Datenschutz

Ob Nutzer oder nicht: Facebook legt Schattenprofile über alle an

Der Internetkonzern saugt viele Informationen aus Geräten von Nutzern ab und sammelt Daten auch über Nicht-Nutzer. Deutsche Datenschützer halten diese Praxis bei mangelhafter Einverständnis der Betroffenen für bedenklich.

Auch wer nicht auf Facebook ist, hinterlässt häufig einen digitalen Fußabdruck auf der Plattform. Gemeinfrei-ähnlich freigegeben durch unsplash.com Christopher Burns

Facebook sammelt Daten auch über Nicht-Nutzer: Der Konzern saugt aus Kontaktlisten seiner Nutzer mit Vorliebe alle E-Mailadressen und Telefonnumern ab. Aus diesen und anderen Informationen erstellt Facebook sogenannte Schattenprofile. Wenn sich der Inhaber einer dieser Adressen oder Nummern bei Facebook anmeldet, werden ihm dann etwa jene, die seine Kontaktdaten hochgeladen haben, als Freunde vorgeschlagen. Diese Praxis des Konzerns ist seit Jahren bekannt. Doch der Skandal um Cambridge Analytica macht neuerlich deutlich, wie bedenklich die Datensammelwut des Konzerns ist und wie wenig sich die Betroffenen – ob Nutzer oder Nicht-Nutzer – davor schützen können.

Wir finanzieren uns fast vollständig aus Spenden von Leserinnen und Lesern. Unterstütze unsere Arbeit mit einer Spende oder einem Dauerauftrag.

Dass Facebook Schattenprofile anlegt, ist seit spätestens 2011 öffentlich. Der österreichische Datenschützer Max Schrems beschrieb die höchstwahrscheinlich illegale Methode damals in seiner Beschwerde gegen den Internetkonzern an die irische Datenschutzbehörde. Facebook speichere in den Schattenprofilen vieles an Daten ab, darunter auch sensible Informationen etwa zur politischen Meinung, zu religiösen Überzeugungen und zur sexuellen Orientierung. Schrems kritisierte in seiner Beschwerde unter anderem, dass dies ohne Zustimmung der Betroffenen geschieht.

Unerwünschte Verknüpfungen

Bis heute hat sich daran wenig geändert. Die Schatteninformationen helfen Facebook beim Herstellen von Kontakten – das führt zum Teil zu erstaunlichen und unerwünschten Verknüpfungen, wie zuletzt ein Artikel von Gizmodo aufzeigte.

Umstritten ist das schon allein deshalb, weil viele Nutzer gar nicht bemerken, wieviel Informationen Facebook vor allem aus Android-Handys absaugt. Dabei handelt es sich um ein zunächst getrenntes, aber verwandtes Phänomen: Zuletzt beschwerte sich ein Facebook-Nutzer aus Neuseeland etwa darüber, dass das soziale Netzwerk ein Logbuch aller seiner Anrufe mit Freunden und Bekannten vorhält. Dabei geht es nicht nur um Kommunikationsdaten, die auf Facebook selbst anfallen, etwa beim Chatten über den hauseigenen Messenger, sondern auch um herkömmliche Telefonanrufe oder SMS-Nachrichten. Bei der Gelegenheit erfasst der Konzern Daten von Menschen, die gar keinen Account bei Facebook haben.

In gleicher Manier nimmt sich der Konzern die Inhalte aus Telefonbüchern und E-Mailspeichern. Einige User stimmen dem bewusst zu, womit sie dem Prinzip der Datenhöflichkeit zuwider handeln, die Privatsphäre anderer zu wahren und deren Telefonnummer nicht einfach hochzuladen. Oft beruft sich Facebook aber auch auf Zustimmungen, selbst wenn diese vor langer Zeit in einer anderen Variante der App und auf einem anderen Gerät gegeben wurde. Außen vor lässt das Unternehmen freilich, auf welcher rechtlichen Grundlage es Daten von vollkommen Unbeteiligten sammelt und wie es diese einsetzt.

Zweifelhafte Zustimmungen

Generell ist Facebooks Vorgehen bei Schattenprofilen fraglich. Denn es fehlt eine klare und informierte Zustimmung der Betroffenen zur Nutzung ihrer Daten.

