Ob Nutzer oder nicht: Facebook legt
Schattenprofile über alle an
Der Internetkonzern saugt viele Informationen aus Geräten von Nutzern ab
und sammelt Daten auch über Nicht-Nutzer. Deutsche Datenschützer halten
diese Praxis bei mangelhafter Einverständnis der Betroffenen für bedenklich.
Facebook sammelt Daten auch über Nicht-Nutzer: Der Konzern saugt aus Kontakt-
listen seiner Nutzer mit Vorliebe alle E-Mailadressen und Telefonnumern ab. Aus
diesen und anderen Informationen erstellt Facebook sogenannte Schattenprofile.
Wenn sich der Inhaber einer dieser Adressen oder Nummern bei Facebook an-
meldet, werden ihm dann etwa jene, die seine Kontaktdaten hochgeladen haben,
als Freunde vorgeschlagen.
Diese Praxis des Konzerns ist seit Jahren bekannt. Doch der Skandal um Cam-
bridge Analytica macht neuerlich deutlich, wie bedenklich die Datensammelwut
des Konzerns ist und wie wenig sich die Betroffenen – ob Nutzer oder Nicht-
Nutzer – davor schützen können.
Dass Facebook Schattenprofile anlegt, ist seit spätestens 2011 öffentlich. Der
österreichische Datenschützer Max Schrems beschrieb die höchstwahrscheinlich
illegale Methode damals in seiner Beschwerde gegen den Internetkonzern an die
irische Datenschutzbehörde. Facebook speichere in den Schattenprofilen vieles an
Daten ab, darunter auch sensible Informationen etwa zur politischen Meinung, zu
religiösen Überzeugungen und zur sexuellen Orientierung. Schrems kritisierte in
seiner Beschwerde unter anderem, dass dies ohne Zustimmung der Betroffenen
geschieht.
Unerwünschte Verknüpfungen
Bis heute hat sich daran wenig geändert. Die Schatteninformationen helfen
Facebook beim Herstellen von Kontakten – das führt zum Teil zu erstaunlichen
und unerwünschten Verknüpfungen, wie zuletzt ein Artikel von Gizmodo
aufzeigte.
Umstritten ist das schon allein deshalb, weil viele Nutzer gar nicht bemerken,
wieviel Informationen Facebook vor allem aus Android-Handys absaugt.
Dabei handelt es sich um ein zunächst getrenntes, aber verwandtes Phänomen:
Zuletzt beschwerte sich ein Facebook-Nutzer aus Neuseeland etwa darüber, dass
das soziale Netzwerk ein Logbuch aller seiner Anrufe mit Freunden und Bekan-
nten vorhält. Dabei geht es nicht nur um Kommunikationsdaten, die auf Facebook
selbst anfallen, etwa beim Chatten über den hauseigenen Messenger, sondern auch
um herkömmliche Telefonanrufe oder SMS-Nachrichten. Bei der Gelegenheit er-
fasst der Konzern Daten von Menschen, die gar keinen Account bei Facebook
haben.
In gleicher Manier nimmt sich der Konzern die Inhalte aus Telefonbüchern und E-
Mailspeichern. Einige User stimmen dem bewusst zu, womit sie dem Prinzip der
Datenhöflichkeit zuwider handeln, die Privatsphäre anderer zu wahren und deren
Telefonnummer nicht einfach hochzuladen.
Oft beruft sich Facebook aber auch auf Zustimmungen, selbst wenn diese vor
langer Zeit in einer anderen Variante der App und auf einem anderen Gerät gege-
ben wurde. Außen vor lässt das Unternehmen freilich, auf welcher rechtlichen
Grundlage es Daten von vollkommen Unbeteiligten sammelt und wie es diese
einsetzt.
Zweifelhafte Zustimmungen
Generell ist Facebooks Vorgehen bei Schattenprofilen fraglich. Denn es fehlt eine
klare und informierte Zustimmung der Betroffenen zur Nutzung ihrer Daten.
