Facebook missbraucht Handynummern zu Werbezwecken

Bei Facebook gespeicherte Handynummern dienen nicht nur der Sicherheit des Accounts. Nutzer:innen wollten mit der Abgabe ihrer Nummer eigentlich mehr Sicherheit: Jetzt wird aber die Information auch an Dritte weitergegeben.

Facebook-Logo; Schloss
Doch nicht ganz sicher, denn Facebook verwendet Handynummern weiter. CC-BY 2.0 Stock Catalog

Immer wieder wird empfohlen, aus Sicherheitsgründen die Handynummer bei Online-Dienstleistern zurückzulegen, so auch durch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Zum besseren Schutz der persönlichen Daten kann bei vielen Internetdiensten neben Nutzer:innenname und Passwort auch die eigene Handynummer hinterlegt werden. Diese sogenannte Zwei-Faktor-Authentifizierung verbessert die Sicherheit, um sich vor fremdem Zugriff zu schützen: Würde sich unerlaubter Zugriff zu einem Account verschafft, wäre neben dem Passwort immer noch ein Code vom Handy notwendig, um völligen Zugriff auf den Account zu erhalten.

Zweckentfremdung der Handynummern

Jetzt stellte sich allerdings heraus, dass diese Daten zu anderen Zwecken – insbesondere Werbung – missbraucht werden, wie Zack Whittaker für techcrunch berichtet (in Deutsch bei Zeit Online). Mehrere Tweets des Unternehmers und Bloggers Jeremy Burge sorgten Anfang der Woche für weltweites Aufsehen: Er zeigte, dass Facebook die Handynummern seiner Nutzer:innen nicht nur aus Sicherheitsgründen speichert, sondern zu Werbezwecken weiternutzt. Es gibt auch keine Möglichkeit, die eigene Nummer vollständig zu verbergen.

https://twitter.com/jeremyburge/status/1101402001907372032

Facebook nutzt also die Zwei-Faktor-Authentifizierung nicht nur, um die Accounts der User:innen sicherer zu machen. Die Handynummern werden zu Werbezwecken weiterverwendet, ohne dass Nutzer:innen dem vorher zugestimmt hätten oder im Nachhinein der Weiterverwendung widersprechen können. Zudem ist es nicht möglich, die Nummer komplett zu verbergen. Denn die Einstellungen erlauben es lediglich, den Kreis der User:innen, die die eigene Nummer sehen können, auf die Facebook-Freunde zu beschränken.

Der Missbrauch von Handynummern durch die Werbeplattform zeigt, dass die Zwei-Faktor-Authentifizierung einen Online-Account nicht nur sicherer macht. Problematisch ist allerdings, dass zugleich die Nummern ohne Zustimmung zu einem anderen Zweck verwendet werden können.

Kritik durch Datenschutzbeauftragten

Besonders bedenklich ist dies aus datenschutzrechtlicher Perspektive. Der Datenschutzbeauftragte von Hamburg, Johannes Caspar, zeigte sich besorgt über diese Entwicklung und äußerte gegenüber netzpolitik.org „erhebliche Bedenken mit Blick auf die Einhaltung der Bestimmungen der Datenschutzgrundverordnung“ (DSGVO):

Hier wird die Datensicherheit gegen den Schutz der Privatsphäre der Nutzerinnen und Nutzer von Facebook ausgespielt. Personen, die sich für eine Zwei-Faktor-Authentifizierung entscheiden, haben einen klaren Zweck für die Verwendung ihrer Mobilfunknummer festgelegt. Diese wird nun durch den eigenmächtigen Schritt von Facebook in den Bereich der zu wirtschaftlichen Zwecken einsetzbaren Daten der Nutzer „eingemeindet“, ohne dass hierfür eine Einwilligung der Nutzer vorab abgefragt wird. […] Dies gilt sowohl hinsichtlich der Verwendung der Nummer zur Auslieferung von Werbung als auch zur Identifizierung von Nutzerinnen und Nutzern.

