Facebook spürt"alle Besucher, Verstoß gegen EU-Recht"

Exklusive: Personen ohne Facebook-Konten, und EU-Benutzer abgemeldet, die explizit aus Tracking entschieden haben alle nachverfolgt werden, sagt report

Facebook verfolgt die Web-browsing eines jeden, der auf seiner Website eine Seite besucht, auch wenn der Benutzer nicht über ein Konto verfügt oder explizit aus der Verfolgung in der EU entschieden hat, hat umfangreiche Forschungen im Auftrag der belgischen Datenschutzbehörde ergeben.

Der Bericht von Forschern am Zentrum für interdisziplinäre Recht und IKT (ICRI) und die industriellen Kryptographie und Computersicherheit Abteilung (Cosic) an der Universität von Leuven, und die Medien, Information und Telekommunikation Abteilung (Smit) Vrije Universiteit Brüssel, wurde beauftragt, nach einem ursprünglichen Berichtsentwurf Facebooks Privatsphäre Politik Verstöße gegen europäisches Recht ergab.

Die Forscher behaupten nun, dass Facebook Computern von Nutzern ohne deren Zustimmung verfolgt, ob sie bei Facebook oder nicht eingeloggt sind, und selbst wenn sie nicht registrierten Nutzer der Website oder explizit opt-out in Europa. Facebook verfolgt Nutzer in Reihenfolge für gezielte Werbung.

Die Frage dreht sich um Facebook Nutzung von seiner sozialen Plugins wie den "Gefällt mir" Button, der auf mehr als 13 m Websites einschließlich Gesundheits-und Regierung platziert wurde.

Facebook stellt Tracking-Cookies auf den Computern der Benutzer, wenn sie jede Seite auf facebook.com-Domäne besuchen, einschließlich Fan-Seiten oder anderen Seiten, die nicht über ein Facebook-Konto zu besuchen benötigen.

Wenn ein Benutzer eine Drittanbieter-Website, die eine der Facebook social Plugins trägt besucht, erkennt und sendet die Tracking-Cookies zurück an Facebook - selbst wenn der Benutzer nicht mit den Like-Button, Facebook-Login oder andere Erweiterung der social-Media-Website interagiert.

EU Datenschutz Gesetz besagt, die vorherige Einwilligung gegeben werden muss, vor Erteilung eines Cookies oder Durchführung verfolgen, wenn es notwendig für entweder die Vernetzung in Verbindung mit dem Dienst ("Kriterium A") oder Bereitstellung einen Service ausdrücklich vom Benutzer ("Kriterium B") erforderlich ist.

Das gleiche Gesetz erfordert Websites, auf die Benutzer bei ihrem ersten Besuch auf einer Website zu informieren, dass es verwendet Cookies, ersuchenden Einwilligung dazu.

Ein Cookie ist eine kleine Datei, die auf dem Computer eines Benutzers von einer Website, die speichert Einstellungen, bisherige Tätigkeiten und andere kleinen Mengen von Informationen von der Website platziert. Sie werden bei jedem Besuch der Website gesendet und können daher verwendet werden, um den Computer eines Benutzers zu identifizieren und verfolgen ihre Bewegungen im Internet.

"Wir sammeln Informationen, wenn Sie besuchen oder Drittanbieter-Websites und apps, die unsere Dienste nutzen. Dazu gehören Informationen über die Websites und apps, die Sie besuchen, Ihre Nutzung unserer Dienste auf diese Webseiten und apps, sowie Informationen, die der Entwickler oder Herausgeber der app oder Webseite, die Ihnen oder uns,"sagt Verwendungsrichtlinie Facebook Daten, die in diesem Jahr aktualisiert wurde.

