Nachdem das Onlineangebot der Zeit im Juni bereits wegen dem Einsatz von Facebook-Trackern den Negativpreis Big-Brother-Award erhalten hat, wurde gestern von einem Leser und Abonnenten eine Datenschutzbeschwerde bei der zuständigen Behörde in Hamburg eingereicht. Die Beschwerde kritisiert ebenfalls das massenhafte Offenlegen von eigentlich anonymen Artikelzugriffen gegenüber Facebook. Wenn Nutzer sich bei Facebook nicht ausloggen, bevor sie Artikel bei ZeitOnline lesen, können alle Artikelaufrufe von Facebook personenbezogen ausgewertet und für personalisierte Werbung verwendet werden. Nach Angabe des Lesers geschehe dies auch bei zahlenden Abonnenten. Die Behörden hatten in einer Orientierungshilfe bereits im März darauf hingewiesen, dass eine solche Datenweitergabe weder erwartbar noch berechtigt ist.
In verschiedenen Blogbeiträgen hier bei Onlinejournalismus.de, aber auch in meinem Weblog rufposten.de und bei netzpolitik.org thematisiere ich die Trackingpraxis der deutschen Medienhäuser bereits länger kritisch. Bei einer Untersuchung von über 100 Medienseiten im Juni konnte ich feststellen, dass etwa drei Viertel der Seiten Trackingtools von Facebook nutzen, obwohl Bußgelder drohen. Da sich viele Verlage wegen fehlender Urteile abwartend verhalten, habe ich als Hilfe für betroffene Leserinnen und Leser zusammen mit dem IT-Experten Mike Kuketz eine Musterbeschwerde und Anleitung erstellt. Dort sind im Detail die Gründe aufgeführt, warum die Datenweitergabe durch den Facebook-Tracker gegen die DSGVO verstößt. Die nun in Hamburg eingereichte Beschwerde basiert auf dieser Vorlage. Mike Kuketz hatte zuvor in einem Blogbeitrag einen passenden Leser gesucht, der die Vorlage gegen die Zeit erstmals verwenden wollte.
Eine Pressesprecherin von ZeitOnline hatte sich bereits vor über einem Jahr gegenüber onlinejournalismus.de dahingehend geäußert, dass der Verlag eine andere Rechtsauffassung als die deutschen Behörden vertrete und dass die Offenlegung von personenbezogenem Leseverhalten gegenüber Facebook unter ein berechtigtes Interesse falle.
Zu meinem Überblick über die umgekehrte Bildersuche (reverse image search) mit Google, Yandex und anderen Suchmaschinen gibt es einige berichtenswerte Ergänzungen/Neuerungen:
Definitiv schlechter geworden ist Googles Suchalgorithmus nach Beobachtung verschiedener Fachleute – zumindest, wenn man die umgekehrte Bildersuche gebraucht, um dem Ursprungsbild möglichst ähnliche Bilder zu finden. Googles Suchalgorithmus scheint derzeit eher so justiert, dass er thematisch passende, aber sehr allgemeine Motive bevorzugt. Vielleicht gut, wenn man sich ganz allgemein für Illustrationen zum Thema „Hafen“ oder „Gebäude“ interessiert – eher schlecht, wenn man auf der Suche nach einer ganz spezifischen Bildähnlichkeit ist.
Die russische Suchmaschine Yandex ist dagegen genau momentan darin sehr gut. Zusätzlich versucht sie, Personen in Bildern zu identifizieren. Auf welcher technischen Basis das funktioniert und ob es sich tatsächlich um eine Gesichtserkennung im engeren Sinne handelt, ist mir bisher unklar (Hinweise gerne in den Kommentaren!) Auch in Bildern erkannte Schrift wird identifiziert (Abhängig von Schriftzeichen und Sprache natürlich, aber besonders praktisch, wenn man selbst mit beidem nicht so vertraut ist). Googles Bildersuchmachine kann generell auch Schrift erkennen. Anders als Yandex zeigt sie das Ergebnis aber normalerweise nicht an, auch wenn es – wie in diesem Quiztime-Beispiel bei einem Kennzeichen – für die Stichwortsuche genutzt wird.