Kritisch sieht der Datenschutzbeauftragte auch den Austausch von Daten zwischen Facebook, Instagram und Whatsapp, obwohl dieser eigentlich untersagt worden sei: „Mehr und mehr erhärtet sich der Verdacht, dass Facebook das Inkrafttreten der DSGVO nicht nutzt, um den Datenschutz zu optimieren, sondern um ihn tiefstmöglich zu unterlaufen“, so Johannes Caspar. „Die Datenschutzaufsichtsbehörde wird diese Fragestellung noch intensiver einer Prüfung unterziehen und dann gegebenenfalls den Vorgang der federführernden Aufsichtsbehörde in Irland überstellen.“

Kaum Auskunft von Facebook

Auf Anfrage von netzpolitik.org wurde die Verwendung der Handynummern zu Werbezwecken nicht weiter kommentiert. Eine Sprecherin von Facebook gab lediglich an, dass die Zwei-Faktor-Authentifizierung eine sichere, aber nicht verpflichtende Einstellung sei, und betonte, dass User:innen nicht über Handynummern oder Mailadressen gesucht werden könnten.

Damit bestätigt sich erneut, dass Facebook nach wie vor wenig Interesse an der Privatspäre seiner Nutzer:innen hat und Datenschutz nicht allzu ernst zu nehmen scheint. Denn klar ist, dass Handynummern zweckentfremdet und diese nicht komplett verborgen werden können.

Offen ist noch, wie mit solchen Datenschutzverstößen durch Facebook zukünftig umgegangen wird. Denn die neue DSGVO definiert klar, dass personenbezogene Daten nur für eindeutige Zwecke erhoben und nicht anders weiterverwendet werden dürfen (Art. 5 Abs. 1 b DSGVO, „Zweckbindung“). Sie könnte sich somit als nützliches Instrument im Kampf gegen den Missbrauch von Daten erweisen. Ob und wann dies jedoch gegenüber Facebook durchgesetzt wird, damit der Konzern endlich in seine Schranken gewiesen wird, bleibt abzuwarten.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

6 Ergänzungen

  1. Zu Facebook missbraucht die Handy-Nummern:

    Ihr schreibt, die Angabe der eigenen Handy-Nr. bei Facebook sei optional. Ich habe mich deshalb bereits von Facebook zurückgezogen, weil ich ohne die Angabe gar nicht mehr das Konto nutzen kann!!

  2. Zum Artikel Facebook missbraucht Handy-Nummern…

    ich habe mich deswegen von Facebook zurückgezogen, weil es mir nicht gestattet wird, das Konto ohne die Handy-Nummer anzugeben, zu nutzen,

    1. Lieber Max, auch wir hatten das bereits intern diskutiert. Tatsächlich wird meist von Autentisierung gesprochen, doch mit Blick in den Duden ist Authenfizierung passender („beglaubigen, die Echtheit von etwas bezeugen“). Es geht wohl beides…

      1. Es hängt vom Blickwinkel ab:
        Max behauptet Inhaber des Facebook-Accounts zu sein. Er gibt Passwort und PIN ein. Max authentisiert sich.
        Facebook kontrolliert Passwort und PIN und stellt fest, dass Max Inhaber des Facebook-Accounts ist. Facebook authentifiziert Max.

        2F-Authentisierung bedeutet, dass Max zwei Faktoren benutzt, um sich zu authentisieren.
        2F-Authentifizierung bedeutet, dass Facebook zwei Faktoren benutzt, um A zu authentifizieren.

        Max kann sich nicht selbst authentifizieren. Er kann aber die 2F-Authentifizierung von Facebook bei Facebook nutzen. Und wenn Max auf einer anderen Seite seinen Facebook-Account zum Login nutzt, dann authentisiert er sich auf dieser Seite, indem ihn Facebook authentifiziert. Wie dem auch sei, die Authentizität von Max ist jedenfalls festgestellt …

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.