Like It or Not: Auch ohne Klick kann Facebook Nutzer tracken

Wie Facebook mit dem neuen Like-Button das Surfverhalten passiver Nutzer erfassen kann – und wie man das verhindert

“Daumen hoch?” fragte sich die Netzwelt, als Facebook kürzlich seinen neuen Like-Button vorstellte: Die “Gefällt-mir”-Funktion lässt sich neuerdings in jede beliebige Webseite integrieren. Der Button mit dem Daumen kann jedoch noch einiges mehr, als kundzutun, was man im Netz so alles toll findet. Er verrät Facebook, wo sich seine Nutzer im Netz bewegen. Das ist sogar möglich, wenn man den Button gar nicht klickt.

Der neue Knopf funktioniert ähnlich wie die Share-Buttons, die es schon auf hunderttausenden Webseiten gibt: Man klickt „Share“ oder „Teilen“ und verbreitet die Seite damit über seine sozialen Netzwerke. Das Neue am Like-Daumen: Man teilt nicht nur Seiten über Facebook, sondern bewertet sie auch gleich positiv. dradio Wissen erklärt die Funktion an diesem Beispiel:

„Auf der Website einer Modemarke gibt es diesen Like-Button. Wenn dem Surfer die Modemarke oder deren Website gefällt, klickt er auf den Like-Button, und das wird in Facebook angezeigt. Das ist also so eine Art Weiterempfehlen-Funktion nicht nur für Nachrichten, sondern für alles, was es im Internet gibt. Bei allem soll der User in Zukunft sagen können “Find ich gut” und über Facebook mitteilen können.“

Damit jeder den Daumen einfach auf eine eigene Webseite einbauen kann, stellt Facebook einen Code-Schnipsel zur Verfügung. Wenn man den einbaut, erscheint der Like-Daumen auf der Seite, und jeder Besucher, der auf den Button klickt, stellt die Seite ins eigene Facebook-Profil ein. Neben dem Like-Button auf der Seite wird dann vermeldet: „Dir und [X] Personen gefällt das!“

Nutzertracking im Vorbeisurfen

Das ist allerdings nicht alles, was der Button kann. Durch das Daumen-Einbinden passiert noch viel mehr – ob man es nun ‘liked’ oder nicht:

Wenn man auf eine Seite mit eingebundenem Like-Button kommt, kann Facebook seine Nutzer in vielen Fällen direkt identifizieren. Es verknüpft den Besuch auf der externen Seiten mit dem Nutzerprofil – und zwar ohne, dass man auf den Like-Button überhaupt klicken muss. “Facebook’s watching you, brother“, warnt Eray Basar von 9elements.

Das funktioniert, weil Facebook über den iFrame die Möglichkeit schafft, Cookies auf der externen Seite zu hinterlegen und wieder abzurufen. Bei üblichen Share-Buttons ist das nicht möglich. Der iFrame ist dabei eine zweite eigenständige Facebook-Seite in der externen Seite, die den Like-Button enthält. Dass man jetzt “liken” kann, ohne Facebook zu besuchen, ist also falsch: Man IST auf Facebook, wenn man auf eine Seite mit Like-Button kommt. Ist der Button auf CNN, besucht man gleichzeitig Facebook und CNN.

Seitenbetreiber locken ahnungslose Besucher eigener Seiten so in eine Datenfalle. Ihr Surf-Verhalten wird von Facebook notiert, ohne dass sie überhaupt eine bewusste Aktion ausführen. Die Besucher haben dabei weder die Möglichkeit zum Opt-In noch zum Opt-Out: Sie können weder im Vorhinein noch im Nachhinein über die Daten-Übertragung entscheiden, sie bewusst erlauben oder untersagen. So eine Art „No-Opt“ also (1).

Voraussetzung: Eingeloggt bei Facebook

Damit Facebook an die Daten kommt, muss eine Voraussetzung erfüllt sein: Der Besucher muss bei Facebook registriert sein und darf sich nach seinem letzten Besuch nicht ausgeloggt haben. Hat man also nach Besuch bei Facebook nur Browser-Fenster oder Tab geschlossen, ist das eigene Profil auch auf anderen Seiten erkennbar (2).