Ähnlich ist es beim Absaugen von Handydaten. Das Nutzen von Daten auf Basis von vor Jahren einmalig erteilten Zustimmungen sieht der Hamburger Datenschutzbeauftragte Johannes Caspar mit großes Skepsis. „An der Wirksamkeit einer solchen Zustimmung bestehen erhebliche Zweifel. Weder ist klar, ob alle Nutzer der Facebook-Messenger- oder Facebook-Lite-App über entsprechende Zustimmungsbuttons geführt wurden, noch kann davon ausgegangen werden, dass sie über Umfang und Zweck der Datenerhebung ausreichend informiert waren“, schreibt Caspar in einer Stellungnahme an netzpolitik.org. Da Facebook seinen deutschen Sitz in Hamburg hat, ist Caspar für den Konzern zuständig.

Share-Buttons protokollieren Surfverlauf

Datenflüsse gibt es dabei nicht nur direkt auf Facebook. Viele Webseitenbetreiber binden Share-Buttons und andere Social-Media-Plugins von Facebook ein. Ruft ein Besucher eine so ausgestattete Seite ohne Tracking- oder Adblocker auf, erhält der Konzern auch persönliche Informationen über Nicht-Nutzer, die er in den Schattenprofilen ablegt. Die Berliner Datenschutzbeauftragte rät Webseiten-Betreibern darum dazu, zumindest – wie wir – auf Zwei-Klick-Lösungen zu setzen, die eine aktive Handlung der Nutzer vor dem Absaugen ihrer Daten voraussetzen.

Deutschlands oberste Datenschützerin, die Bundesbeauftragte Andrea Voßhoff, wollte uns gegenüber zum konkreten Vorgehen Facebooks nicht Stellung nehmen. Ein Sprecher teilte aber mit: „Unabhängig vom konkreten Einzelfall ist aber auch schon im aktuellen Datenschutzrecht klar geregelt, dass personenbezogene Daten nur aufgrund einer expliziten Rechtsgrundlage erhoben und verarbeitet werden dürfen. Diese kann entweder in Form einer gesetzlichen Ermächtigung oder in der einer Einwilligung der betroffenen Person vorliegen.“

Facebooks eigene Angaben zu seiner Datensammlung ist bestenfalls nebulös. Grundsätzlich bestreitet das Unternehmen, persönliche Daten ohne die Erlaubnis der Betroffenen zu verarbeiten. Dabei bleibt allerdings unklar, wie das Unternehmen die Worte „Einwilligung“ und „Erlaubnis“ auslegt. Und wie glaubwürdig solche Beteuerungen angesichts immer neuer Enthüllungen über seine Datensammelwut sind.

Das Koppelungsverbot kommt

Die Rechte von Facebook-Nutzern stärkt die ab Ende Mai gültige Datenschutz-Grundverordnung (DSGVO) der EU. Dann gilt ein erweitertes Koppelungsverbot. Dieses sieht vor, dass die Einwilligung zu Nutzungsbedingungen eines Dienstes nicht mit weiteren Erklärungen verbunden werden darf, die nicht im unmittelbaren Zusammenhang mit dem eigentlichen Einwilligungsgegenstand stehen. „Von solchen ‚Datendeals‘ profitiert einseitig Facebook“, sagt der Datenschützer Caspar. „Das Koppelungsverbot in der DSGVO stellt ab dem 25. Mai die Einwilligung zum Auslesen von Adressbüchern durch Anbieter von Messenger-Diensten und sozialen Netzwerken grundsätzlich in Frage.“ Die Praxis, Adressbücher von Nutzern auszulesen und sie ohne Zustimmung der darin enthaltenen Kontakte einfach so weiterzugeben, bewegt sich rechtlich ohnehin auf dünnem Eis.

Die neuen EU-Regeln stärken die Hand der Behörden bei Datenschutzverstößen, zumindest im Prinzip. Allerdings ist noch unsicher, wie selbstbewusst die Landesdatenschutzbeauftragten in Deutschland mit ihren neuen Möglichkeiten umgehen werden. Aus einem der Beauftragten-Büros heißt es etwa, es sei ihnen noch immer unklar, wer nun eigentlich die Kompetenz habe, Facebook tatsächlich Strafen zu erteilen: jeder der Landes-Datenschutzbeauftragten, nur der in Hamburg oder überhaupt nur die Datenschutzbehörde am EU-Hauptsitz Facebooks in Irland. Die neuen Datenschutzregeln der EU sind wohl erst der Anfang, wenn es darum geht, das Wild-West-Verhalten der Internetkonzerne einzuschränken.

