Wie man 400 Millionen Menschen verfolgt – die neuen Facebook Social Plugins


“Open” – you keep using that word, Mark Zuckerberg.
I don’t think it means what you think it means #f8
Kevin Marks

Facebook hat gestern auf ihrer Entwicklerkonferenz f8 die nächsten Schritte dahin vorgestellt, was SpiegelOnline heute als Web-Herrschaft betitelt. Nun bin ich kein Freund von plakativen Superlativen,  aber in diesem Fall bin ich beinahe geneigt zuzustimmen (und habe ja nicht weniger hingelangt bei der eigenen Überschrift).

Als Mark Zuckerberg gemeinsam mit Bret Taylor von FriendFeed gestern auf der Keynote ihr neues “Open Graph” Konzept präsentierten, sah ich etwas, dass bei mir zwei extreme Reaktionen auslöste. Aus der Sicht des Entwicklers in mir fand ich die drei Konzepte, die da vorgestellt wurden, extrem toll. Es wird für Entwickler immer einfacher sich an das Netzwerk, an den Social Graph, anzuschließen und potentiell das bestehende Netzwerk von mittlerweile 400 Millionen Facebook-Nutzern zu erschließen.

Auf der anderen Seite bieten die vorgestellten Techniken, Social Plugins wie Facebook sie nennt, aber auch eine bisher ungeahnte Macht für Facebook um jedes ihrer 400 Millionen Mitglieder in noch nie dagewesener Art und Weise zu tracken und zu analysieren. Im Zentrum dieser Verfolgung steht noch nicht einmal der von vielen jetzt hochgejubelte “Like” Knopf fürs gesamte Netz. Bzw. eigentlich steht er dort schon, aber nicht in seiner offiziellen Funktion als “Knopf”, sondern durch die Tatsache, dass er einfach da ist.

Wenn ich das gestern richtig verstanden habe, was Mark Zuckerberg da erzählt hat, dann gibt Facebook, wenn ein Drittanbieter den neuen “Like” Button auf einer seiner Webseiten einsetzt, keine Daten über seine Nutzer an diesen Drittanbieter weiter. Würde ich also neben diesem Text einen solchen Button setzen, wüßte ich selber nicht, wer diesen angeklickt hat und wer nicht, sondern bekäme diese Information von Facebook auf die Seite geschrieben. Das ist, was Mark Zuckerberg sich unter Datenschutz vorstellt und das ist erstmal ganz in Ordnung in meinen Augen. Das Problem ist für mich dabei die Rückrichtung.

Technisch gesehen funktioniert die ganze Angelegenheit über einen iframe, in dem für den Browser ein anderer Kontext als der der aufgerufenen Webseite herrscht. Für den “Like” Knopf auf dieser Webseite surft der Nutzer, vereinfacht ausgedrückt, hier also nicht auf othertimes.de, sondern auf Facebook. Damit wird der Zugriff auf den Facebook Cookie ermöglicht und somit die klare Identifizierung des Nutzers, um ihm die viel gerühmten personalisierten Elemente der Seite anzuzeigen. Das bedeutet aber nichts anderes, als das Facebook jeden Aufruf einer beliebigen Webseite mitbekommt und diesen ganz klar einzelnen Nutzern zuordnen kann.

Das heißt, ein Nutzer einer beliebigen Webseite wird mit einem Element konfrontiert, dass ihn gegenüber einer Drittwebseite, in diesem Fall Facebook, klar identifiziert und den Besuch dieser Webseite auf einem Server protokolliert, der nicht unter seiner Kontrolle ist. Würde ich also hier diesen Button installieren, würde ich Facebook ein lückenloses Protokoll derjenigen Nutzer liefern, die diesen Artikel gelesen haben – wie gesagt, ohne dass diese Nutzer je auf den besagten “Like” Button klicken müßten. Dies geschieht ohne Vorwarnung und ohne, dass ein Nutzer, der zum ersten Mal eine Seite besucht, davon weiß, dass dort die Social Plugins zum Einsatz kommen.

Ein verbessertes Tracking ermöglicht der Nutzer Facebook dann, wenn er tatsächlich auf den Knopf klickt. Denn um für Facebook genau zu beschreiben, was der Nutzer denn da jetzt mochte, kann ich als Webseitenbetreiber noch das neue “Open Graph Protocol” einsetzen, um genau zu beschreiben, was der Nutzer sich da gerade angeschaut hat. Das Nutzenversprechen, was Facebook dabei abgibt, ist, dass somit z.B. die “Musik, die ich mag” Abteilung auf dem Profil des Nutzers erweitert werden kann, wenn er z.B. auf last.fm eine Band über den Facebook “Like” Button kennzeichnet. Gleichzeitig wird dabei aber die Tracking Datenbank von Facebook um wertvolle Metainformationen angereichert, die den Inhalt zusätzlich zur immer übermittelten URL näher beschreiben.

Was Facebook mit diesen Daten macht, ist relativ einfach nachzuvollziehen, wenn man sich die Versprechen anschaut, die es seinen Werbekunden macht. Man könnte die gesamte f8 meiner Meinung nach mit dem Satz überschreiben “targeted advertising just got better“. Und dass Facebook in Sachen Tracking und Analyse aller Daten, die sie je in die Hände bekommen haben, verdammt gut ist, weiß jeder, der sich frisch angemeldet hat und ohne zusätzliche Informationen auf der Startseite sofort fünf Freunde vorgeschlagen bekommen hat, die er auch wirklich kannte.

Was heißt das nun alles? Als Facebook-Nutzer sollte man wohl in nächster Zeit wieder verstärkt die Privacy Seiten besuchen und ein wenig nachjustieren. Als Seitenbetreiber jedoch würde ich es mir dreimal überlegen, ob ich die neuen Social Plugins einsetze. Nicht nur aus Anstand meinen Nutzern gegenüber, denn trotz der Tatsache, dass es ein Opt-out direkt neben dem “Like” Knopf geben soll, verhindert diese Möglichkeit nicht die erstmalige Identifizierung des Nutzers beim allerersten Aufruf der Seite – Facebook weiß also in jedem Fall, wann dieser Nutzer diese Seite mind. einmal besucht hat.

Dazu kommen die in Deutschland absehbaren rechtliche Probleme, denn ich weiß nicht, wie diese Techniken mit der Auffassung, dass keine personenbezogenen Daten mit Dritten geteilt werden dürfen, vereinbar sind. Und gegen eine IP Adresse, die in Deutschland bereits teilweise als personenbezogenes Datum angesehen wird, ist eine klar zuordbare Nutzer-ID eindeutig personenbezogen. Die ersten Abmahnung werden wohl nicht lange auf sich warten lassen.

Abgelegt unter: Weltherrschaft