Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.
✓ Ausprobieren DSGVO Website-Check sofort DSGVO-Probleme finden
Externe Links sind mit dem Symbol Externer Link Symbol gekennzeichnet. Datenschutzinfo

Facebook-Seite der Sächsischen Staatskanzlei: Datenschutz?

Veröffentlicht von Dr. DSGVO · Zuletzt aktualisiert am 15. Oktober 2025 · Lesezeit: 16 Minuten
2
Dr. DSGVO Newsletter erkannt: Erweiterte Funktionen verfügbar
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
Standardansicht: Dr. DSGVO Newsletter nicht erkannt. Erweiterte Funktionen nur für Abonnenten:
Artikel als PDF · Mehr Inhalte & kompakte Kernaussagen · Webseiten-Checks · Offline-KI Live
📄 Artikel als PDF
📄 Artikel als PDF (nur für Newsletter-Abonnenten)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Kategorien: Datenschutz und Recht

Laut Medienberichten prüft die sächsische Datenschutzbeauftragte Dr. Juliane Hundert gerade, ob die Facebook-Fanpage der Sächsischen Staatskanzlei rechtskonform ist oder nicht. In diesem Beitrag prüfe ich technische Gegebenheiten. Im Zuge dessen sind Datenschutzfragen aufgekommen, die zu klären sind. Sachsen ist jedenfalls als Werbetreibender auf der Facebook-Plattform aktiv und profitiert somit von personalisierter Werbung, wie auch die Facebook Werbebibliothek zeigt.

Vorbemerkungen

Der Bundesdatenschutzbeauftragte hatte bereits die Facebook-Seite der Bundesregierung untersucht. Ich hatte darüber berichtet. Der normale Mensch würde sagen: Für die Facebook-Seite von Sachsen gilt das Gleiche. Juristisch sind es aber zwei verschiedene Dinge, denn die Bundes-Facebook-Seite hat sich von Facebook angeblich die Analyse-Software namens Facebook Insights deaktivieren lassen. Außerdem muss vor Gericht jeder Fall einzeln geprüft werden. Allerdings kommt am Ende das gleiche Ergebnis zustande, wie mein Beitrag zeigen wird. Bestimmte Gegebenheiten sind eben für alle Facebook-Seiten gleich.

Einleitung

Die fragliche Seite ist diese Facebook-Seite des Freistaats Sachsen. Laut dort gegebener Anbieterkennzeichnung ist die Sächsische Staatskanzlei die Betreiberin. Gefunden habe ich die Seite über eine Suchmaschine ungleich Google und Bing.

Bei Facebook besitze ich kein Konto, bin nicht registriert und somit auch nicht eingeloggt oder angemeldet. Rufe ich die Facebook-Seite aus Sachsen auf, erscheint folgendes Bild:

Aufruf der Webseite https://de-de.facebook.com/Freistaat.Sachsen/

Der von mir verwendete Browser ist der Firefox in aktueller Version (erst gestern hatte ich ihn manuell auf Version 114.0.1 aktualisiert). Mein Betriebssystem ist Windows 10. Den Werbeblocker habe ich für diesen Test deaktiviert. Wie das Bild zeigt, erfolgt der Einstieg „frisch“, es waren also anscheinend keine Cookies bei Facebook von mir gesetzt – ansonsten wäre das sogenannte „Cookie Popup“ nicht erschienen.

Auch im Web-Speicher sehe ich keine Cookies zur Domäne facebook.com. Der Web-Speicher ist einer von mehreren Karteireitern in der Entwicklerkonsole des Browsers. Im Firefox kann diese Konsole mit der Taste F12 geöffnet werden. Die Konsole zeichnet alles auf, was nach ihrem Öffnen im Browser stattfindet.

Aufruf der Facebook-Seite von Sachsen

Mit Hilfe der genannten Entwicklerkonsole sehe ich, dass beim Erstaufruf der genannten Facebook-Seite eine Datensendung an die Facebook-Plattform stattfindet:

Zu sehen:

  • Die Facebook-Seite des Freistaats Sachen wurde aufgerufen.
  • Die Einwilligungsabfrage ist noch unbestätigt.
  • Dennoch wird bereits ein umfangreicher "Request" an Facebook (facebook.com) geschickt. Ein Request ist in diesem Fall eine Datenlieferung. Mehr dazu folgend.