Microsofts Suchmaschine Bing macht ihre lange Zeit versteckte visuelle Suche seit einiger Zeit wie Google und Yandex über ein Kamera-Icon im Suchfenster und damit direkt von der Startseite zugänglich. Zusätzlich zu Bild-Datei und Bild-URL können die Nutzer auch direkt aus dem Suchfenster ein neues Foto als Suchgrundlage aufnehmen. Außerdem werden die Anwendungsmöglichkeiten anhand von Beispielen erklärt.
Hinter dem Stichwort „Thematische Suche“ und einem Lupen-Icon verbirgt sich bei Bing die Möglichkeit, einen bestimmten Bildausschnitt für die Suche zu wählen und nur dazu passende Ergebnisse anzuzeigen. Das erspart es einem, das Bild in einem externen Programm zu beschneiden und die neue Version hochzuladen, wenn es darum geht, bestimmte Objekte in einem Bild zu identifizieren. Google bietet dieses praktische Feature in seiner Bildersuche leider immer noch nicht. Und bei Yandex lässt es sich unerfindlichen Gründen nicht auf das ursprüngliche Bild, sondern nur ein bereits als ähnlich gefundenes Bild im Browser beschneiden.
Die Suchergebnisse bei Bing bleiben allerdings meiner Erfahrung nach deutlich hinter Yandex und Google zurück.
Für diesen Beitrag habe ich 130 deutsche Nachrichtenseiten und Verlagsangebote analysiert. Das Fazit: Facebook liest fast überall mit. Durch Tracking-Tools kann der Konzern in vielen Fällen erkennen, welche Artikel ein Facebook-Nutzer anklickt. Die Gesetze untersagen diese Form von Tracking, aber die Verlage stört das nicht.
Facebook sammelt persönliche Daten. Sie sind der wichtigste Vermögenswert der 500-Milliarden-Dollar-Firma und die Basis seines Geschäftsmodells. Seit einiger Zeit ist bekannt, dass Facebook nicht nur Daten von Nutzern seiner sozialen Netzwerke sammelt, sondern auch über praktisch alle anderen Internetnutzer. Eine wichtige Sammelstelle dabei sind Nachrichtenseiten und Portale von Presseverlagen.
Wie meine Recherche ergab, fließen von den Seiten vieler deutscher Nachrichtenmedien Nutzerdaten an Facebook ab. Der Datenkonzern kann mit seinen Software-Bausteinen Millionen Menschen in Deutschland beim Nachrichtenlesen über die Schulter schauen.
Was ist das Problem
2011 gab es mal eine größere Debatte um den Facebook-Button. Die breite Öffentlichkeit erfuhr damals erstmals, dass die standardmäßige Einbindung des Buttons dazu führt, dass Facebook auch externe Seitenabrufe personenbezogen speichern und auswerten kann.
Die Debatte und die folgenden Verfahren bis zum EuGH haben dazu geführt, dass der Button auf den meisten Nachrichtenseiten nicht mehr direkt eingebunden wird, sondern erst beim Anklicken eine Verbindung herstellt.
Heute ist Facebook in den meisten Nachrichtenseiten auf andere Art verankert. Mit verlockenden Produkten in seinem Business-Portfolio hat der Konzern es geschafft, auf rund 75 Prozent der deutschen Medienseiten präsent zu sein. Die Facebook-Tools können meist artikelgenau und personenbezogen den deutschen Medienkonsum auswerten.
Am bekanntesten ist „Facebook Pixel“, ein Bestandteil des umfangreichen Custom-Audiences-Tools. Die Verlage schätzen die Möglichkeit, damit ihre Leserschaft meist über Gerätegrenzen hinweg analysieren zu können. Sie können darüber auch neue Kunden erreichen. Die Werbevermarkter freuen sich über die Option, präzise Zielgruppen über Interessen zu definieren. Daneben gibt es speziellere Dienste wie „Brand Lift“ (Wirksamkeitsmessung) oder „Audience Network“ (klassische Werbeanzeigen). Ergänzend gibt es schließlich auch weiterhin viele kleine Tools, die z.B. den Like-Count eines Artikels abfragen oder Videos von Facebook einbinden. Insgesamt zwölf verschiedene Einbettungen habe ich bei meiner Recherche gefunden.