Umgekehrt heißt das: Hat man sich ausgeloggt, kann Facebook die Besuchsdaten nicht mehr einfach mit seinen User-Daten verknüpfen.

Vermutlich wissen viele der begeisterten Seitenbetreiber, die einen Like-Button einbauen wollen, nicht genau, wie Facebook über den Button an Daten gelangt. Es kursieren bereits zahlreiche Anleitungen zum Einbau des Buttons im Netz, Blog-Plattformen wie WordPress stellen mittlerweile Plugins zur Verfügung, um die Einbindung zu erleichtern. Es gibt auch schon erste Mash-Ups, wie likebutton.me, das einen Überblick über das gibt, was eigene Freunde im Netz gut finden.

OpenLike ist auch keine Lösung

Als Alternative zu dem von Facebook programmierten Button wird “OpenLike” gehandelt. Dabei fußt OpenLike nicht auf einer Kritik an Facebooks Umgang mit User-Daten. Die Idee bei OpenLike ist eher, dass man Informationen und damit Marktmacht nicht nur einem Anbieter überlässt (3). Deshalb ermöglicht OpenLike, dass man seine Lieblingsseiten auf verschiedenen Netzwerken, wie Digg, Twitter und auch Facebook teilt:

Instead of having all of your preferences stored by a single company, OpenLike gives you a way to send your data where you want it.

Allerdings könnte man all das bis auf das Facebook-“Like” mit klassischen Share-Buttons erreichen. Denn bei den meisten anderen Netzwerken ist “Like” als Funktion gar nicht vorgesehen. Und das wichtigste: Auch bei OpenLike trackt Facebook weiter im “No-Opt”.

Viele Seiten wie CNN.com oder Levis haben den Facebook-Button bereits eingebaut. Für alle, die nicht ständig von Facebook begleitet werden wollen, bleibt deshalb nur: Ausloggen.

Schnell programmierbar: Opt-In-Alternativen

Ein vorgeschalteter Button kann verhindern, dass man Besucher seiner Seite zwingt, Facebook seine Identität preiszugeben. So ein Button lässt sich schnell programmieren. Zur Demonstration hat Dorian Roy folgenden Opt-In-Button gebastelt, den man vor den Facebook-Button schalten kann:

Hinweis: Dorians Code für den Facebook-Button ist mittlerweile veraltet. Inzwischen hat heise.de aber einen neuen Code gebastelt und ihn Open Source zu Verfügung gestellt – zu finden ist das unter dem Stichwort 2-Klick-Lösung.

Erst wenn man diesen Button anklickt, bekommt Facebook das Cookie mit den Daten eines bei Facebook eingeloggten Besuchers zugesandt. Mit diesem oder ähnlichen Vorschaltbuttons könnten Anbieter von Webseiten verhindern, das Besucher, die sich nicht bei Facebook abgemeldet haben, unerwünscht über den Like-Button getrackt werden. Auf seinem Blog erklärt Dorian, wie man den Opt-In-Button einbaut.

Der vorgeschaltete Opt-In-Button hat allerdings auch Nachteile. Weil er vorgeschaltet ist, sieht man nicht gleich, wieviele Leute die Seite gut fanden. Dafür muss man erstmal auf den Button klicken. Für viele Seitenbetreiber ist aber wahrscheinlich gerade die Möglichkeit, die eigene Beliebtheit über den Button direkt anzuzeigen, ein ausschlaggebendes Argument, ihn einzubauen.

Liken ist Futter fürs Profil

Und natürlich ändert sich durch Einbau eines Opt-In-Buttons nichts an dem, was man mit Klicken des Like-Buttons alles bewirkt. So führt der Klick auf den Button bei einem Film auf einer Filmseite zu einem automatischen Vermerk in der “Interessen”-Spalte des eigenen Profils, wie Ian Paul erläutert:

At first glance this doesn’t sound like much, but keep in mind that whenever you connect with a site using your Facebook login, your ‘Likes and Interests’ are public by default. That means any site you connect with will have access to your favorite movies, books, music, and ‘Other’ pages (Other pages are mostly made up of your old Facebook Fan pages).