Die genannte Datenlieferung an die Facebook-Plattform ist bei mir durch folgende Adresse gegeben:

https://de-de.facebook.com/ajax/bz?__a=1&__ccg=EXCELLENT&__comet_req=15&__hs=18531.HYP:comet_loggedout_pkg.2.3..1.0&__hsi=7244073545627837466&__req=b&__rev=1007111101&__s=::8y30bc&__spin_b=trunk&__spin_r=1007111108&__spin_t=1611141111&__user=0&dpr=1&jazoest=2922&lsd=CDqW6bcOvf3&ph=C5

Wie zu sehen ist, enthält die Datenlieferung an facebook.com zahlreiche Parameter. Die Parameter sind durch einen Namen und einen Wert gekennzeichnet. Die Werte habe ich zu meinen Gunsten verfremdet. Einige der Werte greife ich exemplarisch heraus:

  • __hs=18531.HYP:comet_loggedout_pkg.2.3..1.0
  • __hsi=7244073545627837466
  • __rev=1007111101
  • __s=::8y30bc
  • __spin_r=1007111108
  • __spin_t=1611141111
  • lsd=CDqW6bcOvf3

Jeder dieser Werte ist alleine bereits geeignet, eine Person von allen anderen Menschen weltweit zu unterscheiden (Begründung gleich). Die anderen, in der Liste nicht genannten Werte aus der Anfrage, kommen noch obendrauf und könnten (aus Sicht der Facebook-Plattform) bei gutem Willen ggf. als notwendig oder legitim bezeichnet werden.

Warum kann ein Wert wie 8y30bc jeden Menschen mit einer eindeutigen Kennzeichnung versehen? Der Wert hat 6 Stellen. Pro Stelle sind alle Buchstaben des Alphabets (26 Kleinbuchstaben, ohne Umlaute) und alle Ziffern (10), also 36 verschiedene Zeichen möglich. Ob auch Großbuchstaben (26 weitere verschiedene Zeichen) verwendet werden, konnte ich nicht feststellen. Technisch spricht jedenfalls nichts dagegen.

Warum ist es für die Facebook-Plattform wünschenswert, jeden Nutzer von anderen Nutzern abgrenzen zu können?

Nur, wenn ein Nutzer als der eine Nutzer, der ungleich allen anderen Nutzern ist, identifiziert werden kann, kann sein Verhalten über die Zeit beobachtet und analysiert werden. Zum Nutzer können so dessen Gewohnheiten und Vorlieben oder Abneigungen ermittelt werden. Das macht den Nutzer manipulierbar und für bestimmte Werbebotschaften empfänglicher. Zu einem Nutzer kann dann besser eine passende Werbung (aus Sicht der Werbeplattform) angezeigt werden. Produktwerbung ist eher lästig oder verleitet zum Unnötigen Geldausgeben. Wahlwerbung oder Meinungsbildung hingegen greifen in die Persönlichkeit und die Willensbildung von Nutzern ein.

Weil Facebook die Daten von hunderten Millionen Nutzern und tausenden von Milliarden Nutzerinteraktionen kennt, können Verfahren der Künstlichen Intelligenz verwendet werden, um automatisiert potente Vorhersagen über einzelne Nutzer zu machen und Nutzerprofile zu erstellen.

Bei sechs Stellen mit jeweils 36 Ausprägungen ergeben sich 36^6 Möglichkeiten = 2.176.782.336 Möglichkeiten für unterschiedliche Kennungen. Die Zahl ist geeignet, fast jedem Internetnutzer, der einmal in seinem Leben bei Facebook landet, eine eindeutige Kennung zu verpassen. Hinzu kommen die Kombinationsmöglichkeiten bei Verwendung von weniger als sechs Stellen.

Dies war nur einer von vielen Parametern, die Facebook/Sachsen sich über mich zuschickt. Nehmen wir den Parameter lsd, dann wird dieser wohl 62^11 Kennungen oder Merkmale für Facebook-Nutzer zusätzlich liefern (11 Stellen, 62 Möglichkeiten pro Stelle = 26 Großbuchstaben + 26 Kleinbuchstaben +10 Ziffern). Dies entspricht der Zahl 52.036.560.683.837.093.888 (52 Trillionen). Wie ein Leser per Kommentar auf diesen Beitrag schrieb: Das reicht für die ganze Menschheit inklusive Tier- und Pflanzenwelt.

