Für diesen Beitrag habe ich 130 deutsche Nachrichtenseiten und Verlagsangebote analysiert. Das Fazit: Facebook liest fast überall mit. Durch Tracking-Tools kann der Konzern in vielen Fällen erkennen, welche Artikel ein Facebook-Nutzer anklickt. Die Gesetze untersagen diese Form von Tracking, aber die Verlage stört das nicht.
Bild: CC-BY 4.0 Oliver Hinzmann
Facebook sammelt persönliche Daten. Sie sind der wichtigste Vermögenswert der 500-Milliarden-Dollar-Firma und die Basis seines Geschäftsmodells. Seit einiger Zeit ist bekannt, dass Facebook nicht nur Daten von Nutzern seiner sozialen Netzwerke sammelt, sondern auch über praktisch alle anderen Internetnutzer. Eine wichtige Sammelstelle dabei sind Nachrichtenseiten und Portale von Presseverlagen.
Wie meine Recherche ergab, fließen von den Seiten vieler deutscher Nachrichtenmedien Nutzerdaten an Facebook ab. Der Datenkonzern kann mit seinen Software-Bausteinen Millionen Menschen in Deutschland beim Nachrichtenlesen über die Schulter schauen.
Was ist das Problem
2011 gab es mal eine größere Debatte um den Facebook-Button. Die breite Öffentlichkeit erfuhr damals erstmals, dass die standardmäßige Einbindung des Buttons dazu führt, dass Facebook auch externe Seitenabrufe personenbezogen speichern und auswerten kann.
Die Debatte und die folgenden Verfahren bis zum EuGH haben dazu geführt, dass der Button auf den meisten Nachrichtenseiten nicht mehr direkt eingebunden wird, sondern erst beim Anklicken eine Verbindung herstellt.
Heute ist Facebook in den meisten Nachrichtenseiten auf andere Art verankert. Mit verlockenden Produkten in seinem Business-Portfolio hat der Konzern es geschafft, auf rund 75 Prozent der deutschen Medienseiten präsent zu sein. Die Facebook-Tools können meist artikelgenau und personenbezogen den deutschen Medienkonsum auswerten.
Am bekanntesten ist „Facebook Pixel“, ein Bestandteil des umfangreichen Custom-Audiences-Tools. Die Verlage schätzen die Möglichkeit, damit ihre Leserschaft meist über Gerätegrenzen hinweg analysieren zu können. Sie können darüber auch neue Kunden erreichen. Die Werbevermarkter freuen sich über die Option, präzise Zielgruppen über Interessen zu definieren. Daneben gibt es speziellere Dienste wie „Brand Lift“ (Wirksamkeitsmessung) oder „Audience Network“ (klassische Werbeanzeigen). Ergänzend gibt es schließlich auch weiterhin viele kleine Tools, die z.B. den Like-Count eines Artikels abfragen oder Videos von Facebook einbinden. Insgesamt zwölf verschiedene Einbettungen habe ich bei meiner Recherche gefunden.
Das größte Problem dabei sind die Cookies, die von den Einbettungen mitgesendet werden. Damit kann Facebook Seitenaufrufe in vielen Fällen einem Facebook-User und damit einer echten Person und ihrer E-Mail zuordnen – noch Monate, nachdem diese Person bei Facebook eingeloggt war. Das funktioniert so lange, bis die Person ihre Cookies löscht. Und wer kein Facebook-Nutzer ist, bekommt trotzdem eine Nummer zugewiesen, unter der er oder sie getrackt wird.
Der Einsatz auf Seiten einzelner Nachrichtenartikel ist besonders problematisch: Damit bekommt Facebook Einblick in die Interessen der Leser. Es entstehen riesige Listen abgerufener URLs, die alle auf verschiedenen Nachrichtenseiten gelesenen Artikel einer Person enthalten können. Und daraus lassen sich auch besonders sensible Informationen wie Weltanschauungen oder Gesundheitsdaten ableiten. Das Missbrauchspotential diese Daten ist enorm, wie der Datenskandal um Cambridge Analytica gezeigt hat.
Die meisten Besucher wissen nichts von dieser Datenweitergabe. Meist vertrauen sie wohl ihrer Lieblingszeitung, die sie seit Jahren lesen.
