Nachdem Facebook dank des Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein vor einigen Wochen in den Schlagzeilen stand und beschuldigt wurde mit dem Like-Button und seiner Trackingfähigkeit gegen deutsches Datenschutzrecht zu verstoßen, hat nun der Australier Nik Cubrilovic Interessantes herausgefunden:

Wenn ein Facebook-Nutzer sich aus dem Netzwerk ausloggt, werden nicht alle erhaltenen Cookies gelöscht, sondern lediglich als „ausgeloggt“ markiert und mit neuen Ablaufdaten versehen. Beim Aufruf einer Seite, die Facebook-Elemente integriert hat, werden auch Daten aus der vorherigen Facebook-Session mitgesendet.

Das bedeutet also, dass auch nach dem Ausloggen das Surverhalten des Nutzers mit seinem Facebook-Account in Verbindung gebracht wird. Dies ist sicherlich nicht im Sinne eines Logouts. Die einzige Möglichkeit sich diesem accountgebundenen Tracking zu entziehen ist das vollständige Entfernen der erstellten Cookies.

Facebook begründet dieses Verfahren mit Usability und Sicherheit. Nutzer müssten sich dann nicht aufwendig identifizieren, wenn sie sich von einem anderen Computer einloggen würden. Gleichzeitig wird aber an die Nutzer appelliert, dem Unternehmen zu vertrauen, und an einer Lösung gearbeitet.

Diese Entdeckung reiht sich nahtlos in bereits bekannt gewordene Auswüchse über die Datensammelwut Facebooks ein und trägt sicher nicht dazu bei, das Unternehmen in einem weniger skeptischen Licht zu betrachten.

Update: In seinem neuen Blogpost schreibt Cubrilovic über den Dialog, den er in den letzten zwei Tagen mit Facebook bezüglich des Logoutvorgangs geführt hat. Der fragwürdige Cookie, der die Nutzer-ID enthielt, wird von nun an beim Ausloggen gelöscht. Das Verbleiben dieses Cookies wird von Facebook auf einen Bug zurückgeführt. Übrig bleiben zwei Cookies zur Browseridentifikation, die aber angeblich nicht im Zusammenhang mit dem Account gebracht werden und ein weiterer zur Verhinderung von XSS-Attacken. Zu letzterem wartet Cubrilovic noch auf eine Antwort auf die Frage, ob dieser mit der Nutzer-ID abgeglichen würde. Zusätzlich enthalte ein weiterer Cookie einen Zeitstempel, der es Facebook erlaubt, für die Performanzevaluierung einzelne Anfragen zu identifizieren. Auch dieser Cookie könne mit der Nutzer-ID verlinkt werden, was laut Facebook aber nicht passiere.