Facebook Tracking-Methoden haben "keine rechtliche Grundlage"

Ein Gutachten veröffentlicht, Artikel 29, zufolge der Pan-europäischen Daten Regler-Arbeitsgruppe im Jahr 2012, wenn die Erbringung einer Dienstleistung ausdrücklich vom Benutzer angefordert, social Plugins muss Zustimmung, bevor ein Cookie platziert haben. "Da per Definition soziale Plug-ins für Mitglieder eines bestimmten sozialen Netzwerks bestimmt sind, sind sie nicht von irgendeinem Nutzen für nicht-Mitglieder, und daher stimmen nicht überein"Kriterium B"für alle Benutzer."

Dies gilt auch für Nutzer von Facebook, die zur Zeit abgemeldet sind, während eingeloggte Benutzer sollte nur einen "Session-Cookie", der verfällt, wenn der Benutzer abmeldet oder den Browser nach Artikel 29 schließt serviert werden.

Die Artikel 29-Datenschutzgruppe hat auch gesagt, dass aus "Sicherheitsgründen" gesetzten Cookies nur unter Zustimmung Ausnahmen fallen können, wenn sie für einen Dienst ausdrücklich verlangt vom Benutzer - nicht allgemeine Sicherheit des Dienstes notwendig sind.

Facebook Cookie-Richtlinie aktualisiert in diesem Jahr Staaten, die das Unternehmen noch Cookies verwendet, wenn Benutzer kein Facebook-Konto haben, oder, "können wir liefern, auswählen, bewerten, Messen und verstehen die Anzeigen servieren wir auf und außerhalb von Facebook" angemeldet sind.

Das soziale Netzwerk verfolgt seine Nutzer zu Werbezwecken über nicht-Facebook-Seiten standardmäßig. Benutzer können entscheiden, aus der Ad-Tracking, aber ein Opt-Out-Mechanismus "ist kein geeigneter Mechanismus, durchschnittliche Benutzer informierte Einwilligung einzuholen", nach Artikel 29.

"Europäische Gesetzgebung ist in diesem Punkt wirklich sehr deutlich. Um rechtswirksam zu sein, eines Individuums Zustimmung in Richtung online behavioural Advertising opt-in, sein muss", erklärt Brendan Van Alsenoy, ein Forscher an ICRI und einer der Verfasser des Berichts.

"Facebook nicht auf Nutzer Untätigkeit (dh nicht Opt-out über einen Drittanbieter-Website) verlassen, um Zustimmung zu schließen. Nicht-Nutzer anbelangt, hat Facebook wirklich keinerlei rechtliche Grundlage, seine aktuellen Tracking Praktiken zu rechtfertigen."

Opt-Out-Mechanismus ermöglicht tatsächlich Tracking für die nicht verfolgt

Die Forscher analysierten auch den Opt-Out-Mechanismus von Facebook und vielen anderen Internetunternehmen wie Google und Microsoft.

Benutzer Behavioral Tracking deaktivieren wollen richten sich an Websites von der Digital Advertising Alliance in den USA, Digital Advertising Alliance of Canada in Kanada oder die European Digital Advertising Alliance in der EU, von die jede Masse Opt-Out von 100 Unternehmen zu ermöglichen.

Aber die Forscher entdeckten, dass weit von opting out Tracking, Facebook legt ein neues Cookie auf den Computern der Benutzer, die nicht zuvor verfolgt worden.

"Wenn Menschen, die nicht von Facebook nachverfolgt werden verwenden Sie die"opt-out"Mechanismus für die EU vorgeschlagen Facebook einen langfristige, eindeutig identifizierenden Cookie, Orten, die verwendet werden können, um sie für die nächsten zwei Jahre zu verfolgen", erklärt Günes Acar von Cosic, der auch den Bericht schrieb. "Darüber hinaus fanden wir, dass Facebook nicht langfristige identifizierenden Cookies auf den Opt-Out-Seiten von Facebook für US-amerikanische und kanadische Benutzer vorgeschlagen."