Das größte Problem dabei sind die Cookies, die von den Einbettungen mitgesendet werden. Damit kann Facebook Seitenaufrufe in vielen Fällen einem Facebook-User und damit einer echten Person und ihrer E-Mail zuordnen – noch Monate, nachdem diese Person bei Facebook eingeloggt war. Das funktioniert so lange, bis die Person ihre Cookies löscht. Und wer kein Facebook-Nutzer ist, bekommt trotzdem eine Nummer zugewiesen, unter der er oder sie getrackt wird.
Der Einsatz auf Seiten einzelner Nachrichtenartikel ist besonders problematisch: Damit bekommt Facebook Einblick in die Interessen der Leser. Es entstehen riesige Listen abgerufener URLs, die alle auf verschiedenen Nachrichtenseiten gelesenen Artikel einer Person enthalten können. Und daraus lassen sich auch besonders sensible Informationen wie Weltanschauungen oder Gesundheitsdaten ableiten. Das Missbrauchspotential diese Daten ist enorm, wie der Datenskandal um Cambridge Analytica gezeigt hat.
Die meisten Besucher wissen nichts von dieser Datenweitergabe. Meist vertrauen sie wohl ihrer Lieblingszeitung, die sie seit Jahren lesen.
Der Tracker wird rechtswidrig eingesetzt
Die juristische Lage ist eigentlich klar geregelt. Obwohl die Daten bei dem Konzern landen, sind die Betreiber der Nachrichtenseiten dafür verantwortlich, dass die Weitergabe nach DSGVO zulässig ist. Als Rechtsgrund erlaubt ist unter anderem das sogenannte „berechtigte Interesse“: Damit können Daten auch zu Werbezwecken weitergegeben werden. Doch da sprechen viele Gründe gegen Facebook. Spätestens seit Anfang April 2019 sollte das jedem Unternehmen klar sein: Die deutschen Datenschutzbehörden haben im Anhang zu einer gemeinsamen Orientierungshilfe (PDF) ein Beispiel aufgeführt und kommen zu dem klaren Schluss: Die Social-Media-Tracker sind normalerweise – wenn überhaupt – nur nach freiwilliger Einwilligung des Nutzers legal. Hinzu kommt, dass es entgegen der Rechtslage für die Nutzer unmöglich ist, diese gesammelten Daten einzusehen oder zu löschen. Auch das müssten die Verlage in ihre Abwägung einbeziehen.
Und selbst die dünne und von den Behörden früh verneinte Hoffnung, dass Tracking-Cookies noch nach dem älteren deutschen Telemediengesetz ohne Einwilligung eingesetzt werden dürfen, ist in diesem Fall nutzlos: denn auch im TMG §15 (3) gibt es schon das eindeutige Verbot, die pseudonymen Daten mit den Daten der echten Person zusammenzuführen. Die Facebooktracker sind daher schon seit 2007 nur mit ausdrücklicher Einwilligung zulässig.
Trotz dieser erdrückenden Klarheit nehmen die Verlage offenbar bewusst das Risiko eines Bußgeldes in Kauf – vermutlich auch, weil in dieser Sache noch keine Urteile oder Strafen gefallen sind. In der Branche nennt man das euphemistisch den „risikobasierten Ansatz“. Dabei ist es nichts anderes als ein kalkulierter Verstoß gegen die Grundrechte der Seitenbesucher zur eigenen Bereicherung.
Facebook versucht, sich möglichen Verfahren zu entziehen. Geschäftskunden von Facebook stimmen mit der Verwendung der Tracker in die AGBs von Facebook ein und versichern, dass sie vor der Einbindung der Tracker eine Einwilligung der Nutzer eingeholt haben.
Doch auf keiner der über 130 untersuchten Nachrichtenseiten konnte ich eine solche Einwilligungslösung finden. Falls keine vertraglichen Sonderbedingungen verhandelt wurden, tragen die Verlage das juristische Risiko der Verstöße also auf dem Papier alleine.
