fall nach Identifizierung mit einem Geo-IP-Verfahren zum Beispiel in die generische IP-Adresse 123.123.123.123 überführt. Allan argumentiert, eine Rückverfolgung auf einen bestimmten Computer sei dann nicht mehr möglich.

 

Aber das ist nur die halbe Wahrheit: Problematisch bleibt, dass die echte und individuelle IP-Adresse an Facebook übermittelt und auf deren Servern verarbeitet wird. Wenn nämlich aus der echten IP-Adresse nach dem Geo-IP-Verfahren eine generische IP-Adresse erzeugt wird, ist dieser Verarbeitungsschritt prinzipiell nachvollziehbar. In rein technischer Hinsicht kann also diese IP-Adresse rückverfolgt werden, der Computer, an dem der Surfer sitzt, auf diese Weise identifiziert werden.

 

Facebook-Manager Allan beteuert jedoch, dass bei IP-Adressen aus Deutschland nur die generische IP-Adresse für 90 Tage in einem sogenanten Logfile gespeichert werden. Die individuelle Adresse werde nicht in einem solchen Logfile abgelegt. Facebook macht aber auch auf Nachfragen keine Angaben, ob und wie die individuelle IP-Adressen an anderer Stelle gespeichert wird.

 

In einer Präsentation für die Abgeordneten des Schleswig-Holsteinischen Landtages (Umdruck 17/2684) argumentieren die Facebook-Vertreter ein wenig wolkig: „Die tatsächliche IP-Adresse wird dadurch nur genutzt für den notwendigen und vorübergehenden Zweck, dass Kommunikation ermöglicht wird“.  Zumindest eine temporäre Speicherung ist auf jeden Fall Voraussetzung für die Erzeugung einer generischen IP-Adresse.

 

Deshalb räumen auch die Facebook-Vertreter in dem Landtagsdokument ein: „Wenn ein Nicht-Facebook-Nutzer eine Seite mit einem Like-Button, erhalten wir bestimmte Daten über den Besuch inklusive Datum, Zeit, URL und den Browser-Typ.“ Dazu muss nicht einmal der Like-Button angeklickt werden. Diese persönlichen Daten landen auf Facebook-Servern und werden dort weiterverarbeitet. Die Facebook-Vertreter haben dabei lediglich ausgeschlossen, dass die ihren Servern übermittelten tatsächlichen IP-Adressen aus Deutschland in sogenannte Logfiles geschrieben werden. Ob und wie diese IP-Adressen sonst noch gespeichert und verarbeitet werden, bleibt unklar. Klar ist: IP-Adressen aus anderen Ländern werden als echte und jederzeit rückverfolgbare IP-Adressen in den Logfiles gespeichert.

 

Diese noch vergleichbar harmlose Sammeltechnik betrifft allerdings nicht diejenigen Nicht-Facebook-Mitglieder, die schon einmal die Webseite „facebook.com“ mit ihrem Browser aufgerufen haben. Wer schon einmal auf facebook.com war, ist über einen sogenannten “Cookie“ mit eindeutiger Kennung identifizierbar.

 

Denn bei einem Aufruf der Facebook-Webseite wird dem Browser ein Cookie genanntes Stückchen Software überspielt, mit dem sich der Browser zusätzlich zur IP-Adresse identifiziert, und zwar spätestens beim Anklicken eines „Gefällt-mir“-Buttons. Diese „Software-Plätzchen“ bleiben nach dem Besuch der Website „facebook.com“ zwei Jahre im Browser des Anwenders aktiv. Mit diesem Cookie kann in rein technischer Hinsicht ein Computernutzer problemlos identifiziert werden. Die von ihm besuchten Webseiten können in einem Interessen- und Nutzerprofil zusammengestellt werden.

 

Das Verhalten eines solchen Web-Surfers, der noch nicht einmal Mitglied bei Facebook ist, kann also genau nachvollzogen werden. „Tracking“ nennen die Fachleute diese Art der Webspionage. Sie wird besonders gern von der werbetreibenden Industrie in den USA genutzt, um die persönlichen Vorlieben von Webnutzern herauszufinden und bestimmen zu können, ob ein bestimmter Internet-Surfer besonders affin für eine bestimmte Produktwerbung ist. Wer etwa die Website einer Popgruppe besucht hat, gilt als kaufaffin für das neue Album dieser Gruppe und erhält dann entsprechende Werbung per Mail.

 

Ruft ein Facebook-Mitglied eine Webseite mit einem solchen „Gefällt-mir“-Button auf, werden seine persönlichen Daten bis hin zur Identitätsnummer seiner laufenden Facebook-Sitzung an den Betreiber des sozialen Netzwerkes übermittelt. In einem solchen Fall kann Facebook detailliert beobachten, welche Webseiten das Mitglied besucht.