Der Befund wurde von Steven Englehardt, ein Forscher an der Princeton University Department Informatik, nicht in den Bericht einbezogen war, bestätigt: "Ich begann mit einer frischen Browsersitzung und erhalten einen zusätzliche"Datr"Cookie, die in der Lage, eindeutig zu identifizieren Benutzer auf die UK-Version der Europäischen opt-Out-Website angezeigt wird. Dieses Cookie war nicht anwesend während der wiederholten Tests mit einer frischen Sitzung über die US-amerikanischen oder kanadischen Version."

Facebook legt einen Opt-out Cookie auf die Opt-Out-Seiten, aber dieses Cookie kann nicht verwendet werden, für die Verfolgung von Personen, da es keine eindeutige Kennung enthält. Es ist unbekannt, warum Facebook Orte "Datr" Cookie auf Computern der Benutzer aus EU, die opt-out.

"Datenschutzfreundliche" design

Für Benutzer besorgt über Tracking, Drittanbieter-Browser-Add-ons, die Tracking blockieren vorliegen, Acar, sagt: "Beispiele sind Privacy Badger, Ghostery und trennen. Datenschutz Dachs ersetzt social-Plugins mit Privatsphäre Gegenstücke zu bewahren, so dass Benutzer weiterhin social Plugins verwenden können, aber nicht verfolgt werden, bis sie tatsächlich darauf klicken.

"Wir behaupten, dass es die rechtliche Verpflichtung von Facebook, seine Dienste und Komponenten eine datenschutzfreundliche zu gestalten," hinzugefügt Van Alsenoy. "Das bedeutet, Gestaltung von social Plug-ins in einer Weise, dass Informationen zu individuellen persönlichen alltäglichen Aktivitäten außerhalb von Facebook sind nicht unnötig ausgesetzt."

Facebook wird von der niederländischen Datenschutzbehörde untersucht die gestellt des sozialen Netzwerks, Rollout der neuen Datenschutzerklärung zu verzögern, und ist durch die Artikel 29-Datenschutzgruppe sondiert werden.

Ein Facebook-Sprecher sagte: "dieser Bericht enthält sachliche Ungenauigkeiten. Die Autoren haben nie kontaktiert uns noch versucht, keine Annahmen zu klären, auf denen der Bericht basiert. Sie weder unser Kommentar zu dem Bericht laden, bevor sie öffentlich. Wir haben erklärt im Detail die Ungenauigkeiten in den früheren Entwurf berichten (nachdem es veröffentlicht wurde) direkt an der belgischen Datenschutzbehörde, die wir verstehen in Betrieb genommen und angeboten haben, um mit ihnen zu erklären, warum treffen ist es falsch, aber sie sind zurückgegangen zu treffen oder mit uns zu engagieren. Wir sind jedoch bereit, mit ihnen und hoffen, dass sie bereit sein, ihre Arbeit rechtzeitig zu aktualisieren."

"Anfang dieses Jahres haben wir aktualisiert unsere Bestimmungen und Richtlinien, damit sie klar und prägnant, zu neuen Produktfeatures zu reflektieren und zu markieren, wie wir die Kontrolle der Menschen über Werbung erweitern. "Wir sind zuversichtlich, dass die Updates geltenden Gesetze, einschließlich EU-Recht einhalten."

Van Alsenoy und Acar, Autoren der Studie, sagte dem Guardian: "Wir begrüßen Kommentare über die e-Mail-Adresse innerhalb des Berichts aufgeführt. Mehrere Personen haben bereits erreicht, geben Anregungen und Ideen, die wir wirklich zu schätzen."

"Bis heute, wir wurden nicht von Facebook direkt kontaktiert noch haben wir Besprechungsanfrage erhalten." Wir sind nicht überrascht, dass Facebook eine andere Meinung hält, was europäische Datenschutzgesetze verlangen. Aber wenn Facebook heutigen Versionen fühlt sich sachliche Fehler enthalten, wir freuen uns, dass wir besonderen Anmerkungen erhalten möchte es machen. "

• Facebook Privatsphäre Politik Verstöße gegen europäisches Recht, findet Bericht

• Lassen Sie Facebook möchten Sie nicht ausspioniert werden, warnt die EU