Weitersagen und Unterstützen. Danke!
26 Kommentare
  1. Facebook braucht für die Erhebung und Verarbeitung personenbezogener Daten nicht notwendig eine Einwilligung der Betroffenen, Facebook könnte sich auch auf Artikel 6 Absatz 1 (f) EU-DSGVO stützen, ihr berechtigtes Interesse. Ich frage mich, woher der Irrglaube kommt, dass es für eine Verarbeitung zwingend einer Einwilligung der Betroffenen bedürfe… Ich frage mich auch, warum die DSGVO so gefeiert wird – sie ist vor allem eine Verarbeitungsermächtigungsverordnung…

      1. Unser ehemaliger Innenminister Thomas de Maizière zum Beispiel hat mehrfach klargestellt, dass die Unternehmen ein „berechtigtes Interesse“ an unseren Daten hätten. Der Gedanke „Meine Daten gehören mir“ sei dagegen „protektionistisch“.
        (Nachzulesen z.B. hier: https://www.tagesspiegel.de/politik/data-debates-datenschutz-ist-kein-selbstzweck/19391956.html)

        Thomas de Maizière bringt dabei unmißverständlich auf den Punkt, warum wir ständig an einander vorbei reden: Die Bürger denken beim Datenschutz an Grundrechte, die Politiker dagegen an die wirtschaftlichen Interessen der Unternehmen.

        1. Deswegen wollte unser ehemaliger Innenminister Thomas de Maizière an die FB Daten ran -> https://netzpolitik.org/2016/die-facecbook-agenda-von-innenminister-thomas-de-maiziere-mehr-ueberwachung-und-zensurmechanismen/ um über die Schattenprofile, dem Leben der „Anderen“ ( „Das Leben der Anderen“ -> https://de.wikipedia.org/wiki/Das_Leben_der_Anderen ) über deren Umwelt habhaft zu werden, die sich evtl. Bewusst der Staatsspitzelei entziehen konnten.

    1. Stimmt.
      Ich bin der Meinung, es sollte (richtig) DRGVO heißen, dann würden es alle Benutzer verstehen:
      Die DatenREGULIERUNGsVO, denn es handelt sich nicht um Schutz sondern um Zustimmung, dass meine Daten verwendet werden können.
      Für den „Schutz“ ist die jeweilige Firma verantwortlich und ob das alles so eingehalten wird, vor allem mit der Weitergabe an „Dienstleistern“ oder sonstige „Dritte“ …
      Auch die „Anonymisierung“ halte ich für bedenklich, denn es kommt auf den Grad der Anonymisierung an. Ganz abgesehen davon kann durch die Sammlung von persönlichen Daten (Facebook) z.B. (Schatten)Profile erstellt werden, die durchaus auch (ohne Name/Anschrift/Telefon) schon sehr auf eine Person oder hinreichende (kleine) Gruppen geschlossen werden, was für die „Vermarktung“ völlig ausreichen kann.

  2. Das ist nicht bedenklich, eher kriminell. Tatsächlich schnorchelt Facebook-Software (auch Whatsapp) die Kontakte von Handys und aus Routern ab. Außerdem jeden, der sich auf eine Seite mit dem Like-Bottom von Facebook verirrt. Letzteres kann man mit uBlock origin bei den 3rd-party-filters und mit add-ons wie Neat URL unterbinden.

    1. So ist es. Statt dankbar für eine Einladung von Facebook zu sein, gehören Zuckerberg & Freunde vorgeladen und für ihr kriminelles Verhalten angeklagt.

      Wie oft müssen wir denn noch sehen, wie schnell solche Daten missbraucht werden können? Es sind Systeme wie Facebook und ein zentralisiertes Internet die uns wirklich noch irgendwann in die gleiche Lage bringen werden, in der China sich jetzt schon befindet.

  3. Da ich jede Form geistigen Eigentums für ein Hirngespinst halte, sehe ich da kein Problem. Ich ziehe auch den „wilden Westen“ des freien und unregulierten Internets den von der Regierung gewünschten kontrollierten Safespaces mit zensierter Kommunikation vor.

