Gutachten zur Schutzwirkung von Facebooks datr-Cookie

Im Rahmen eines Gerichtsverfahrens um die datenschutzkonforme Nutzbarkeit von Facebook-Seiten wurde am Lehrstuhl für Privacy and Security ein Gutachten zur Schutzwirkung des sog. datr-Cookies verfasst. Das datr-Cookie ist ein praktisch unumgängliches und eindeutiges Identitätsmerkmal, welches insbesondere auch für Besuche auf der Facebook-Webseite gesetzt wird, unabhängig davon ob ein Account existiert. Es ist damit datenschutzrechtlich besonders: Eine legitime Verwendung des Cookies durch Facebook und der damit einhergehenden Möglichkeit einer Nachverfolgung von Besuchern ergibt sich, insofern es rechtfertigende Gründe gibt, dies zu tun. Facebook nennt Sicherheitsinteressen sowohl von Facebook selbst, als auch für Nutzer.

In unserem Gutachten kommen wir zu dem Urteil, dass die Schutzwirkung des datr Cookies nur als recht begrenzt einzuschätzen ist. Da Cookies prinzipiell lokal im Browser verwaltet und damit unter der Kontrolle der Nutzerin bzw. Angreiferin stehen, sind sie leicht veränderbar. Während eine Vorhersage gültiger Cookies nicht möglich ist, lassen sich jedoch neue gültige Cookies vom Server erfragen. Argumentativ können Cookies damit bestenfalls zu einer Verlangsamung von Angriffen beitragen. Wenn das datr-Cookie tatsächlich einen stärkeren Beitrag zur Sicherheit leistet als von uns eingeschätzt, so ist eine Analyse nicht ohne weitere Offenlegung interner Abläufe und Schutzmechanismen möglich.

Das Gutachten ist online verfügbar.