Der Tracker wird rechtswidrig eingesetzt
Die juristische Lage ist eigentlich klar geregelt. Obwohl die Daten bei dem Konzern landen, sind die Betreiber der Nachrichtenseiten dafür verantwortlich, dass die Weitergabe nach DSGVO zulässig ist. Als Rechtsgrund erlaubt ist unter anderem das sogenannte „berechtigte Interesse“: Damit können Daten auch zu Werbezwecken weitergegeben werden. Doch da sprechen viele Gründe gegen Facebook. Spätestens seit Anfang April 2019 sollte das jedem Unternehmen klar sein: Die deutschen Datenschutzbehörden haben im Anhang zu einer gemeinsamen Orientierungshilfe (PDF) ein Beispiel aufgeführt und kommen zu dem klaren Schluss: Die Social-Media-Tracker sind normalerweise – wenn überhaupt – nur nach freiwilliger Einwilligung des Nutzers legal. Hinzu kommt, dass es entgegen der Rechtslage für die Nutzer unmöglich ist, diese gesammelten Daten einzusehen oder zu löschen. Auch das müssten die Verlage in ihre Abwägung einbeziehen.
Und selbst die dünne und von den Behörden früh verneinte Hoffnung, dass Tracking-Cookies noch nach dem älteren deutschen Telemediengesetz ohne Einwilligung eingesetzt werden dürfen, ist in diesem Fall nutzlos: denn auch im TMG §15 (3) gibt es schon das eindeutige Verbot, die pseudonymen Daten mit den Daten der echten Person zusammenzuführen. Die Facebooktracker sind daher schon seit 2007 nur mit ausdrücklicher Einwilligung zulässig.
Trotz dieser erdrückenden Klarheit nehmen die Verlage offenbar bewusst das Risiko eines Bußgeldes in Kauf – vermutlich auch, weil in dieser Sache noch keine Urteile oder Strafen gefallen sind. In der Branche nennt man das euphemistisch den „risikobasierten Ansatz“. Dabei ist es nichts anderes als ein kalkulierter Verstoß gegen die Grundrechte der Seitenbesucher zur eigenen Bereicherung.
Facebook versucht, sich möglichen Verfahren zu entziehen. Geschäftskunden von Facebook stimmen mit der Verwendung der Tracker in die AGBs von Facebook ein und versichern, dass sie vor der Einbindung der Tracker eine Einwilligung der Nutzer eingeholt haben.
Doch auf keiner der über 130 untersuchten Nachrichtenseiten konnte ich eine solche Einwilligungslösung finden. Falls keine vertraglichen Sonderbedingungen verhandelt wurden, tragen die Verlage das juristische Risiko der Verstöße also auf dem Papier alleine.
Tageszeitungen
83 Prozent der hier untersuchten Zeitungen, darunter Qualitätsblätter, liefern ihre Leser an Facebook aus. Vor dem Hintergrund einer fast täglichen kritischen Berichterstattung über den Konzern erscheint das absurd – aber am Ende entscheidet eben der Verlag über die Vermarktung und nicht die Redaktion.
Bei vielen Zeitungen fällt tatsächlich auf, dass sie bei rein redaktionellen Einbindungen bemüht sind, keine Nutzerdaten an Facebook zu senden. Das betrifft beispielsweise die erwähnten Like-Buttons, die mit wenigen Ausnahmen datenschutzkonform eingebunden sind. Bei manchen Verlagen, etwa der Badischen Zeitung, achtet man auch darauf, Like-Counts über Facebooks-Graph-API so abzurufen, dass keine Cookies vom Leser an Facebook gesendet werden – dann fällt immerhin der klare Personenbezug weg.
Oft sind Bemühungen der Redaktion aber vergeblich, weil andere Facebook-Dienste von externen Firmen eingebunden werden. Gerade Zeitungen beauftragen meist Vermarktungsfirmen für den Verkauf von Werbeflächen auf ihrer Seite. Die betreuen dann im Auftrag der Verlage in die Website eingebettete Skripte – dort sind Facebook-Tracker eingebunden. Hinter den Kulissen beklagt man, dass die großen Werbevermarkter, etwa der Ströer-Konzern, schwer dazu zu bringen seien, auf Facebook zu verzichten. Immer wieder konnte ich hören, dass man auf der Suche nach einem neuen Vermarkter ist, der datenschutzkonform arbeitet. Bei anderen Verlagen, etwa der Funke Medien Gruppe, setzt man Facebook dagegen umfangreicher und auch direkt über die eigenen Skripte ein – hier scheint man auch intern überzeugt zu sein, dass dies der richtige Weg ist. Eine Stellungnahme war von dem Verlag nicht zu bekommen.
