Aktuell, Panorama, Recht

Belgien vs. Facebook-Cookies

fVon Rudolf Wagner/Agenturen.

Nur ein Theatercoup? Die belgische Justiz hat Facebook in erster Instanz dazu verurteilt, innerhalb von 48 Stunden das tracking-cookie “datr”, mit dem sich über die Like-Buttons auf zahlreichen Websites auch das Verhalten von Nicht-Mitgliedern von Facebook überwachen lässt, nicht mehr ohne ausdrückliche Genehmigung der User zu verwenden. Wenn das US-Unternehmen nicht unverzüglich das Urteil umsetzt, muss es täglich 250.000 Euro an den belgischen Staat zahlen, höchstens allerdings 600.000 Euro. Facebook hat die Absicht, in Berufung zu gehen. Die 600.000 Euros kann es unterdessen aus der Portokasse bezahlen.

Wir benutzen das Cookie “datr” bereits seit mehr als 5 Jahren, läßt sich bei Facebook vernehmen, um den Aufruf unserer Website für 1,5 Milliarden Nutzer auf der ganzen Welt sicherer zu machen. Zugleich werden wir versuchen, die Erreichbarkeit von Facebook für belgische User zu sichern.

Dazu die belgische Datenschutzbehörde: Das Urteil ist vollstreckbar. Durch einen Revisionsantrag wird es nicht aufgehoben oder seine Vollstreckung verschoben.

Informationen abschöpfen

Facebook gilt als eines der weltbeherrschenden Internet-Unternehmen, dessen Tätigkeit zur verborgenen Informations-Abschöpfung inzwischen immer stärker kritisiert wird und auch schon zu Niederlagen vor nationalstaatlichen Gerichten in Europa geführt hat. Zuletzt hatte sich sogar der EuGH mit der Speicherung von Daten aus Europa in den USA befasst und entschieden, dass in Übersee keine Sicherheit für alle Inhalte vor unbefugten Zugriffen gewährleistet werde.

Seit Juni führt die belgische Datenschutzbehörde einen Prozess gegen Facebook, weil sich das Unternehmen bisher taub gestellt und Klagen von Verbraucher- und Datenschützern nicht beachtet hatte. Umso stärker fiel ein Beitrag von Facebooks Sicherheitschef Alex Stamos auf, mit dem er in den vergangenen Tagen das Verfahren in Belgien in aller Öffentlichkeit kommentierte. Verteidigung oder Gegenangriff?

Spiegel online schreibt dazu: “Stamos nutzte die nahende Entscheidung für einen Beitrag, den man als Erklärung und als Drohung interpretieren kann, der aber in jedem Fall untypisch ist. Ein Verbot des betreffenden Cookies, schrieb er, “könne die Sicherheit der Accounts der belgischen User gefährden”, man müsse Besuche aus Belgien künftig argwöhnisch überprüfen, überdies müssten belgische Nutzer mit mehr Spam rechnen.”

Der Wortlaut

Bei Facebook finden wir den Wortlaut der Erklärung von Alex Stamos·vom Dienstag, den 13. Oktober 2015:

My job at Facebook is to keep the 1.5 billion people using our service safe. That’s what motivates me every day, and when one of our important technologies to detect and stop attackers is threatened, I have to speak up.

The Belgium Privacy Commission recently filed against Facebook in a Belgian court to prevent us from using a cookie called datr that plays a fundamental role in our efforts to keep people safe. Most significantly, we use the datr cookie to help differentiate legitimate visits to our website from illegitimate ones.

There are all kinds of important legal arguments going on about whether every individual country in the EU has the authority to bring objections to companies operating there, but I want to set those arguments aside for the moment to focus on the technical details.

It’s no surprise to anyone these days that companies face real and frequent threats from attackers of all levels of sophistication. Facebook is a leader in security, and we invest in technologies that we develop and share with other companies and researchers so that we aren’t the only ones who benefit from advancements. However, the actions of the Belgian Privacy Commission could undermine our efforts to keep the accounts of people in Belgium safe.

The reason I’m bullish on the datr cookie is because for at least the last five years we have used it every day to defend people’s accounts through the following actions:

Preventing the creation of fake and spammy accounts
Reducing the risk of someone’s account being taken over by someone else
Protecting people’s content from being stolen
Stopping DDoS attacks that could make our site inaccessible to people

If the court blocks us from using the datr cookie in Belgium, we would lose one of our best signals to demonstrate that someone is coming to our site legitimately. In practice, that means we would have to treat any visit to our service from Belgium as an untrusted login and deploy a range of other verification methods for people to prove that they are the legitimate owners of their accounts. It would also make Belgian devices more attractive to spammers and others who traffic in compromised accounts on underground forums.

The Belgian Privacy Commission initially argued an incorrect point that Facebook uses the datr cookie to target ads to people who aren’t Facebook users. We don’t — and the Commission abandoned that argument. Now they are focused on the fact that we set the datr cookie when someone visits one of our sites, such as Facebook.com, or clicks a Like button on a publisher’s website and interacts with the login page that appears.

…The datr cookie is only associated with browsers, not individual people. It doesn’t contain any information that identifies or is tied to a particular person. At a technical level, we use the datr cookie to collect statistical information on the behavior of a browser on sites with social plugins, such as the Like button.

For example, if the datr cookie demonstrates that a browser has been visiting hundreds of sites in the last five minutes, that’s a pretty good indication we are dealing with a computer-controlled device (a bot). On the flip side, consistent use over several days usually indicates that a browser is legitimate and should be able to access Facebook normally…

I encourage the Belgian court to consider the very real ramifications of disallowing this type of privacy-preserving and security-necessary cookie. Many websites and services such as content distribution networks use cookies to provide equivalent protections. If this judgment were fairly enforced across the industry, it would mean a worse experience for people and less effective security for the internet overall.

Leave a Comment

Ihre E-Mail-Adresse wird veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.