Der Parameter __hsi hat den Wert 7244073545627837466. Das sind 19 Stellen mit je 10 Zeichenmöglichkeiten pro Stelle = 10^19 Möglichkeiten, also um Größenordnungen mehr als es Bewohner auf der Erde und umliegenden Planeten gibt.

Weiterhin enthält die Datensendung an Facebook bei Besuch der sächsischen Facebook-Seite zahlreiche Binärdaten, die beliebige Inhalte haben können:

Nur ein Teil der Daten, die die Facebook-Plattform sich selbst schickt, wenn ich die Facebook-Seite https://de-de.facebook.com/Freistaat.Sachsen/ aufrufe und sonst nichts tue.

Der Screenshot zeigt im rot umrandeten Feld nur einen Ausschnitt der Daten (multipart/form-data), weil die Menge zu groß ist für meinen Screenshot. Diese Daten sind in dieser Menge ganz sicher nicht erforderlich, um eine Fanpage anzuzeigen, zumal ich ja noch nicht einmal die Einwilligungsabfrage bedient oder etwas anderes angeklickt habe. Wir sind immer noch beim puren (initialen) Aufruf der Facebook-Seite von Sachsen.

Weiterhin werden mit der immer noch einen Datenlieferung, über die ich eben geschrieben habe, technisch notwendige Daten an die Facebook-Plattform geschickt. Diese Daten beinhalten:

  • Meine personenbezogene IP-Adresse (EuGH-Urteil vom 19.10.2016 – C-582/14 – "Breyer")
  • Meine Gerätekennung: User-Agent (Betriebssystemtyp, Betriebssystemversion, Browsertyp, Browserversion). Wie ich aus eigenen Tests weiß, eignet sich diese Kennung bereits sehr gut, um zusammen mit einem Hash-Wert der IP-Adresse den Nutzer hinter dem Gerät recht eindeutig zu identifizieren.
Fortlaufende Studie der Friedrich-Alexander-Universität Erlangen-Nürnberg. Quelle: https://browser-fingerprint.cs.fau.de/statistics?lang=de (Datum: 14.06.2023)

Bemerkenswert: Die oben von mir beschriebene Datenlieferung an die Facebook-Plattform sendet zwar Daten, empfängt aber keine. Es handelt sich also nicht um eine technische Schnittstelle, die etwas abfragt, sondern eine Einbahnstraßendatenlieferung. Meine Daten werden an Facebook geschickt. Es kommt nichts zurück.

Die Datenlieferung an Facebook hat nicht den Zweck, eine Antwort (etwa darzustellende Inhalte) zu erhalten. Sie dient ausschließlich dazu, Daten (von mir) abzusenden und als Betreiber der Facebook-Plattform zu erhalten.

Diese Datenlieferung an die Facebook-Plattform dient also nicht dazu, notwendige Dinge zu tun. Vielmehr handelt es sich um zahlreiche Datenlieferungen, die auch potentielle Nutzerkennungen, Gerätekennungen und sonstige Charakteristiken enthalten können, die geeignet sind, einen Nutzer „besser kennenzulernen“.

Die eben beschriebene Datenlieferung von Binärdateien von Facebook an Facebook, bevor Inhalte der abgerufen und zurückgeliefert werden, sind absolut unüblich. Ich kann sie funktional nicht erklären. Auch sicherheitstechnisch können sie nicht hergeleitet werden, da zahlreiche Datenwerte vorhanden sind, die nichts mit Sicherheitsfragen zu tun haben können, bzw. nicht geeignet sein können, Bots auszusperren.

Technisch notwendig ist der ganz überwiegende Teil der genannten Daten nicht. Es handelt sich um einen mindestens überwiegend, wenn nicht gar vollständig unnötigen Vorgang. Weil mindestens die IP-Adresse ein personenbezogener Datenwert ist, fällt diese Datenverarbeitung unter die Vorgaben der DSGVO. Somit sind auch die anderen Daten, weil mit einem personenbezogenen Datenwert verknüpft, als personenbezogen anzusehen und ebenfalls gemäß DSGVO zu rechtfertigen. Das berechtigte Interesse kann ich hier nicht herleiten und finde auch keine Gründe in den Datenschutzhinweisen Meta oder Sachsen.

Die Inhalte, die ich auf dem Bildschirm sehe, werden hingegen mit anderen (späteren) Anfragen geliefert. Hier ein Ausschnitt dieser Datenlieferungen:

Datenanfragen („Requests“) an die Facebook-Plattform, die augenscheinlich dazu dienen, mir die Facebook-Seite von Sachsen anzuzeigen.