It’s also important to note that when you press ‘Like’ on an IMDB page or other site with the ‘Like’ button, that Webpage is now linked to your profile where all of your friends and other Facebook users can see it.

Kritische Stimmen weisen außerdem auf das Spam-Potential der Buttons hin (4).

Ob man ihn jetzt mag oder nicht: Seitenbetreiber wie Nutzer, die Facebooks neuem Like-Button begegnen oder ihn benutzen, sollten wissen, was er alles kann.

Anmerkungen

(1) Die Möglichkeit zum Opt-Out im Rahmen der Facebook-Einstellungen gibt es anscheinend nur für die Weitergabe von Daten an Partner von Facebook wie Pandora (siehe zu diesem Thema Dan Tynans Artikel).

(2) Rein theoretisch könnte Facebook allerdings auch ausgeloggte Besuchern anhand eines IP-Vergleichs eigenen Nutzerprofilen zuordnen, wofür es allerdings keinen Hinweis gibt.

(3) Martin Weigert von Netzwertig hält den Button schon jetzt für einen neuen Standard. TechCrunch fragt: “Are like buttons evil?”.

(4) Ein Experiment dazu gibt es schon, auch Spiegel Online hat diesen Aspekt aufgegriffen.

Foto: “two thumbs up” by Aidan Jones, CC-by-SA



Posted

in

by

Comments

9 responses to “Like It or Not: Auch ohne Klick kann Facebook Nutzer tracken”

  1. […] Um dem gan­zen den Wind etwas aus den Segeln zu neh­men, kann man als Website-Betreiber bei­des haben: den Like-Button und ein gewis­ses Maß an Daten­schutz. Beschrie­ben wird dies von Dorian Roy. Gefun­den habe ich das über Anja Krie­ger, die übri­gens sehr aus­führ­lich und sach­lich das Thema beschreibt. […]

  2. […] PCGH intern: Nun auch mit Facebook-Likes Like It or Not: Auch ohne Klick kann Facebook Nutzer tracken Anja Krieger __________________ In Flames we […]

  3. […] Anjakrieger.com: Like It or Not: Auch ohne Klick kann Facebook Nutzer tracken […]

  4. xen

    hi,

    schöner Beitrag !

    Wiess jemand wie ich auf meiner wenseite erkennen kann ob ein besucher einen f.book account hat bzw. bei f.book eingeloggt ist – damit ich facebook user blocken kann ?

    bitte keine fragen zum sinn/unsinn

  5. Anja Krieger

    Verstehe ich nicht ganz: Was bezweckst du damit?

    Wie man das sehen und ob man das blocken kann, kann ich dir auch nicht sagen.

  6. xen

    z.B. Kennst Du die “IE6 Warnungen” auf manchen Seiten, welche nur IE6 Benutzern angezeigt werden ?

    Auf dieser Weise will ich facebook usern anderen content auf einer Seite anzeigen. bzw “nicht fb user” von facebook related content verschonen.

  7. […] mit gefälschtem Absender zu schreiben (hier eine zweite Quelle); ihre Nutzer dazu motiviert, ihre eigenen Websites durch Nachladen von 10000 Zeilen JavaScript [!] in Tracking- und Datensammelma…, was nicht einmal annähernd den rechtlichen Anforderungen in der Bundesrepublik Deutschland […]

  8. […] man das Internet mit der börsennotierten, Menschen ausspionierenden, spammenden, Kommunikation fälschenden und ohne seriöses Geschäftsmodell agierenden AG hinter […]

  9. […] fragwürdiger hier). Dieses Facebook, das keine Hemmungen hat, seine Nutzer dazu aufzufordern, das gesamte Web mit dem so genannten »Like-Button« in eine Tracking-Engine für die Date…² und früher, bis das mal aufgeflogen ist, durch spezielle Programmierung dafür Sorge trug, dass […]