Die hier rot markierten Websites haben einen Tracker eingebunden, der den Leser über Cookies identifizierbar macht. Es wurden alle Einbettungen von Facebook als Tracker gewertet, die Cookies mit *.facebook.com austauschen und daher die Möglichkeit hatten, den Leser personenbezogen zu erkennen (mehr zur Prüfmethode).
Legende:
😡 Facebook-Tracker
✅ kein Facebook-Tracker
Die mittlere Spalte ist besonders problematisch: Denn bei Artikelaufrufen werden äußerst schützenswerte Daten weitergeben. Unter Aboseite habe ich die Seiten geprüft, auf denen für ein Abo geworben wird – hier nutzt man oft Facebook Pixel, um Kunden direkt nach dem Besuch auf Facebook nochmal zu bewerben.
Die Tabelle basiert mit wenigen Ausnahmen auf der Wikipedia-Liste deutscher Zeitungen ab einer Druckauflage von 100.000.
Wochenzeitungen, Zeitschriften und Portale mit redaktionellen Inhalten
Bei den wichtigsten Zeitschriften und redaktionellen Portalen sieht es nicht besser aus: 80 Prozent nutzen rechtswidrig Facebook-Tracker. Immerhin verzichten die Gesundheitsportale wie Netdoktor oder Apotheken-Umschau auf Facebook-Einbettungen. Aber wer bei „Eltern.de“ über Schwangerschaftsabbruch oder Samenqualität liest, muss damit rechnen, dass diese Informationen bei Facebook profilbezogen gespeichert werden.
Anders als die meisten lokalen Zeitungsverlage haben Zeitschriften und Wochenzeitungen oft eigene große Vermarktungsdienstleister – so etwa Burda, Gruner + Jahr oder der Zeit-Verlag. Traditionell pflegt man im dortigen Management eine große Nähe zur digitalen Vermarktungswelt – und vergisst vor Begeisterung die Nachteile der riesigen Profildatensammlungen für Leser und Gesellschaft.
Jochen Wegner, der Chefredakteur von Zeit Online, kann im Werbefachmagazin Horizont schon mal ins Schwärmen kommen, wie toll personalisierte Werbung ist und wie sehr Amazon und Google im Interesse der Konsumenten handeln (Artikel hinter Paywall). Im Januar lud Wegner die Facebook-Chefin Sheryl Sandberg in Davos ein, auf einer Veranstaltung mit dem Titel „The Power of Platforms: A New Digital Business Model“ zu diskutieren. Wenn Vermarktung und Redaktion so nahe beieinander steht, erstaunt es nicht, dass Facebook in diesen Verlagen ohne Bedenken auf allen Seiten mithorchen darf.
Beide Verlage nennen auf Nachfrage als Grund für den flächendeckenden Einsatz des Trackingpixels ein harmloses Beispiel: Sie wollen Werbeanzeigen für Abo oder Newsletter auf Facebook für die eigenen Seitenbesucher schalten. Das allein erscheint aber wenig überzeugend. Die Interessen von monatlich 13 Millionen Nutzern bei Zeit Online erscheinen wertvoller als ein wenig Abowerbung und dürften ja bereits über den eigenen Vermarkter für Werbung verwendet werden. Da bleibt also einiges unklar.
Zeit und Gruner + Jahr haben über ihre Presseabteilungen bestätigt, dass man den Einsatz der Facebook-Tracker trotz der umfangreichen Datenweitergabe für richtig und legal hält.
Frei von Facebook-Trackern sind einige technikaffine Portale wie Gamestar, GMX und Heise: Insbesondere der Heise-Verlag setzt sich bereits seit Jahren dafür ein, dass redaktionelle Einbettungen (z.B. Tweets oder Like-Buttons) ohne direkten Kontakt zu externen Servern genutzt werden können und stellt das Tool Embetty auch anderen Verlagen zur Verfügung. Probleme mit der Vermarktung habe man wegen dem Facebook-Verzicht nach eigenen Angaben nicht.