    1. Solange sich freiwillig Menschen bei diesem Messi-Verein registrieren gibt es keine andere Möglichkeit als Aufklärung über die Art und Weise wie persönliche Telefonnummer auch von nicht-Mitglieder gespeichert und ausgewertet werden. Weshalb gibt es hier von der EU eigentlich keine dragonische Strafen für den Laden der auch sehr wahrscheinlich meine Telefonnummer besitzt, weil Freunde What’s App-Dreck benutzen? Der nächste Schritt von Fratzenbuch, wird sehr wahrscheinlich einen Pro Account dem User zu verkaufen, der natürlich Kostenpflichtig sein wird. Da bin ich mir sehr sicher das dies auch bald kommt. In den AGB seht drin, dass der Account nicht immer Kostenlos bleiben wird. Das wird den Laden noch reicher und noch mächtiger machen. Bin ich nicht dafür! Das Netzwerk gehört zu gemacht. Die Großkunden sollten alle massiv abspringen. Die Geheimdienste begrüßen sich morgens mit einem high-Five und hätten sich nicht in ihren feuchtesten Träumen gedacht, wie einfach es doch ist einen Großteil der Menschen dessen Daten völlig kostenlos von diesen auf dem Sibertablet geliefert zu bekommen. Wacht endlich auf Facebook-Nutzer!

      1. Warum ist das eigentlich nicht ein Fall für das Kartellamt, oder haben Facebook, Amazon, Google, Microsoft & Co etwa KEINE Marktbeherrschende Stellung, die sie gnadenlos für die Datensammlung verwenden ?

    2. Dito. Die Phase des Wilden Westen hatten wir schon. Als in Behörden-Büros noch Schreibmachinen standen. Die Bevölkerung kommt damit aber nicht klar.

      1. Das liegt nicht an der Bevölkerung, sondern daran, das die extrem Nerds zwar selbst ihren persönlichen komplexen Scheiß einigermaßen drauf haben, die old-school BERUFS-ITler insgesamt viel Können auf dem Kasten haben – Es endet aber genau an der Grenze zur Bezahlbarkeit und der Komplexität der IT an sich. Es endet auch bei den Kostenvorstellungen von Unternehmen, bei den feuchten Träumen derselben Unternehmen, bei den feuchten surrealen Zukunfts-Träumen und praktischen Rationalisierungsprozessen der Regierungen über die Grenzen der Einsatzmöglichkeiten der IT hinaus. Es endet auch bei der Idee und Realität der Arbeitsteilung zwischen Produzent / Hersteller – Händler und Kunde und den unterschiedlichen Interessen bei der Technik.

        Es endet vor allem auch in großem Ausmaß an der Schnittstelle zwischen Nerdtum und dem normalen Benutzer. Ihr maulheldigen oldschool-Nerds habt es insbesondere verbockt für alle User benutzbare, bezahlbare und sichere Technik in die Märkte zu drücken. Ihr habt versagt die BWL-Kaste und Kostenfanatiker mit Protest zu überziehen. Ihr hättet die gesamtgesellschaftliche Etablierung der Technik auf ein anderes Niveau bringen müssen.

        Sich hinstellen und zu fordern, das der Kunde eure Arbeit machen müsste ist genau das Problem mit euch: Ihr übernehmt nicht Verantwortung oder zu wenig Verantwortung. Ihr It-Spezies habt den Zug abfahren lassen und jetzt ist der Kunde und Nutzer schuld?

        Armseliger Narzismus! Soll euch doch euer Steuerberater, Arzt, Rechtsanwalt und eure Versicherung mal dasselbe sagen! Macht euren Gas-Wasser-Scheiße alleine. Baut euer Haus alleine lasst Statiker und die Architekten in aussen vor – und baut eure eigenen Motoren, Reifen, Benzinschläuche und Autos und fahrt eure Taxis am Feiertag selbst nüchtern – Backt eure Kuchen selber und holt euch euren Weizen beim Bauern und macht euer Mehl und Brot selbst! Melkt selbst eine Kuh, schlachtet selbst das Schwein und holt eure Eier nicht mehr im Fachhandel sondern kümmert euch selbst um euren Scheiß – Ohne die Hilfe von Fachleuten aller Gattungen. Nur ein paar mickerige Beispiele dafür, da gibts noch massenhaft mehr.