Rot umrandet sind die Anfragen an die Facebook-Plattform, die wenigstens augenscheinlich dazu dienen, mir die Inhalte der aufgerufenen Facebook-Seite https://de-de.facebook.com/Freistaat.Sachsen/ anzuzeigen. Es geht immer noch darum, mir die Seite anzuzeigen, ohne dass ich etwas angeklickt, bedient oder gar die Einwilligungsabfrage bestätigt hätte. Ich habe bis dato nichts getan, außer die eben genannte Adresse der Facebook-Seite von Sachsen in meinen Browser anzugeben.

Mehrere Daten, die von der Facebook-Plattform abgerufen werden, dienen dem Laden von Bildern. So auch diese Abfrage:

Abruf von Bildern für die Facebook-Seite von Sachsen.

Wie zu sehen ist, wird hier gerade das Titelbild der Facebook-Seite der Sächsischen Staatskanzlei abgerufen. Zu sehen sind wieder zahlreiche Parameter, die der Bildadresse (URL) angehängt sind. Davon sind nur einige Parameter wirklich dafür zuständig, das Bild bzw. dessen Abrufadresse zu bezeichnen. Meine Tests zeigten, dass das Bild auch dann korrekt abgerufen wird, wenn man einige Parameterwerte modifiziert. Diese Parameterwerte haben also weder Sicherheitsgründe noch sind sie notwendig zum Bildabruf. Bleibt nur übrig, dass diese Parameter für fragwürdige Zwecke verwendet werden. Selbst für einen optimierten Bildabrufmechanismus bräuchte man nicht derart viele Parameter mit derart akribischer Wertausprägung. Auch hier sind die Werte dazu geeignet, Nutzer und/oder deren Endgeräte eindeutig zu identifizieren.

Oft werden auf Webseiten Scriptdateien eingesetzt, um diverse Funktionen abzubilden. Auch auf Facebook werden diese Script-Dateien geladen. Hier ein Auszug:

Zu sehen: Es werden zahlreiche Script-Dateien von einer Facebook-Adresse (fbcdn.net = Facebook CDN) abgerufen. Bemerkenswert sind mehrere Dinge:

  • Die Dateien werden zahlreich abgerufen. Üblich ist ein komprimierter Abruf. Cache-Plugins packen mehrere Script-Dateien in eine und reduzieren so die Ladevorgänge.
  • Die Dateien weisen kryptische Namen auf und enthalten alle einen (gleichen) Identifikator.

Ich lasse das mal so stehen und kommentiere es nicht weiter.

Da mein Test einige Sekunden oder Minuten dauerte, stellte ich noch fest, dass die Facebook-Plattform sich in (regelmäßigen?) Abständen wieder Daten schickt, ohne dass ich etwas auf der Facebook-Seite angeklickt oder sonstige Aktionen durchgeführt hätte. Hier ein Auszug der gleichartigen Tracking-Ereignisse:

Facebook scheint sich andauernd ein Ping über den aktuellen Nutzer zuzusenden, auch wenn der Nutzer nichts tut, außer die Seite zu betrachten.

Jede dieser Datenlieferungen von Facebook an Facebook von meinem Endgerät aus enthält wieder zahlreiche Parameter. Die Parameterwerte sind wieder zahlreich dazu geeignet, alle Atome im Universum mit jeweils einer eigenen Kennung zu versehen. Diese Ping-Requests sind nicht notwendig, schon gar nicht mit diesem Datenumfang.

Da ich die Facebook-Seite von Sachsen länger offen ließ, konnte ich auch noch nach Stunden feststellen, dass in dieser ganzen Zeit, also über Stunden hinweg, ohne jegliche Aktivität meinerseits, Daten von Facebook/Sachsen über meinem Browser an Facebook/Sachsen geschickt wurden.

Ablehnen der Einwilligungsabfrage

Nun lehne ich diese Einwilligunsabfrage ab:

Cookie-Popup, das bei Aufruf der Webseite https://de-de.facebook.com/Freistaat.Sachsen/ erscheint.

Zu sehen: Das Ablehnen ist optisch zurückgestellt, was rechtswidrig sein dürfte. Man wird ja so dazu bewegt, tendenziell eher auf "Alle Cookies erlauben" zu klicken.

Anscheinend weiß Meta nicht bzw., wenn man es genau nimmt: wissen die sächsische Staatskanzlei und Meta nicht, dass es nicht nur um Cookies geht.

