Meine Methode zum Artikel
Für meine Analyse zum Facebook-Tracker bei deutschen Medienseiten habe ich alle Einbettungen von Facebook als Tracker gewertet, die Cookies mit *.facebook.com austauschen. Dann ist die Möglichkeit gegeben, dass Leser personenbezogen erkannt werden. Grundsätzlich arbeiten Browser so, dass sie entweder keine oder alle Cookies an eine Website schicken. Es ist also nicht möglich, dass eine Seite die Weitergabe begrenzt, so dass nur anonyme Cookies an Facebook gesendet werden können. Insgesamt 12 verschiedene Tools konnte ich unterscheiden, nicht bei allen konnte ich herausfinden, warum der Verlag sie eigentlich eingebunden hat. Cookie-Banner, die auf den Facebook-Tracker nur hinweisen und ihn nicht bereits bei Aufruf der Seite verhindern, wurden ignoriert (sie sind technisch und juristisch nicht wirksam). Nicht immer erscheinen die Tracker beim ersten Aufruf und auf jeder Seite, es scheint statistische und auch wöchentliche Änderungen bei den Einbettungen zu geben.
So prüft man
Und so kann man mit Firefox oder Chrome relativ einfach selbst prüfen, ob eine Seite den Facebook-Tracker enthält:
Firefox:
- Im Menü Web-Entwickler/Netzwerkanalyse aufrufen (Oder Strg-Shift-E)
- Eine Seite aufrufen (oder mit Strg-F5 neu laden)
- Im Suchfeld („Adressen durchsuchen“) „facebook“ eingeben
- Wenn Inhalte von facebook.com erscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies.
Chrome:
- Im Menü More Tools/Developer Tools aufrufen (Oder Ctrl-Shift-I), dann den Tab Netzwerkanalyse
- Eine Seite aufrufen (oder mit Strg-F5 neu laden)
- Im Suchfeld (‚Filter‘) „Facebook“ eingeben
- Wenn Inhalte von facebook.com erscheinen und in der Spalte Cookies eine Zahl steht, hatte Facebook Zugriff auf die Cookies.
Hinweise und Beschwerden
Bevor man eine Beschwerde bei der Behörde einreicht, sollte immer der Verlag kontaktiert werden – nicht immer weiß man dort, dass ein externer Vermarkter Facebook-Tracker einbindet. Die Datenschutzbeauftragten der Verlage sind dafür eine gute Anlaufstelle. Sie sind unkündbar und können intern Druck machen. Die Verlage sind übrigens immer mitverantwortlich für die Einbindungen, weil sie über die Seite bestimmen. Sie können die Verantwortung für den Verstoß gegenüber dem Betroffenen nie vollständig an Facebook oder die Werbevermarkter abgeben.
Sollte der Tracker nach einer gesetzten Frist von z.B. zwei Wochen immer noch Cookies an Facebook senden, ohne dass man dem zugestimmt hat, stehen generell zwei Wege offen: Am einfachsten ist ein formloser Hinweis an die Datenschutzbehörde, der keine direkte Betroffenheit voraussetzt und die Behörde anregt, die Website des Verlages genauer zu untersuchen. Dann besteht allerdings keine Garantie, dass die Behörde den Fall bearbeitet. Da die Behörden aktuell stark überlastet sind, ist dieses Vorgehen möglicherweise nicht erfolgreich.
Eine Beschwerde kann dagegen nur einreichen, wer wirklich selbst von einem Datenverstoß betroffen ist. Da die personenbezogene Erfassung bei Facebook entscheidend für die Rechtswidrigkeit ist, sollte man die Beschwerde nur mit Facebook-Account stellen (daher nie vorschnell seinen Facebook-Account löschen – er kann in solchen Fällen auch gut gegen das Unternehmen verwendet werden).
Die Beschwerde idealerweise gleich an die richtige Behörde in dem Bundesland wenden, in dem der betroffene Verlag nach dem Impressum seinen Sitz hat. Hier ist die offizielle Liste: Für Unternehmen sind die Aufsichtsbehörden für den nicht-öffentlichen Bereich zuständig (die Landesdatenschutzbeauftragten kümmern sich nur um den Datenschutz in der Verwaltung).
Alles, was den Datenschutzverstoß belegen kann, sollte mitgesendet werden: Das sind insbesondere die oben beschriebenen Netzwerkanalysen, die man als HAR-Datei abspeichern kann (in der Netzwerkanalyse mit der rechten Taste auf eine beliebige Zeile, „Alles als HAR speichern“). Idealerweise führt man den Seitenaufruf mit eingeloggtem Facebook-Account durch, dann ist über das Cookie „c_user“ die personenbezogene Weitergabe an Facebook belegt.
