Datr-Cookie: Facebook fürchtet um Sicherheit seiner Nutzer

Facebook führt Sicherheitsgründe für den Einsatz des Datr-Cookies an, nachdem es von der belgischen Datenschutzbehörde CPVP verklagt wurde. „Das Vorgehen der belgischen Datenschutzbehörde könnte unsere Anstrengungen unterminieren, die Konten von Menschen in Belgien sicher zu halten“, argumentiert Facebooks Chief Security Officer Alex Stamos in einem Blogeintrag.

Das Datr-Cookie ist unter anderem deshalb umstritten, weil es auch die Nachverfolgung von Nutzern erlaubt, die nicht Mitglieder des Social Networks sind und nicht dort eingeloggt waren. Es wird vielmehr im jeweiligen Webbrowser schon beim Besuch der Website Facebook.com gesetzt – und meldet anschließend an Facebook, wenn dieser Browser eine Webseite mit einem aktiven Social-Plug-in wie einem „Like“-Button besucht.

Die belgischen Datenschützer fordern in dem seit Mitte Juni laufenden Prozess gegen Facebook eine hohe Geldbuße. Nach ihrem Willen soll das Social Network jeden Tag 250.000 Euro Strafe zahlen, solange es bei seinen Mitgliedern wie auch Anwendern ohne Facebook-Konto ohne deren Zustimmung Tracking einsetzt und damit gegen geltende Datenschutzgesetze verstößt.

Laut Sicherheitschef Alex Stamos, den Facebook im Juni von Yahoo abwarb, dient das seit über fünf Jahren eingesetzte Datr-Cookie jedoch nur der Sicherheit der Nutzer und nicht etwa dazu, Informationen über Nichtmitglieder zu sammeln und gezielte Werbung an sie auszuliefern. Es soll vielmehr die Erstellung gefälschter Konten verhindern, das Risiko der Übernahme eines Nutzerkontos verringern, von Nutzern geschaffene Inhalte vor Diebstahl schützen sowie DDoS-Angriffe abhalten, die das Social Network unerreichbar machen könnten.

Das Cookie sei nur mit Browsern und nicht mit individuellen Besuchern verbunden. Es werde eingesetzt, um statistische Informationen über das Verhalten eines Browsers auf Sites mit Social-Plug-ins zu sammeln und dadurch Verhaltensmuster eines typischen Angreifers von den Verhaltensmustern echter Personen zu unterscheiden. Wenn das gesetzte Cookie beispielsweise den Besuch von Hunderten Sites in den letzten fünf Minuten ausweise, spreche das für einen Bot. Umgekehrt erscheine ein Browser bei konsistenter Nutzung über Tage hinweg legitim und sollte den gewohnten Zugang zu Facebook erhalten. Mit Datr generierte Logs werden laut Facebook nach zehn Tagen „gründlich gelöscht“.

„Wenn das Gericht uns verbietet, das Datr-Cookie in Belgien zu nutzen, dann verlören wir eines unserer besten Signale dafür, dass jemand ein legitimer Besucher unserer Site ist“, schreibt Stamos. „In der Praxis würde das bedeuten, dass wir jeden Besuch unseres Dienstes von Belgien aus als eine nicht vertrauenswürdige Anmeldung behandeln und eine Reihe anderer Verifizierungsmethoden einsetzen müssten, mit denen die Menschen beweisen können, dass sie die wirklichen Besitzer ihrer Konten sind. Es würde Geräte in Belgien außerdem attraktiver für Spammer machen und andere, die in Untergrundforen mit kompromittierten Konten handeln.“

Die belgische Datenschutzbehörde hingegen erklärte, das Cookie sei nicht nötig zum Schutz der Nutzer. Eine Sprecherin verwies auf eine von der CPVP beauftragte Studie. Diese war zum Ergebnis gekommen, dass Facebook gegen europäisches Datenschutzrecht verstößt.

Facebook muss in Europa mit weiteren datenschutzrechtlichen Problemen rechnen, nachdem der Gerichtshof der Europäischen Union (EuGH) das sogenannte Safe-Harbor-Abkommen zwischen der EU und den USA über die Übermittlung personenbezogener Daten von EU-Bürgern kassiert hat. Das Verfahren ausgelöst hatte eine Beschwerde des österreichischen Juristen Max Schrems, der seine von Facebook auf US-Servern gespeicherten Daten nicht ausreichend vor einer Ausspähung durch US-Behörden geschützt sah. Schrems begrüßte das Urteil und lobte außerdem die Stärkung der Befugnisse nationaler Datenschutzbehörden in Europa. Sie haben nun das Recht, auch in Einzelfällen die Übertragung von Daten in die USA zu überprüfen.