        Würde der Handel so einen giftigen Scheiß verkaufen wie die IT ihn unter Regie des Kapitals produziert, gäbe es längst Tote. Aber so gehts ja nur ums Geld der Bürger und genau darauf ist die IT herabgesunken: Die Maschinen für die Kapitalisten zu stellen mit denen diese ihre feuchten Träume einer faschistomanen Zukunft konstruieren. Ihr seid nicht mehr als die Erfüllungsgehilfen des Status Quo.

        Genau mit dieser Realität im Nacken stellt ihr euch hin und beschimpft die Kunden, die eure Löhne zahlen, die Menschen, die andere Jobs haben oder von Berufs wegen eben keine Itler sind und anderen Fachrichtungen ihren Alltag widmen.

        Lächerliche Vögel.

        1. Sorry, aber ich empfinde es als abenteuerlich, die Menschen, die in der IT arbeiten als „Schuldige“ für den Zustand der Datensammlungen etc. zu bezeichnen.
          Schuld z.B. am Dieselskandal hat weder der Arbeiter am Fließband noch der IT Entwickler der Motorsteuerung. Das hätten die Konzernchefs gerne so bewiesen, damit diejenigen bestraft werden, die schlicht und ergreifend ihrer Arbeit nachgekommen sind und eine vorgegebene Aufgabe durchgeführt haben.
          Merke: Die Schuldigen sitzen an einer anderen Stelle und vielleicht – nach ein weinig Nachdenkzeit – fällt es dir dann endlich ein …..

  4. Wieso will Netzpolitik.org eigentlich auf FB und Co. zitiert/geliked/bemerkt werden?
    Ist es nicht an der Zeit, die Kommunikation anders zu gestalten?

  5. Letztlich sammeln schon die Browser Firefox nach 44.0, Explorer, Edge, Chrome, Opera und Safari wie wild Daten. Das ist wirklich krank. Facebook & co. sind nur die Spitze des Eisberges.

  6. Ich frage mich auch, wie lange kann und will netzpolitik.org wirklich an Facebook festhalten. Der Link und das ganze Marketinggedöns sollte abgestellt werden!
    Netzpolitik könnte als Vorbild agieren und die Leitung zu Facebook kappen! Alles andere ist unglaubwürdig!

  7. Ich weiß, dass ein Schattenprofil von mir existiert. Mehrere Kontakte nutzen sowohl WhatsApp als auch Facebook auf dem Smartphone, haben also meine Kontaktdaten zu Facebook hochgeladen. Ich weiß auch von mindestens zwei Kontakten, die der Facebook App Zugriff auf ihr Adressbuch gegeben haben.

    Was kann ich als Inhaber eines Schattenprofils tun, um bei Facebook anzufragen, welche Daten sie über mich gespeichert haben? Und kann ich Facebook auffordern, sowohl meine Daten zu löschen, als auch in Zukunft keine Daten mehr von mir zu speichern?

  8. total naive Frage an Facebook:
    Wie wichtig sind Schattenprofile, wieviel Aufwand wird in die „Pflege“ von Schattenprofilen investiert, wieviele gibt es davon? und kann Facebook darauf verzichten?

    1. Ich kann es dir natürlich nicht genau beantworten,
      aber die „manuelle Arbeit“ besteht nur darin, sich zu überlegen, welche Art von Daten gesammelt werden sollen. Ansonsten werden die Daten automatisch gesammelt durch die bekannten „Likes“, „Klicks“, Beiträge in Facebook oder auch über „Drittanbieter“ und allen „kommerziellen“ Unternehmen, die sich einen Facebookaccount erstellt haben oder über deren Webseiten (allein schon durch das Aufrufen der Seite).
      Tja, nicht dass du mal einem „falschen“ Link (versehentlicht ?) gefolgt bist ….
      Nein, Facebook möchte Daten sammeln ! Verzicht würde das ENDE von Facebook`s „Geschäftsmodell“ bedeuten.
      Klingt wie die „anlasslose Überwachung“ …
      Genau, ist es auch, nur nicht der BND, sondern die kommerziellen Unternehmen.
      Es heisst in diesen Kreisen : Die Daten sind das Öl der Zukunft
      Alles klar ?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.