Dazu noch die URL der aufgerufenen Website. Den Rechtsverstoß kann man nach Vorlage des Beispiels in der Orientierungshilfe der Datenschutzbehörden (S. 23-25) formulieren. Kurz gefasst: bei dieser personenbezogenen Datenweitergabe ist nicht mehr von einem berechtigtem Interesse nach DSGVO Art. 6(1)f auszugehen. Daher fehlt die Rechtsgrundlage für die Weitergabe der aufgerufenen Artikelseiten-URL an Facebook. Dem Verlag muss bekannt sein, dass die Daten bei Facebook weder gelöscht noch eingesehen werden können. Auch die Aufhebung der Pseudonymisierung erwähnen, die in TMG §15 (3) ausdrücklich untersagt ist. Eventuell kann man auch den angegeben Grund aus der Datenschutzerklärung des Verlages prüfen: wenn damit z.b. lediglich Abowerbung auf Facebook betrieben werden soll, ist die Weitergabe aller aufgerufenen Artikelseiten nicht mehr verhältnismäßig. Und schließlich auch mitteilen, dass der Verlag auf Anfrage nichts geändert hat.
Wer Fragen zur Ausarbeitung von Beschwerden hat, kann sich gerne im DSGVO-Forum des Sicherheitsbloggers Mike Kuketz erkundigen, ich bin dort auch aktiv.
Hallo
Ich habe noch nicht verstanden, warum das Tracking problematisch ist.
Vielen Dank für die Anwort
Gunnar
1. Für den einzelnen Facebook-Nutzer: weil bei Facebook so große Mengen des täglichen Nachrichtenkonsums gespeichert werden können und darin auch sehr sensible Interessen vorkommen können (Politische Einstellungen, Gesundheitsthemen, psychische Krankheiten). Der normale Leser wird nicht davon ausgehen, dass ein Besuch bei einer Website seine Datensammlung bei Facebook erweitert. Schließlich kann eine so breite Erfassung dazu führen, dass Nutzer gar keine Artikel (z.B. zu psychologischen Krankheiten oder politischen Bewegungen) mehr aufrufen, weil sie das Gefühl haben, dabei überwacht zu werden. Hinzu kommt noch die allgemeine Kritik an verhaltensbasierter Werbung, z.B. dass sie möglicherweise das Kaufverhaltens durch psychologisch ausgetüftelte Big-Data-Analysen effektiv beeinflussten kann.
2. Weil diese Daten bei Facebook weder eingesehen noch gelöscht werden können.
3. Gesellschaftlich: Weil eine zentrale Sammlung des Nachrichtenkonsum von ca. 10-13 Millionen Deutschen ein enormes Missbrauchspotenial bietet. Cambridge Analytica hat das gezeigt. Der NSA-Skandal oder die Verfolgung politischer Aktivisten oder Homosexueller in anderen Staaten lassen das Problem ebenfalls deutlich werden.
4. Vor allem aber, weil es (u.a. aus den genannten Gründen) rechtswidrig ist.
Mitschuld tragen die Verlage!
Sehr interessant und sehr hilfreich ! Muss mir mal überlegen, ob ich bei „meiner“ Zeitung tätig werde.
Übrigens für all jene, die das immer noch als „normal“ empfinden: was würdet ihr sagen, wenn der neu zugezogene Nachbar, den ihr kaum kennt, scheinbar genaue Bewegungsprofile von euch anlegt: ein Foto hier, wenn ihr das Haus verlaßt, ein Foto dort vom Kennzeichen der Bekannten, die zu Besuch sind. Und wenn die Post kommt, dann schnell mal den Postboten gebeten, ein Foto aller Umschläge und Kataloge zu machen, die gleich in eurem Briefkasten landen. Amazon und Zalando nimmt er natürlich auch gerne entgegen, um die Buchhaltung eures Lebens zu kompletieren. Spooky ? Ich finde schon….. Aber ich habe gut reden: ich habe ein Android-Phone eines chinesischen Herstellers – da tracken gleich noch zwei andere mit !
Das größte Drama indes: die zitierten „klassischen“ Medien verlieren ohnedies ihre Relevanz: auch wenn FB die user auf Medien-Seiten trackt, so ist dort wenigstens einigermaßen kuratierter Inhalt finden, der tatsächlich für ein fundierte Meinungsbildung geeignet ist. Der Großteil der Medienkonsument setzt sich mittlerweile aber lieber, da kostenlos, ungeschütz direkt der social media filter bubble aus.