Für Cookies alleine schon müssten zwei Arten der Einwilligung abgefragt werden:

  1. für das Speichern oder Auslesen von Cookies aus meinem Endgerät sowie
  2. für das Verarbeiten der Cookie-Werte, die immer personenbezogen sind, weil Cookies immer personenbezogen sind (wegen der IP-Adresse, die zwangsläufig zusammen mit Cookies übermittelt wird).

Die Nutzerprofilbildung alleine hat nichts mit Cookies zu tun. Geht sie zu weit, was nach meinem obigen Test so aussieht, dann erfordert auch sie eine Einwilligung.

Das "Cookie Popup" speichert nun, dass ich abgelehnt habe. Dazu wird ein Cookie verwendet:

Zu sehen: Es wird ein Cookie namens _js_datr im meinem Endgerät gespeichert. Dieses würde bereits ausreichen, um meine Einwilligungsentscheidung umfassend zu speichern, ich hatte ja nur abgelehnt. Dieses Ablehnen muss gemäß Art. 7 Abs. 3 DSGVO auch nicht nachgewiesen werden. Wer Daten minimal verarbeitet, muss nicht nachweisen, dass jemand damit nicht einverstanden war, dass Daten überschwänglich verarbeitet werden.

Weiterhin wird ein völlig unnötiges Cookie namens datr in meinem Endgerät gespeichert. Das Cookie hat einen Wert, den ich aus Gründen meiner Privatsphäre im eben gezeigten Screenshot etwas unkenntlich gemacht habe. Der Wert reicht wieder aus, um jedem Atom auf der Erde eine eigene Kennzeichnung zu verpassen. Somit ist dieses Cookie nicht erforderlich und einwilligungspflichtig. Ich habe aber abgelehnt, dass (nicht erforderliche) Cookies in meinem Endgerät gespeichert werden.

Werbung von Sachen auf Facebook

In der Facebook Werbebibliothek kann nachgesehen werden, welche Werbeanzeigen durch die Sächsische Staatskanzlei finanziert wurden. Dies sind beispielsweise:

Quelle: Facebook Werbebibliothek.

Insgesamt gibt es laut Facebook ca. 360 Treffer für Anzeigen von "Sächsische Staatskanzlei".

Sachsen bedient sich also offenbar der Daten, die Facebook zuvor von Nutzern eingesammelt hat. So gibt Facebook selbst zu, dass Angaben zum Alter der Werbeempfänger (=Besucher der Facebook-Plattform inklusive der Facebook-Seite der Sächsischen Staatskanzlei) erhoben werden:

Quelle: Facebook Werbebibliothek für eine Werbeanzeige der Sächsischen Staatskanzlei aus dem März 2023.

Irgendwie hat Facebook auch herausgefunden, wer aus Sachsen kommt:

Quelle: Facebook Werbebibliothek für eine Werbeanzeige der Sächsischen Staatskanzlei aus dem März 2023.

Den Standort kann man jedenfalls zu 100% nicht durch Raten herausbekommen. Gerne wüsste ich, welche Daten dafür verwendet wurden. Sachsen hat diese Datensammlung jedenfalls begünstigt, indem Sachsen Nutzer auf deren Facebook-Seite geschleust hat. Sachsen hat auch davon profitiert, siehe Werbeanzeigen.

In den nachfolgend analysierten Datenschutzhinweisen findet sich auf Sächsischer Seite übrigens kein einziges Mal das Wort „Werbung“. Sachsen erklärt also nicht, dass es Werbung auf Facebook schaltet und dazu Nutzerdaten von Facebook für Sachsen ausgewertet werden.

Datenschutzhinweise

Auf der Sachsen-Facebook-Seite sind die Datenschutzhinweise durch einen Link auf https://www.sachsen.de/datenschutz.html gegeben. Dort steht nichts Erhellendes zur Facebook-Seite. Vielmehr wird auf https://www.facebook.com/privacy/policy/?entry_point=data_policy_redirect&entry=0 verwiesen, die Datenschutzrichtlinie der Facebook-Plattform.

Dort müsste doch etwas zu finden sein zum Cookie namens datr, zu den Tracking-Events und den Datenlieferungen, die ich oben beschrieben habe.

Kurzum, ich wurde nicht fündig. Selbst auf der Seite https://www.facebook.com/help/336858938174917 (Cookies in den Meta-Produkten) fehlen jegliche Angaben zum datr-Cookie.