Tageszeitungen
83 Prozent der hier untersuchten Zeitungen, darunter Qualitätsblätter, liefern ihre Leser an Facebook aus. Vor dem Hintergrund einer fast täglichen kritischen Berichterstattung über den Konzern erscheint das absurd – aber am Ende entscheidet eben der Verlag über die Vermarktung und nicht die Redaktion.
Bei vielen Zeitungen fällt tatsächlich auf, dass sie bei rein redaktionellen Einbindungen bemüht sind, keine Nutzerdaten an Facebook zu senden. Das betrifft beispielsweise die erwähnten Like-Buttons, die mit wenigen Ausnahmen datenschutzkonform eingebunden sind. Bei manchen Verlagen, etwa der Badischen Zeitung, achtet man auch darauf, Like-Counts über Facebooks-Graph-API so abzurufen, dass keine Cookies vom Leser an Facebook gesendet werden – dann fällt immerhin der klare Personenbezug weg.
Oft sind Bemühungen der Redaktion aber vergeblich, weil andere Facebook-Dienste von externen Firmen eingebunden werden. Gerade Zeitungen beauftragen meist Vermarktungsfirmen für den Verkauf von Werbeflächen auf ihrer Seite. Die betreuen dann im Auftrag der Verlage in die Website eingebettete Skripte – dort sind Facebook-Tracker eingebunden. Hinter den Kulissen beklagt man, dass die großen Werbevermarkter, etwa der Ströer-Konzern, schwer dazu zu bringen seien, auf Facebook zu verzichten. Immer wieder konnte ich hören, dass man auf der Suche nach einem neuen Vermarkter ist, der datenschutzkonform arbeitet. Bei anderen Verlagen, etwa der Funke Medien Gruppe, setzt man Facebook dagegen umfangreicher und auch direkt über die eigenen Skripte ein – hier scheint man auch intern überzeugt zu sein, dass dies der richtige Weg ist. Eine Stellungnahme war von dem Verlag nicht zu bekommen.
Die hier rot markierten Websites haben einen Tracker eingebunden, der den Leser über Cookies identifizierbar macht. Es wurden alle Einbettungen von Facebook als Tracker gewertet, die Cookies mit *.facebook.com austauschen und daher die Möglichkeit hatten, den Leser personenbezogen zu erkennen (mehr zur Prüfmethode).
Legende:
😡 Facebook-Tracker ✅ kein Facebook-Tracker
Die mittlere Spalte ist besonders problematisch: Denn bei Artikelaufrufen werden äußerst schützenswerte Daten weitergeben. Unter Aboseite habe ich die Seiten geprüft, auf denen für ein Abo geworben wird – hier nutzt man oft Facebook Pixel, um Kunden direkt nach dem Besuch auf Facebook nochmal zu bewerben.
Wochenzeitungen, Zeitschriften und Portale mit redaktionellen Inhalten
Bei den wichtigsten Zeitschriften und redaktionellen Portalen sieht es nicht besser aus: 80 Prozent nutzen rechtswidrig Facebook-Tracker. Immerhin verzichten die Gesundheitsportale wie Netdoktor oder Apotheken-Umschau auf Facebook-Einbettungen. Aber wer bei „Eltern.de“ über Schwangerschaftsabbruch oder Samenqualität liest, muss damit rechnen, dass diese Informationen bei Facebook profilbezogen gespeichert werden.
Anders als die meisten lokalen Zeitungsverlage haben Zeitschriften und Wochenzeitungen oft eigene große Vermarktungsdienstleister – so etwa Burda, Gruner + Jahr oder der Zeit-Verlag. Traditionell pflegt man im dortigen Management eine große Nähe zur digitalen Vermarktungswelt – und vergisst vor Begeisterung die Nachteile der riesigen Profildatensammlungen für Leser und Gesellschaft.
Jochen Wegner, der Chefredakteur von Zeit Online, kann im Werbefachmagazin Horizont schon mal ins Schwärmen kommen, wie toll personalisierte Werbung ist und wie sehr Amazon und Google im Interesse der Konsumenten handeln (Artikel hinter Paywall). Im Januar lud Wegner die Facebook-Chefin Sheryl Sandberg in Davos ein, auf einer Veranstaltung mit dem Titel „The Power of Platforms: A New Digital Business Model“ zu diskutieren. Wenn Vermarktung und Redaktion so nahe beieinander steht, erstaunt es nicht, dass Facebook in diesen Verlagen ohne Bedenken auf allen Seiten mithorchen darf.
