Facebook nutzt offenbar auch jene Telefonnummern und Email-Adressen für gezielte Werbeanzeigen, die Nutzer*innen nur zu Sicherheitszwecken oder gar nicht selbst an die Plattform gegeben haben. Das Unternehmen hat so einen Weg gefunden, Privatsphäre-Einstellungen zu umgehen.

Auch wenn du bei Facebook eigentlich nur eine Trash-Email-Adresse angegeben hast: Es ist gut möglich, dass das Unternehmen schon längst deine drei weiteren Email-Adressen sowie deine private und geschäftliche Telefonnummer kennt.

Denn was Facebook über dich weiß, ist nicht darauf beschränkt, was du selbst auf deinem Profil preisgibst oder welche Personen auf deiner Facebook-Kontaktliste stehen. Neben diesen beeinflussbaren Faktoren wertet Facebook hinter dem Rücken seiner Nutzer*innen weitere Informationsquellen aus und legt „Schattenprofile“ an, die es geheim hält, aber trotzdem für verschiedene Zwecke nutzt.

So kann es passieren, dass uns Facebook eine Person als Freundin vorschlägt, obwohl seit Jahren kein Kontakt mehr bestand. Oder dass jemand eine maßgeschneiderte Werbeanzeige basierend auf einer geschäftlichen Telefonnummer erhält, die er oder sie selbst nie auf Facebook angegeben hat.

An die dazu notwendigen Informationen gelangt Facebook in solchen Fällen beispielsweise durch die Auswertung von Handy-Kontaktlisten. Erlaubt jemand Facebook den Zugriff auf ein Adressbuch, erhält Facebook die Daten aller Personen, die darin auftauchen. An diese sensiblen Informationen gelangt Facebook zum Beispiel über den Messenger oder die Funktion „Finde Freunde“, die insbesondere neuen Usern angeboten wird.

Gezielte Werbung über Telefonnummern

Dass die Schattenprofile nicht nur für Freundschaftsvorschläge, sondern auch für Werbeanzeigen genutzt werden, haben die Forscher Giridhari Venkatadri, Piotr Sapiezynski und Alan Mislove der Northeastern University in Boston zusammen mit der Forscherin Elena Lucherini an der Princeton University in einer Studie [pdf] aufgedeckt.

Was viele nicht wissen: Um zugeschnittene Werbung gezielt auszuspielen, nutzt Facebook häufig Kontaktinformationen wie Namen, Geburtsdaten, Telefonnummern oder Emailadressen. Wer eine Werbeanzeige verbreiten will und bereits über eine Kontaktliste mit Personen der Zielgruppe verfügt, kann diese bei Facebook hochladen. Die Daten werden pseudonymisiert und dann mit den existierenden Facebook-Profilen abgeglichen. Gibt es Übereinstimmungen, wird eine maßgeschneiderte Zielgruppe erstellt. Telefonnummern und E-Mailadressen werde so zu universellen Identifiern: Firmen können mit dieser „Custom Audience“-Funktion auf Facebook haargenau die Personen erreichen, die sie schon aus anderen Zusammenhängen können. Nach Angaben von Facebook werden die extern hochgeladenen Informationen anschließend wieder gelöscht.

Möchte ein Unternehmen eine Werbeanzeige über Telefonnummern ausspielen, wird die hochgeladene Liste dafür nicht nur mit den Telefonnummern abgeglichen, die von Facebook-Usern selbst bereitgestellt wurden, sondern auch mit denen, die Dritte über sie geteilt haben und die Facebook ohne ihr Wissen in ihren Schattenprofilen sammelt.

Facebook umgeht Privatsphäre-Einstellungen

Obwohl sich das Unternehmen mit seinen Privatsphäre-Einstellungen für Werbeanzeigen rühmt, haben Nutzer*innen nur Macht über die Daten, die sie Facebook selbst zur Verfügung gestellt haben. Der Nutzung von Daten, die über andere Wege an das Unternehmen gelangen, kann nicht durch Privatsphäre-Einstellungen entgegengewirkt werden. Die Journalistin Kashmir Hill hat Facebook mit diesem datenschutzrechtlichen Problem konfrontiert, doch das Unternehmen beruft sich auf sein Betriebsgeheimnis und die Schutzwürdigkeit der Daten derjenigen, die ihr Adressbuch mit Facebook teilen.

Übrigens zeigt die Studie außerdem, dass Facebook Werbetreibenden auch durch die Telefonnummern weiterhilft, die dem Unternehmen zu Sicherheitszwecken für die Zwei-Stufen-Authentifizierung bereitgestellt wurden. Für diese Sicherheitsmaßnahme war die Angabe einer Telefonnummer lange Zeit obligatorisch, inzwischen geht es auch mit einer Authenticator-App. Wer diese nicht nutzt, muss bei Facebook für mehr Sicherheit mit der Privatsphäre zahlen.