| Name | Startseite | Artikelseite |
|---|---|---|
| Apotheken Umschau | ✅ | ✅ |
| Auto Bild | 😡 | 😡 |
| Auto Motor Sport | 😡 | 😡 |
| Bento | 😡 | 😡 |
| berlin.de | ✅ | ✅ |
| Brigitte | 😡 | 😡 |
| Bunte | 😡 | 😡 |
| Business Insider | 😡 | 😡 |
| Chefkoch | 😡 | 😡 |
| Chip | 😡 | 😡 |
| Computerbild | 😡 | 😡 |
| desired | ✅ | 😡 |
| Eltern | 😡 | 😡 |
| Entertainweb | 😡 | 😡 |
| essen & trinken | 😡 | 😡 |
| finanzen.net | ✅ | 😡 |
| Finanzen100 | 😡 | 😡 |
| fit for fun | 😡 | 😡 |
| Focus | 😡 | 😡 |
| Freenet | ✅ | 😡 |
| Gala | 😡 | 😡 |
| Gamestar | ✅ | ✅ |
| GIGA | 😡 | 😡 |
| GMX | ✅ | ✅ |
| gofeminin | 😡 | 😡 |
| Heise | ✅ | ✅ |
| Kicker | 😡 | ✅ |
| Kino.de | 😡 | 😡 |
| Lecker | 😡 | 😡 |
| mein schöner Garten | 😡 | 😡 |
| Moviepilot | 😡 | 😡 |
| Netdoktor | ✅ | ✅ |
| Netmoms | 😡 | 😡 |
| news.de | 😡 | 😡 |
| Spiegel | ✅ | 😡 |
| Stern | 😡 | 😡 |
| T-Online | ✅ | 😡 |
| Transfermarkt | 😡 | 😡 |
| TV Movie | 😡 | 😡 |
| TV Spielfilm | 😡 | 😡 |
| web.de | ✅ | ✅ |
| wetter.de | 😡 | 😡 |
| wetter.com | ✅ | ✅ |
| Watson | 😡 | 😡 |
| Wunderweib | ✅ | ✅ |
| Zeit Online | 😡 | 😡 |
Für diese Liste nahm ich die ersten 45 Websites mit regelmäßigen redaktionellen Inhalten aus der AGOF-Liste „Digital“ vom April 2019 als Grundlage.
Fernsehsender
Und schließlich noch ein kurzer Blick auf die Sender: Hier lässt sich beruhigt feststellen, dass die Öffentlich-Rechtlichen ihren Datenschutz im Griff haben. Aber die Privatsender verkaufen ihre Zuschauer an Facebook – wenn auch zu geringerem Anteil als die Verlagshäuser.
Öffentlich-Rechtliche Fernsehsender
| Name | Startseite | Artikelseite |
|---|---|---|
| 3sat | ✅ | ✅ |
| ARD | ✅ | ✅ |
| Arte | ✅ | ✅ |
| BR | ✅ | ✅ |
| hr | ✅ | ✅ |
| Kika | ✅ | ✅ |
| MDR | ✅ | ✅ |
| NDR | ✅ | ✅ |
| Phoenix | ✅ | ✅ |
| Radio Bremen | ✅ | ✅ |
| rbb | ✅ | ✅ |
| SR | ✅ | ✅ |
| SWR | ✅ | ✅ |
| WDR | ✅ | ✅ |
| ZDF | ✅ | ✅ |
Private Fernsehsender
| Name | Startseite | Artikelseite |
|---|---|---|
| DMAX | ✅ | ✅ |
| Kabel eins | 😡 | 😡 |
| Maxx | 😡 | 😡 |
| MTV | ✅ | ✅ |
| n-tv | ✅ | ✅ |
| Nick | ✅ | ✅ |
| ProSieben | 😡 | 😡 |
| RTL | 😡 | 😡 |
| RTL II | 😡 | ✅ |
| Sat.1 | 😡 | 😡 |
| Sky Sport | 😡 | 😡 |
| Sport1 | 😡 | ✅ |
| Vox | 😡 | 😡 |
Stand der Listen ist April/Mai 2019.
Was kann man tun?
Natürlich kann sich der/die Einzelne technisch gegen dieses Tracking schützen. Sinnvolle Empfehlungen findet man bei Digitalcourage oder bei dem Sicherheitsblogger Mike Kuketz.
Die systematische Auswertung unserer persönlichen Mediennutzung durch Facebook ist aber kein privates Problem, es hat eine gesellschaftliche Dimension. Daher sollte das Problem direkt bei den Verlagen gelöst werden.
Die Politik ist diesmal nicht schuld – mit der DSGVO haben Betroffene ein scharfes Schwert in der Hand. Eine Beschwerde an die Behörde ist kostenlos und unkompliziert. Mehr dazu in meinem Beitrag Facebook Tracker erkennen und dagegen vorgehen.