Beide Verlage nennen auf Nachfrage als Grund für den flächendeckenden Einsatz des Trackingpixels ein harmloses Beispiel: Sie wollen Werbeanzeigen für Abo oder Newsletter auf Facebook für die eigenen Seitenbesucher schalten. Das allein erscheint aber wenig überzeugend. Die Interessen von monatlich 13 Millionen Nutzern bei Zeit Online erscheinen wertvoller als ein wenig Abowerbung und dürften ja bereits über den eigenen Vermarkter für Werbung verwendet werden. Da bleibt also einiges unklar.
Zeit und Gruner + Jahr haben über ihre Presseabteilungen bestätigt, dass man den Einsatz der Facebook-Tracker trotz der umfangreichen Datenweitergabe für richtig und legal hält.
Frei von Facebook-Trackern sind einige technikaffine Portale wie Gamestar, GMX und Heise: Insbesondere der Heise-Verlag setzt sich bereits seit Jahren dafür ein, dass redaktionelle Einbettungen (z.B. Tweets oder Like-Buttons) ohne direkten Kontakt zu externen Servern genutzt werden können und stellt das Tool Embetty auch anderen Verlagen zur Verfügung. Probleme mit der Vermarktung habe man wegen dem Facebook-Verzicht nach eigenen Angaben nicht.
Für diese Liste nahm ich die ersten 45 Websites mit regelmäßigen redaktionellen Inhalten aus der AGOF-Liste „Digital“ vom April 2019 als Grundlage.
Fernsehsender
Und schließlich noch ein kurzer Blick auf die Sender: Hier lässt sich beruhigt feststellen, dass die Öffentlich-Rechtlichen ihren Datenschutz im Griff haben. Aber die Privatsender verkaufen ihre Zuschauer an Facebook – wenn auch zu geringerem Anteil als die Verlagshäuser.
Natürlich kann sich der/die Einzelne technisch gegen dieses Tracking schützen. Sinnvolle Empfehlungen findet man bei Digitalcourage oder bei dem Sicherheitsblogger Mike Kuketz.
Die systematische Auswertung unserer persönlichen Mediennutzung durch Facebook ist aber kein privates Problem, es hat eine gesellschaftliche Dimension. Daher sollte das Problem direkt bei den Verlagen gelöst werden.
Die Politik ist diesmal nicht schuld – mit der DSGVO haben Betroffene ein scharfes Schwert in der Hand. Eine Beschwerde an die Behörde ist kostenlos und unkompliziert. Mehr dazu in meinem Beitrag „Facebook-Tracker erkennen und dagegen vorgehen„.
Klar ist aber auch: Journalismus muss bezahlt werden. Wenn die Auflagenzahlen gerade bei den Lokalblättern nicht so dramatisch nach unten gehen würden, hätten viele Verlage auch mehr Spielraum für kostenlose Basisinformationen auf der Website. Sobald die ersten Urteile gegen den Einsatz von Facebook-Trackern gefallen sind, werden viele Verlage und Vermarkter zu einer sogenannten Consent-Lösung übergehen: Das bedeutet, dass man die Seite erst lesen kann, wenn man der Datenweitergabe an Facebook zugestimmt hat. Immerhin wissen die Leser dann, dass ihre Daten weitergegeben werden. Aber das Problem für die Gesellschaft bleibt: die Mediennutzung wird dann weiterhin zentral und personenbezogen erfasst. Dann helfen nur neue Finanzierungsmodelle.
Disclaimer: Ich habe mich hier auf den Facebook-Tracker und auf Medien-Websites konzentriert. Dass andere Werbenetzwerke – etwa jenes von Google – ähnlich funktionieren und andere Websites oder Apps oft noch problematischer sind, ist mir klar. Der Süddeutsche Verlag (Süddeutsche Zeitung) gehört aktuell zu meinen Auftraggebern.
Update 6. Juni: Die übersehene Neue Osnabrücker Zeitung eingefügt.
Update 9. Juni: Die übersehene Stuttgarter Zeitung eingefügt.