Meine Metapher dazu: man stelle sich ein Solarium vor, welches kostenlose Sonnenbank-Gänge verspricht unter der Bedingung, daß man auf Sonnenschutz verzichtet. Wen würde es wundern, wenn der Blick ins Handelsregister den Dermatologien als stillen Teilhaber zeigt ? Und wer profitiert am meisten in dieser Konstellation ?
Hoffentlich sprengt das nicht den Rahmen:
Was hältst Du eigentlich von Privacyboxen wie eBlocker (geht im Moment ja leider in Insolvenz), PiHole oder Trutzbox?
Habe hier seit anderthalb Jahren den eBlocker und finde solche Konzepte wunderbar!
Kann nicht so viel dazu sagen, nur drei Gedanken:
1. Werbung komplett zu blocken finde ich unfair. Frei zugänglicher Journalismus ist ein wichtiger Baustein für eine informierte Gesellschaft. Gerade für Leute, die eigentlich gar keine Zeitung mehr lesen und nicht mal ein paar Euro für eine Abo zahlen würden. Wäre schade, wenn man das komplett den öffentlich-rechtlichen überlassen muss. Deshalb besser darum kämpfen, dass Werbung fair und datenschutzkonform ist (auch wenn das offenbar gerade nicht wirklich bei den Verlagen ankommt).
2. Eigentlich braucht man die Geräte ja nur, wenn man sehr viele Geräte darüber ins Internet lässt, oder?
3. Generell finde ich dann Ansatz toll, die Vorteile von Open Source mit der Bequemlichkeit von fertigen Lösungen zu verbinden – da macht Trutzbox einen guten Weg. Ob dann nicht zu viel versprochen wird oder die Einstellungen im Detail Sinn machen, kann ich aber nicht beurteilen. Daher sollte man immer prüfen, ob diese Boxen komplett transparent sind, damit Fachleute überprüfen können, was da drin passiert.
Der Tip war gut, seitdem hat mein Pi-hole mehrere neue Einträge in der Blacklist bekommen.
Jetzt habe ich eine gute Kontrolle darüber was mein kleiner Raspberry so alles filtert.
Der Vorteil dabei ist, das man Firefox in Ruhe lassen kann, und wenn man trotzdem mal auf eine „verseuchte“ Webseite muss, kann man den Filter einfach temporär ausschalten.
MfG
Jürgen
Matthias Eberl 15. Juni 2019 at 15:03
„… 1. Werbung komplett zu blocken finde ich unfair…
Unklar und absolut unverständlich ist mir bis jetzt des Festhalten des Machtinstruments Werbung mit all seinen Facetten (z.b. PR-Kampagnen wie die zur Legitimisierung des Irakkriegs u.v. Abscheulichkeiten mehr) als legitimes Mittel der Wahl und absolut notwendiges Übel. Vermutlich utopisch aber ist nicht vielleicht mal drüber nachzudenken die komplette Werbeindustrie zu demaskieren und als kriminellen Akt zu verbieten?? Gleichzeitig könnte man in dem Zug einiger der mächtigsten Konzerne der der Welt, denn letztlich agiert facebook als nichts andres als eine Werbeagentur, zerschlagen und zumindest ein bisschen an den Grundfesten des Neoliberalismus rütteln..
Frei zugänglicher Journalismus ist ein wichtiger Baustein für eine informierte Gesellschaft… “
Steht außer Frage!! Gibt es denn wirklich keine andere Möglichkeit unabhängigen (!), seriösen freizugänglichen Journalismus zu finanzieren?? Ich denke schon oder?
„Gibt es denn wirklich keine andere Möglichkeit unabhängigen (!), seriösen freizugänglichen Journalismus zu finanzieren?? Ich denke schon oder?“
Absolut. Und zwar indem dafür bezahlt wird. Das will aber niemand im Internet. Niemand käme auf den Gedanken, in einen Laden zu gehen und eine Zeitschrift von Vorne bis Hinten (was seinerseits auch nicht ohne Werbung wäre!) durchzulesen.
Nur weil etwas aber im Internet stattfindet legen Menschen wie Sie einen anderen Maßstab an und verlangen, Inhalte gratis zu konsumieren. Der Journalist muss aber bezahlt (oder wie im Falle von Herrn Eberl bespendet) werden, egal wo sein Artikel erscheint.
Daher die – auf einer Seite wie dieser ketzerische – Gegenfrage, ist die Gratismentalität nicht gerade der Sargnagel im unabhängigen Journalismus, den alle immer fordern? Ist nicht das verhindern, dass andere mit ihrer Hände und Köpfe Arbeit Geld verdienen, weil man es technisch in seinem Browser kann, vielmehr ein krimineller Akt als das Anzeigen eines Werbebanners?
Schöne Grüße.