In der Meta-Datenschutzrichtlinie hingegen steht, dass Meta sehr viele Daten zu sehr vielen Zwecken verwendet, und zwar ohne Einwilligung und für jeden Nutzer, egal, ob bei Facebook angemeldet oder nicht.

Angaben unter https://www.facebook.com/privacy/policy?subpage=1.subpage.3-AppBrowserAndDevice

Dass die Mausbewegung ausschließlich aus Sicherheitsgründen nachverfolgt wird, halte ich für unbegründbar. Wozu gibt es Captchas, Analyse von IP-Adressen, Analyse von User-Agents, Analyse von Aufrufzeitdauern, etc.? Und warum muss meine Mausbewegung oder Aktivität aufgezeichnet werden, wenn ich nichts tue, außer mir die Facebook-Seite von Sachsen anzusehen, nachdem ich deren Adresse im Browser eingegeben habe? Ist es schlimm, wenn sich jemand oder etwas eine Seite ansieht? Selbst ein Roboter, der es geschafft hat, eine Seite aufzurufen, nur um sich diese dann in seinem emulierten Browser anzusehen, muss nicht weiter ausgesperrt werden. Wozu ist mein GPS-Standort erforderlich? Habe ich darin eingewilligt?

Weiter führt Meta bzw. Sachsen aus:

Quelle: https://www.facebook.com/privacy/policy?annotations[0]=1.ex.28-InformationAboutTheNetwork&subpage=1.subpage.3-AppBrowserAndDevice

Die Seite erschien, nachdem ich im zuvor gezeigten Popup auf "Weitere Beispiele" im drittletzten Punkt ("Informationen zum Netzwerk"..") geklickt habe.

Wieso muss mein Erlebnis verbessert werden, wenn ich anfangs als nicht registrierter User nichts anderes tue als mir das "Cookie Popup" auf der Facebook-Seite von Sachsen anzusehen? Wozu ist meine Mobilfunknummer erforderlich?

Fazit

Bereits bei Aufruf der Facebook-Seite von Sachsen unter https://de-de.facebook.com/Freistaat.Sachsen/ finden zahlreiche Datenlieferungen von der Facebook-Plattform an die Facebook-Plattform statt. Diese Daten sind weitgehend nicht notwendig, aber wegen der IP-Adresse personenbezogen. Cookies alleine schon sind personenbezogen, weil sie im personenbezogenen Endgerät von Nutzern abgelegt werden. Mein Smartphone jedenfalls ist mein Smartphone. Die ePrivacy-Richtlinie hat das erfasst (sieh auch § 25 TDDDG) und gilt (in Form des TDDDG) als lex specialis auch bei Cookies und Daten, die keinen Personenbezug aufweisen (siehe EuGH-Urteil vom 01.10.2019 – C-673/17 – Planet49).

Nach dem Ablehnen des "Cookie Popups" wird ein Cookie zu viel erzeugt, welches weder erforderlich noch datenschutzfreundlich ist.

Sämtliche Datenschutzfragen, die sich aus meinem Test ergaben, sind für mich ungeklärt. Sachsen liefert in seinen Datenschutzhinweisen keine Informationen, sondern verweist auf die Meta-Datenschutzrichtlinie. Dort wird nichts erhellt, sondern noch verschlimmert. Es wird erklärt, dass im Prinzip alle Daten, deren Verarbeitung möglich ist, erhoben und somit verarbeitet werden.

Die Sächsische Staatskanzlei hat die Datensammelei auf der Facebook-Plattform durch ihre Präsenz begünstigt. Als Mitprofiteur dieser Datensammelei ist Sachsen ebenfalls verantwortlich für diese Datensammelei. Alleine das datr-Cookie sollte ausreichen, um die Rechtmäßigkeit der Facebook-Seite in Frage zu stellen.

Eine genauere Untersuchung, die vor Gericht noch mehr standhält, als die ohnehin vorliegenden objektiven Fakten, ist problemlos möglich. Der Bundesdatenschutzbeauftragte hatte ja schon einiges für die Fanpage der Bundesregierung untersucht. In einem Gutachten könnte man gerichtsfest herausarbeiten, dass das datr-Cookie nicht notwendig ist. Mein Consent Tool beispielsweise kommt ohne zweites Cookie aus und erst Recht ohne längere Wertausprägung zum Vermerken einer nicht erteilten Einwilligung. Ebenso könnte man die nicht notwendigen Datensendungen von Facebook an Facebook genauer untersuchen, um jeden Zweifel auszuräumen bzw. die Fragen, die dann weiter entstehen, durch Sachsen beantworten zu lassen.

