fbclid - wie Facebook unbemerkt die Benutzer ausspioniert

News | 07.01.2019 | Anton Pavlushko

Das letzte Jahr verging in Deutschland unter dem Zeichen des Datenschutzes – Politiker aller Parteien sprachen plötzlich über den Schutz der Benutzerdaten. NetzDG, GDPR oder eine neue Steuer auf ausländische Internetunternehmen mussten auf die eine oder andere Weise den europäischen Nutzer schützen und die Auswirkungen von amerikanischen Projekten, die das Internet vollständig beherrschen, begrenzen. Wenn es die Nominierung „Das Böse des Jahres“ gäbe, würde Facebook zu Recht der Preis verliehen werden. Für einige deutsche Politiker ist der Kampf gegen dieses Projekt fast zum Sinn des Lebens geworden.

Meine Daten gehören mir – ein solches Mantra ist oft von Anhängern der Datenschutzsekte zu hören. Einige versuchen sogar, personenbezogene Daten und Cookies auf den Rang neuer Menschenrechte zu heben. Einige Ereignisse bleiben jedoch völlig unbeachtet.

Irgendwann im Oktober 2018 änderte Facebook den Mechanismus für das Öffnen externer Links. Wenn man in einem Beitrag oder Kommentar einen Link zu einer externen Ressource angibt, fügt Facebook der Webadresse eine Variable hinzu – fbclid. Die Bedeutung der Variablen besteht darin, das Verhalten von Benutzern außerhalb von Facebook zu verfolgen. Das Hinzufügen von Variablen zu einer Webadresse ist an sich eine ziemlich umstrittene Entscheidung.

Die Variable unterscheidet sich, je nach Benutzer. Meldet man sich von verschiedenen Konten an und klickt auf den externen Link, dann ist der Wert der fbclid-Variable unterschiedlich. Wenn man abgemeldet ist, wird die Variable überhaupt nicht hinzugefügt. Das heißt, die Bedeutung der Variablen besteht darin, den registrierten Fb-Benutzer und sein Verhalten außerhalb des Netzwerks zu verfolgen.

Wie kann Facebook das nutzen?

Solche Variablen nutzt Facebook für zusätzliche Auswertungen und das „Tracken“ der Benutzer. Hierzu ein paar Beispiele.

Klassisches Web-Tracking: Benutzer A sieht bei Facebook einen Beitrag oder Kommentar mit einem Link, der zu einer externen Webseite B (also, außerhalb von Facebook) führt. Benutzer A klickt auf den Link und wechselt zu der externen Ressource B. Dabei wird zur Webadresse von B die Variable fbclid hinzugefügt. Wenn auf dieser Webseite B die Cookies von Facebook verwendet oder andere Facebook-Plugins (Facebook-Pixel etc.) verwendet werden, so erhält Facebook über fbclid die Information über den Besucherverhalten außerhalb des soziales Netzwerkes. Außerdem weiß Facebook, wie man zu dieser Seite gekommen ist.

Angenommen, die Webseite B enthält keine Plugins von Fb. In diesem Fall scheint die Variable völlig harmlos zu sein. Ist sie aber doch nicht. Man fand den Artikel nützlich und sandte den Link per E-Mail, WhatsApp oder E-Mail weiter. Der Link enthält den fbclid-Parameter. Der Adressat öffnete den Link, fand es auch gut und wollte es weitersenden oder gar bei Facebook wieder posten. Wenn man es wieder bei Facebook postet, wird das Netzwerk sofort merken, von wem man diesen Link bekam. Man muss nicht einmal befreundet sein, doch Facebook würde die Verbindung erkennen.

Fahren wir mit den Überlegungen fort. Facebook könnte einen Webcrawler programmieren, der alle Links mit dem fbclid-Parameter im Internet erfasst. Technisch gesehen ist dies eine eher triviale Aufgabe und Facebook entwickelt sicherlich etwas in diese Richtung. fbclid trägt die Information, wer diesen Link ursprünglich bei Facebook postete (Benutzer C) und auch wer ihn anklickte (Benutzer D).

Wenn jemand den gleichen Link außerhalb von Facebook verwendet, wird man sicherlich den fbclid-Parameter manuell nicht entfernen und höchstwahrscheinlich wird man es als einen gewöhnlichen Teil der Webadresse betrachten. Es könnte ein politischer Text sein oder man wollte etwas als anonymer Benutzer schreiben. Aber für Facebook bedeutet dies, dass offensichtlich eine Verbindung zwischen dem Text mit dem Link und den Benutzern C und D besteht. Ok, höchstwahrscheinlich bleiben diese Daten und Erkenntnisse in der internen Küche für Facebook-Datenanalysten und nicht mehr. Zumindest bis zum nächsten Datenleak :)

Werbung von Google macht dasselbe. Fast.

Google macht das Gleiche in seinen Anzeigen. Dort bekommt jeder ausgehende Werbungs-Link einen zusätzlichen Parameter – gclid (Google Click Identifier). Dank dieses Parameters wird relevante Werbung angezeigt. Damit spielen Google Analytics, Google AdWords und Google AdSense zusammen. Diese Option wird jedoch nur zu Werbungszwecken hinzugefügt. Bei den üblichen Suchergebnissen wird man ohne einen zusätzlichen Parameter verlinkt. Umso seltsamer ist es, wieso Facebook alle ausgehenden Links nach außen kontrollieren möchte.

Fazit

Merkwürdig, aber fbclid wurde von keiner Datenschutzbehörde oder den zahlreichen Aktivisten bemerkt. Möglicherweise besteht das Problem darin, dass in Deutschland zu viele Menschen über Datenschutz und IT-Sicherheit sprechen, die keine Ahnung von der IT-Branche haben. Juristen, Journalisten, Rechtsanwälte – alle äußern sich zum Thema IT, jeder hat eine eigene Meinung zu Datenschutz oder künstlicher Intelligenz. Viele bauten so Ihre ganze (politische) Karriere auf, ohne den technischen Hintergrund zu kennen.

Facebook führte schlau eine neue Ebene des Trackings ein, was formal keinem Gesetz unterliegt und gegen kein Gesetz verstößt. Dies wurde bislang nur von einzelnen Webmastern bemerkt. Vielen "professionellen" Kämpfern für den Datenschutz ist dieser Sachverhalt bisher entgangen.