Der Internetkonzern saugt viele Informationen aus Geräten von Nutzern ab und sammelt Daten auch über Nicht-Nutzer. Deutsche Datenschützer halten diese Praxis bei mangelhafter Einverständnis der Betroffenen für bedenklich.

Facebook sammelt Daten auch über Nicht-Nutzer: Der Konzern saugt aus Kontaktlisten seiner Nutzer mit Vorliebe alle E-Mailadressen und Telefonnumern ab. Aus diesen und anderen Informationen erstellt Facebook sogenannte Schattenprofile. Wenn sich der Inhaber einer dieser Adressen oder Nummern bei Facebook anmeldet, werden ihm dann etwa jene, die seine Kontaktdaten hochgeladen haben, als Freunde vorgeschlagen. Diese Praxis des Konzerns ist seit Jahren bekannt. Doch der Skandal um Cambridge Analytica macht neuerlich deutlich, wie bedenklich die Datensammelwut des Konzerns ist und wie wenig sich die Betroffenen – ob Nutzer oder Nicht-Nutzer – davor schützen können.

Dass Facebook Schattenprofile anlegt, ist seit spätestens 2011 öffentlich. Der österreichische Datenschützer Max Schrems beschrieb die höchstwahrscheinlich illegale Methode damals in seiner Beschwerde gegen den Internetkonzern an die irische Datenschutzbehörde. Facebook speichere in den Schattenprofilen vieles an Daten ab, darunter auch sensible Informationen etwa zur politischen Meinung, zu religiösen Überzeugungen und zur sexuellen Orientierung. Schrems kritisierte in seiner Beschwerde unter anderem, dass dies ohne Zustimmung der Betroffenen geschieht.

Unerwünschte Verknüpfungen

Bis heute hat sich daran wenig geändert. Die Schatteninformationen helfen Facebook beim Herstellen von Kontakten – das führt zum Teil zu erstaunlichen und unerwünschten Verknüpfungen, wie zuletzt ein Artikel von Gizmodo aufzeigte.

Umstritten ist das schon allein deshalb, weil viele Nutzer gar nicht bemerken, wieviel Informationen Facebook vor allem aus Android-Handys absaugt. Dabei handelt es sich um ein zunächst getrenntes, aber verwandtes Phänomen: Zuletzt beschwerte sich ein Facebook-Nutzer aus Neuseeland etwa darüber, dass das soziale Netzwerk ein Logbuch aller seiner Anrufe mit Freunden und Bekannten vorhält. Dabei geht es nicht nur um Kommunikationsdaten, die auf Facebook selbst anfallen, etwa beim Chatten über den hauseigenen Messenger, sondern auch um herkömmliche Telefonanrufe oder SMS-Nachrichten. Bei der Gelegenheit erfasst der Konzern Daten von Menschen, die gar keinen Account bei Facebook haben.

In gleicher Manier nimmt sich der Konzern die Inhalte aus Telefonbüchern und E-Mailspeichern. Einige User stimmen dem bewusst zu, womit sie dem Prinzip der Datenhöflichkeit zuwider handeln, die Privatsphäre anderer zu wahren und deren Telefonnummer nicht einfach hochzuladen. Oft beruft sich Facebook aber auch auf Zustimmungen, selbst wenn diese vor langer Zeit in einer anderen Variante der App und auf einem anderen Gerät gegeben wurde. Außen vor lässt das Unternehmen freilich, auf welcher rechtlichen Grundlage es Daten von vollkommen Unbeteiligten sammelt und wie es diese einsetzt.

Zweifelhafte Zustimmungen

Generell ist Facebooks Vorgehen bei Schattenprofilen fraglich. Denn es fehlt eine klare und informierte Zustimmung der Betroffenen zur Nutzung ihrer Daten.

Ähnlich ist es beim Absaugen von Handydaten. Das Nutzen von Daten auf Basis von vor Jahren einmalig erteilten Zustimmungen sieht der Hamburger Datenschutzbeauftragte Johannes Caspar mit großes Skepsis. „An der Wirksamkeit einer solchen Zustimmung bestehen erhebliche Zweifel. Weder ist klar, ob alle Nutzer der Facebook-Messenger- oder Facebook-Lite-App über entsprechende Zustimmungsbuttons geführt wurden, noch kann davon ausgegangen werden, dass sie über Umfang und Zweck der Datenerhebung ausreichend informiert waren“, schreibt Caspar in einer Stellungnahme an netzpolitik.org. Da Facebook seinen deutschen Sitz in Hamburg hat, ist Caspar für den Konzern zuständig.