Ähnlich ist es beim Absaugen von Handydaten. Das Nutzen von Daten auf Basis
von vor Jahren einmalig erteilten Zustimmungen sieht der Hamburger Daten-
schutzbeauftragte Johannes Caspar mit großes Skepsis. „An der Wirksamkeit einer
solchen Zustimmung bestehen erhebliche Zweifel. Weder ist klar, ob alle Nutzer
der Facebook-Messenger- oder Facebook-Lite-App über entsprechende Zustim-
mungsbuttons geführt wurden, noch kann davon ausgegangen werden, dass sie
über Umfang und Zweck der Datenerhebung ausreichend informiert waren“,
schreibt Caspar in einer Stellungnahme an netzpolitik.org. Da Facebook seinen
deutschen Sitz in Hamburg hat, ist Caspar für den Konzern zuständig.
Share-Buttons protokollieren Surfverlauf
Datenflüsse gibt es dabei nicht nur direkt auf Facebook. Viele Webseitenbetreiber
binden Share-Buttons und andere Social-Media-Plugins von Facebook ein. Ruft
ein Besucher eine so ausgestattete Seite ohne Tracking- oder Adblocker auf, erhält
der Konzern auch persönliche Informationen über Nicht-Nutzer, die er in den
Schattenprofilen ablegt. Die Berliner Datenschutzbeauftragte rät Webseiten-Betrei-
bern darum dazu, zumindest – wie wir – auf Zwei-Klick-Lösungen zu setzen, die
eine aktive Handlung der Nutzer vor dem Absaugen ihrer Daten voraussetzen.
Deutschlands oberste Datenschützerin, die Bundesbeauftragte Andrea Voßhoff,
wollte uns gegenüber zum konkreten Vorgehen Facebooks nicht Stellung nehmen.
Ein Sprecher teilte aber mit: „Unabhängig vom konkreten Einzelfall ist aber auch
schon im aktuellen Datenschutzrecht klar geregelt, dass personenbezogene Daten
nur aufgrund einer expliziten Rechtsgrundlage erhoben und verarbeitet werden
dürfen. Diese kann entweder in Form einer gesetzlichen Ermächtigung oder in der
einer Einwilligung der betroffenen Person vorliegen.“
Das Koppelungsverbot kommt
Die Rechte von Facebook-Nutzern stärkt die ab Ende Mai gültige Datenschutz-
Grundverordnung (DSGVO) der EU. Dann gilt ein erweitertes Koppelungsverbot.
Dieses sieht vor, dass die Einwilligung zu Nutzungsbedingungen eines Dienstes
nicht mit weiteren Erklärungen verbunden werden darf, die nicht im unmittelbaren
Zusammenhang mit dem eigentlichen Einwilligungsgegenstand stehen.
Die Praxis, Adressbücher von Nutzern auszulesen und sie ohne Zustimmung der
darin enthaltenen Kontakte einfach so weiterzugeben, bewegt sich rechtlich
ohnehin auf dünnem Eis.
Die neuen EU-Regeln stärken die Hand der Behörden bei Datenschutzverstößen,
zumindest im Prinzip. Allerdings ist noch unsicher, wie selbstbewusst die Landes-
datenschutzbeauftragten in Deutschland mit ihren neuen Möglichkeiten umgehen
werden. Aus einem der Beauftragten-Büros heißt es etwa, es sei ihnen noch immer
unklar, wer nun eigentlich die Kompetenz habe, Facebook tatsächlich Strafen zu
erteilen: jeder der Landes-Datenschutzbeauftragten, nur der in Hamburg oder über-
haupt nur die Datenschutzbehörde am EU-Hauptsitz Facebooks in Irland. Die neu-
en Datenschutzregeln der EU sind wohl erst der Anfang, wenn es darum geht, das
Wild-West-Verhalten der Internetkonzerne einzuschränken.
Quelle und gesamter Artikel: https://netzpolitik.org/2018/ob-nutzer-oder-nicht-facebook-
legt-schattenprofile-ueber-alle-an/