 

Facebook-Mitglieder, die während ihrer Web-Surftour nicht bei diesem sozialen Netzwerk angemeldet sind, geben spätestens beim Klicken auf einen Like-Button neben ihrer IP-Adresse und der Webadresse der aufgesuchten Seite auch noch Datum, Zeit, Browser-Typ und die eindeutige Cookie-Kennung preis. In der Regel reicht aber bereits der Aufruf der Seite bereits. Doch kann es hier zu unterschiedlichem Seitenverhalten kommen, das davon abhängt, wie die Software mit dem „Gefällt-mir“-Button eingebunden ist. In der Regel werden die persönlichen Daten des Surfers beim Aufruf der Webseite an Facebook übertragen, spätestens beim Klick auf den Button kommt es jedoch alle Fälle zur Datenübertragung, die die Cookie-Kennung mit einschließt

 

Über diese Cookie-Kennung kann ein Facebook-Mitglied identifiziert werden, wenn es sich zu einem späteren Zeitpunkt beim sozialen Netzwerk anmeldet, um zum Beispiel neue Fotos auf seine Facebook-Seite zu laden. Natürlich können Internet-Surfer die Installation des Cookies in ihrem Browser verhindern. Entweder vermeiden sie es konsequent, die Webseite „Facebook.com“ aufzusuchen. Dann hat Facebook natürlich keine Chance, die Webspionage-Software aufzuspielen. Oder aber Internet-Nutzer aktivieren in ihrem Browser eine zusätzliche Schutzfunktion, mit der sie die Installation von Cookies prinzipiell blockieren können.

 

Allerdings funktionieren dann nicht nur die „Gefällt-mir“-Buttons nicht mehr, sondern auch zahlreiche andere Funktionen auf diversen Websites versagen ohne Cookie-Erlaubnis ihren Dienst. Das Problem liegt in der Programmierung der „Gefällt-mir“-Buttons und ihrer Einbindung in die Webseiten. Die Facebook-Entwickler haben diese Buttons so angelegt, dass jede Webseite, die einen solchen Button einbindet, auch Software beziehungsweise den entsprechenden Quelltext der Web-Seitenbeschreibungssprache einbindet, der beim Aufruf dieser Webseite sofort ein Identifizierungsprogramm startet und Daten der Web-Anwender an Facebook übermittelt. Dabei wird der Browser des Internet-Nutzers veranlasst, die Webadresse der aufgerufenen Webseite, wie zum www.bundesregierung.de, zusammen mit dem Facebook-Cookie und der IP-Adresse des Nutzers, der diese Seite gerade aufgerufen hat, an die Server von Facebook zu senden.

 

Diese Browser-Routine läuft vollautomatisch ab. Der Internet-Surfer hat keine Möglichkeit, hier etwas zu stoppen oder auf den Programmablauf einzuwirken. Deshalb haben einige Betreiber von Webseiten, wie zum Beispiel der Südwestrundfunk oder der Zeitschriftenverlag Heise den „Gefällt-mir“-Button von Facebook etwas verändert.

 

Wenn zum Beispiel eine Webseite des SWR im Browser eines Internet-Nutzers geöffnet wird, um ein Sendemanuskript anzuzeigen, dann wird nicht der originale Facebook-Quelltext für den „Gefällt-mir“-Buton auf den Browser des Internet-Nutzers übertragen. Vielmehr wird ein einfacher Link zum Facebook-Button aufgerufen, der in einem eigenen Browser-Fenster dargestellt wird.

 

Die persönlichen Daten des Surfers, wie zum Beispiel Internet-Adresse, Cookie-Kennung von Facebook und die von ihm aufgerufene Webseite werden erst beim Klick auf den original Facebook-Button an den Server des sozialen Netzwerks übermittelt. So wird zwar die Datensammelei beim bloßen Seitenaufruf unterbunden und es kann n ein Informations- oder Warntext zwischen dem ersten „Gefällt-mir“-Klick und dem zweiten Klick auf den originalen Facebook-Button eingebaut werden, der dem Nutzer mitteilt, dass seine persönlichen Daten an Facebook übermittelt werden, wenn er den Like-Button drücken will.

 

Diese datenschutzfreundlichere Lösung ist gleich von zwei Seiten heftig kritisiert worden. Facebook bemängelt, dass damit der Original-Facebok-Button vom Website-Betreiber unzulässig verändert werde. Den Datenschützern in Schleswig-Holstein reicht diese „Zwei-Klick-Lösung“ für den „Gefällt-mir“-Button nicht. „Die Profilbildung bei Facebook lässt sich derart nicht verhindern“, bemängelt das Kieler Datenschutzzentrum. Zudem wisse der Anwender gar nicht, welcher weitergehenden Verarbeitung seiner persönlichen Daten durch Facebook er dann zustimme.

 

Ich finde, wir sollten diese Debatte nicht auf dieser Argumentationsebene weiterführen. Wenn ein privates amerikanisches Unternehmen Überwachungstechniken eines Polizeistaates anwendet, sollten wir Demokraten daraus die Konsequenz ziehen. Unsere Regierung kann solche Konsequenzen nicht ziehen. Denn die Sicherheitsbehörden hierzulande haben für solche Überwachungstechniken jede Menge Sympathien.

 

Da hilft nur eines: Wir müssen diesen nachrichtendienstlich-industriellen Komplex aufsprengen. Denn sein Geschäftsmodell funktioniert nur mit den Überwachungstechniken eines Polizeistaates.

Kommentar schreiben

Kommentare: 1
  • #1

    Ekki (Sonntag, 01 Februar 2015 13:35)

    Grundsätzlich stimme ich Ihnen zu. Aber einen Cookie als "Software" zu bezeichnen ist schlicht falsch. Und einen Cookie gar als "Webspionage-Software" zu bezeichnen ist falsch, alarmistisch und nimmt dem ansonst guten Beitrag die Glaubwürdigkeit.

    Ich bin Besseres von Ihnen gewöhnt, Herr Welchering. Weniger Aufgeregtes...

Was kann ein Comiccast?