Ob Daten bei Facebook in den USA direkt landen (oder nur dort landen könnten), kann womöglich durch Analyse der umfangreichen und für mich intransparenten und verwirrenden Meta-Datenschutzrichtlinie ermittelt werden.

Kernaussagen dieses Beitrags

Auch wenn die Facebook-Seite von Sachsen keine Analyse-Software wie "Facebook Insights" nutzt, werden beim Aufruf der Seite trotzdem Daten an Facebook geschickt.

Facebook verwendet viele einzigartige Werte, um jeden Nutzer eindeutig zu identifizieren und so sein Verhalten zu analysieren und Werbung gezielt auf seine Interessen auszurichten.

Facebook sammelt bei jedem Besuch der sächsischen Facebook-Seite viele Daten über den Nutzer, obwohl diese nicht für das Anzeigen der Seite notwendig sind.

Facebook trackt Nutzer ständig, auch wenn diese nichts tun, außer die Seite zu betrachten.

Die Sächsische Staatskanzlei verwendet Facebook, um gezielte Werbung zu schalten, basierend auf den Daten, die Facebook von Nutzern sammelt.

Die Facebook-Seite des Freistaates Sachsen sammelt viele Nutzerdaten, ohne dass dies transparent kommuniziert wird.

Die Datensammlung auf der Facebook-Seite von Sachsen ist höchstwahrscheinlich illegal, da unnötige Cookies verwendet und Daten an Facebook weitergeleitet werden, ohne dass dies transparent und rechtmäßig geschieht.

Über diese Kernaussagen

Wer schreibt hier?
Mein Name ist Klaus Meffert. Ich bin promovierter Informatiker und beschäftige mich seit über 30 Jahren professionell und praxisbezogen mit Informationstechnologie. In IT & Datenschutz bin ich auch als Sachverständiger tätig. Ich stehe für pragmatische Lösungen mit Mehrwert. Meine Firma, die IT Logic GmbH, berät Kunden und bietet Webseiten-Checks sowie optimierte & sichere KI-Lösungen an.
Bitte nutzen Sie bei Verwendung meiner Ergebnisse die Quellenangabe oder verlinken Sie gut wahrnehmbar auf diesen Artikel:
Quelle: Klaus Meffert, Dr. DSGVO Blog, Link: https://dr-dsgvo.de/facebook-seite-der-saechsischen-staatskanzlei
Einen Kurzlink oder eine Bestätigung für Ihre Quellenangabe erhalten Sie kurzfristig auf Anfrage. Ein Teilen oder Verteilen dieses Beitrags ist natürlich ohne weiteres möglich und gewünscht.
Schlagworte zu diesem Artikel:

Kommentare von Lesern

Die Kommentare drücken die Meinungen der jeweiligen Kommentargeber aus
  1. Harald M. Müller

    Hu – Mathematik???

    "Bei 6 Stellen mit jeweils 36 Ausprägungen ergeben sich 6^36 Möglichkeiten" – nein!!!, sondern 36^6. Bei einer Stelle sind es (offensichtlich) 36; bei zwei Stellen 36*36; bei drei Stellen 36*36*36 usw.

    36^6 ist ungefähr 2 Milliarden, reicht also alleine "nicht ganz" zur eindeutigen Identifikation unter allen Menschen; außerdem müssten dann tatsächlich alle Kombinationen vergeben werden, was sicher nicht so ist.

    Analog "11 Stellen, 62 Möglichkeiten pro Stelle" – das sind 62^11 =ca. 52 * 10^18 = 52 Trillionen Möglichkeiten; das reicht nun für die ganze Mensch- und Tier- und Pflanzenwelt …

    H.M.

    Antworten
    • Dr. DSGVO

      Vielen Dank, Sie haben natürlich recht. Ist korrigiert. Ich habe Ihren Tier- und Pflanzenvergleich mit aufgenommen, weil die Anzahl der Atome nicht mehr als Vergleich passt.

      Antworten

Schreiben Sie einen Kommentar

Ihre Mail-Adresse wird nicht veröffentlicht.

Das Ende der Cookie Popups? Zentrale Einwilligungsverwaltung nach § 26 TDDDG