Share-Buttons protokollieren Surfverlauf

Datenflüsse gibt es dabei nicht nur direkt auf Facebook. Viele Webseitenbetreiber binden Share-Buttons und andere Social-Media-Plugins von Facebook ein. Ruft ein Besucher eine so ausgestattete Seite ohne Tracking- oder Adblocker auf, erhält der Konzern auch persönliche Informationen über Nicht-Nutzer, die er in den Schattenprofilen ablegt. Die Berliner Datenschutzbeauftragte rät Webseiten-Betreibern darum dazu, zumindest – wie wir – auf Zwei-Klick-Lösungen zu setzen, die eine aktive Handlung der Nutzer vor dem Absaugen ihrer Daten voraussetzen.

Deutschlands oberste Datenschützerin, die Bundesbeauftragte Andrea Voßhoff, wollte uns gegenüber zum konkreten Vorgehen Facebooks nicht Stellung nehmen. Ein Sprecher teilte aber mit: „Unabhängig vom konkreten Einzelfall ist aber auch schon im aktuellen Datenschutzrecht klar geregelt, dass personenbezogene Daten nur aufgrund einer expliziten Rechtsgrundlage erhoben und verarbeitet werden dürfen. Diese kann entweder in Form einer gesetzlichen Ermächtigung oder in der einer Einwilligung der betroffenen Person vorliegen.“

Facebooks eigene Angaben zu seiner Datensammlung ist bestenfalls nebulös. Grundsätzlich bestreitet das Unternehmen, persönliche Daten ohne die Erlaubnis der Betroffenen zu verarbeiten. Dabei bleibt allerdings unklar, wie das Unternehmen die Worte „Einwilligung“ und „Erlaubnis“ auslegt. Und wie glaubwürdig solche Beteuerungen angesichts immer neuer Enthüllungen über seine Datensammelwut sind.

Das Koppelungsverbot kommt

Die Rechte von Facebook-Nutzern stärkt die ab Ende Mai gültige Datenschutz-Grundverordnung (DSGVO) der EU. Dann gilt ein erweitertes Koppelungsverbot. Dieses sieht vor, dass die Einwilligung zu Nutzungsbedingungen eines Dienstes nicht mit weiteren Erklärungen verbunden werden darf, die nicht im unmittelbaren Zusammenhang mit dem eigentlichen Einwilligungsgegenstand stehen. „Von solchen ‚Datendeals‘ profitiert einseitig Facebook“, sagt der Datenschützer Caspar. „Das Koppelungsverbot in der DSGVO stellt ab dem 25. Mai die Einwilligung zum Auslesen von Adressbüchern durch Anbieter von Messenger-Diensten und sozialen Netzwerken grundsätzlich in Frage.“ Die Praxis, Adressbücher von Nutzern auszulesen und sie ohne Zustimmung der darin enthaltenen Kontakte einfach so weiterzugeben, bewegt sich rechtlich ohnehin auf dünnem Eis.

Die neuen EU-Regeln stärken die Hand der Behörden bei Datenschutzverstößen, zumindest im Prinzip. Allerdings ist noch unsicher, wie selbstbewusst die Landesdatenschutzbeauftragten in Deutschland mit ihren neuen Möglichkeiten umgehen werden. Aus einem der Beauftragten-Büros heißt es etwa, es sei ihnen noch immer unklar, wer nun eigentlich die Kompetenz habe, Facebook tatsächlich Strafen zu erteilen: jeder der Landes-Datenschutzbeauftragten, nur der in Hamburg oder überhaupt nur die Datenschutzbehörde am EU-Hauptsitz Facebooks in Irland. Die neuen Datenschutzregeln der EU sind wohl erst der Anfang, wenn es darum geht, das Wild-West-Verhalten der Internetkonzerne einzuschränken.