Klar ist aber auch: Journalismus muss bezahlt werden. Wenn die Auflagenzahlen gerade bei den Lokalblättern nicht so dramatisch nach unten gehen würden, hätten viele Verlage auch mehr Spielraum für kostenlose Basisinformationen auf der Website. Sobald die ersten Urteile gegen den Einsatz von Facebook-Trackern gefallen sind, werden viele Verlage und Vermarkter zu einer sogenannten Consent-Lösung übergehen: Das bedeutet, dass man die Seite erst lesen kann, wenn man der Datenweitergabe an Facebook zugestimmt hat. Immerhin wissen die Leser dann, dass ihre Daten weitergegeben werden. Aber das Problem für die Gesellschaft bleibt: die Mediennutzung wird dann weiterhin zentral und personenbezogen erfasst. Dann helfen nur neue Finanzierungsmodelle.
Dieser Artikel erschien zeitgleich bei rufposten.de, onlinejournalismus.de und netzpolitik.org.
Disclaimer: Ich habe mich hier auf den Facebook-Tracker und auf Medien-Websites konzentriert. Dass andere Werbenetzwerke – etwa jenes von Google – ähnlich funktionieren und andere Websites oder Apps oft noch problematischer sind, ist mir klar. Der Süddeutsche Verlag (Süddeutsche Zeitung) gehört aktuell zu meinen Auftraggebern.
Update 6. Juni: Die übersehene Neue Osnabrücker Zeitung eingefügt. Update 9. Juni: Die übersehene Stuttgarter Zeitung eingefügt.
Was bleibt: dank deiner Liste kann man jetzt gezielt die Seiten ansteuern die nichts mit Facebook am Hut haben: : Taz (Allgemeines), Heise (Computer) und die Apotheken Umschau(Gesundheit). Mehr Nachrichten braucht kein Mensch 😉
Obwohl…vielleicht noch „Wunderweib“ mit so wichtigen Informationen wie: „Pupsen: Wie oft ist normal?“
Da Chrome die API für Werbe- und Trackingblocker ja weitgehend abschalten wird und die meisten anderen Browser auf der Chrome-Engine basieren, bleibt fast nur noch der Firefox
Vielen Dank fuer diesen Artikel! Hab ihn in unserer Threema-Gruppe und bei Twitter geteilt.
Gerne! Sehr gut 🙂
Hallo Herr Eberl. Ich hätte hier noch ein Paradebeispiel für massives Tracking . Geht eigentlich noch mehr? Ganz schlimm sind auch Apps von diesen Portalen .
https://webbkoll.dataskydd.net/de/results?url=http%3A%2F%2Fmobil.mz-web.de%2F
Das ist tatsächlich ziemlich „beeindruckend“. Die Apps von einigen Zeitungen werde ich mir bei Gelegenheit auch mal genauer ansehen.
Hi Matthias, danke für diese ausführliche Recherche und den klaren, verständlichen Bericht darüber. Habe ich gleich in meinem Blog verwurstet und verlinkt: 🙂
Natürlich setze ich seit Jahren die empfohlenen Add-ons in Firefox ein: NoScript, uBlock Origin, Privacy Badger und weitere.
Und ich mache noch mehr, was ich hier auch empfehlen möchte: Ich nutze die Blacklist der Fritz!Box. Darin stehen bei mir Russland, Rumänien, Bulgarien, Türkei; alles von Yahoo und von F.c.book (in meinem Haushalt unnötig!); die verschiedenen Spitzeldienste von Google; einschlägige Werbungs-, SPAM- und Schädlings-Schleudern. Leider ist die Liste auf 500 Einträge begrenzt, aber das ist besser als gar nichts.
Der Charme dieses Ansatzes: Der Filter gilt für sämtliche Rechner in meinem Netzwerk, ohne dass ich dort zusätzliche Maßnahmen ergreifen müsste. Und wenn ich unterwegs bin, verbinde ich mich per VPN mit meinem heimischen Netz und genieße ebenfalls den vollen Schutz, ohne an jedem meiner Rechner, jedem Benutzerkonto und jedem FF-Profil neu frickeln zu müssen.
Herzliche Grüße, Christoph
Danke, das ist für viele sicher ein guter Tipp!
> Leider ist die Liste auf 500 Einträge begrenzt
Sieh Dir mal Pi-hole an
MfG
Jürgen
Ich warte schon sehnlichst auf mein neues Bmw Leasing. Ich freu mich so
Lieber anonym, ich freu mich auch total mit dir. Aber der Link musste trotzdem raus 😀