Hunderttausende deutsche Nutzer*innen sind vom neuesten Datenleck bei Facebook betroffen, Unbekannte haben ihre Daten erbeutet. Das sagte ein Vertreter des Datenkonzerns gestern im Digitalausschuss des Bundestages. Die Öffentlichkeit durfte nur indirekt teilnehmen.

Saskia Esken hat schlechte Laune. Zum dritten Mal in diesem Jahr hat die SPD-Abgeordnete am Mittwoch einen Vertreter von Facebook im Digitalausschuss des Bundestages befragt. Es geht um immer neue Skandale, aktuell das Datenleck vom September, bei dem Unbekannte private Daten von 30 Millionen Nutzer*innen erbeuteten. Wieder hat Esken keine zufriedenstellenden Antworten bekommen.

„Wie viele Millionen Nutzer sind denn in Deutschland betroffen? Ich mag solche Fragen nicht mehr stellen“, sagt sie. Die Frage ist doch viel mehr, wer denn nicht betroffen sei. „Nutzer können einfach nicht mehr glauben, dass ihre Daten bei Facebook in irgendeiner Form gut aufgehoben sind.“

Im Ausschuss war Steve Satterfield, bei Facebook für die Privatsphäre und Staatstätigkeit zuständig, und er hatte viel zu erklären. Im September griffen Unbekannte millionenfach Daten bei Facebook ab, darunter Namen, Telefonnummern, Religionszugehörigkeit, Wohnort, selbst die Suchhistorie der Betroffenen. Die Daten von 30 Millionen Profilen wurden bei dem Leck erbeutet, aufgrund der Nachlässigkeit des Konzerns. Man arbeite an der Aufklärung der Sache, sagte Satterfield in seinem Eingangsstatement, das amerikanische FBI sei beteiligt.

30 Millionen Betroffene, Hunderttausende Deutsche

Dann hört man zum ersten Mal eine klare Aussage von Facebook zur Frage, ob auch Nutzer*innen in Deutschland betroffen sind. Unter den 30 Millionen Betroffenen sind auch Hunderttausende Deutsche, sagt der Manager. Von 173.229 Nutzer*innen seien Namen und Kontaktinformationen inklusive Handynummern und E-Mail-Adresse erbeutet worden, sofern diese verfügbar waren.

Bei 142.721 anderen wurden weitere hochsensible Daten erbeutet. Welche das sind, weiß man aus früheren Angaben von Facebook: Geschlecht, Sprache, Beziehungsstatus, Religion, Herkunftsstadt, Wohnort, Geburtsdatum, Bildung und Arbeitsplatz, außerdem eine Liste der Seiten, denen die Personen folgen, und ihre fünfzehn letzten Suchanfragen auf der Plattform.

Ausgangspunkt der Lücke waren 400.000 Konten weltweit, mit deren Token gearbeitet wurden, davon 4785 Konten in Deutschland. Nach welchen Kriterien Facebook Nutzer*innen als Deutsche kategorisiert, wurde aus dem Statement nicht klar. Staatsangehörigkeit wird im Profil nicht abgefragt.

Auffällig: Während der Facebook-Manager einerseits sehr genaue Zahlen zu Deutschland hatte, antwortete er auf die Frage nach der sonstigen geografischen Verteilung der erbeuteten Profile vage: Die betroffenen Nutzer*innen seien weit verteilt, er habe dazu keine genaueren Daten. Anke Domscheit-Berg, die für die Linke im Ausschuss sitzt, findet das seltsam: „Bei anderen Hacks kann Facebook genau sagen: so viele Profile stammen aus Frankreich, so viele aus Spanien oder den USA. Und hier sollen sie das nicht wissen?“ Sie vermutet, dass Facebook vom FBI aufgefordert wurde, die Information zurückzuhalten, um die Ermittlungen nicht zu behindern.

Auch ob die erbeuteten Daten bereits missbraucht wurden, wollte Domscheit-Berg wissen. Bisher habe Facebook keinen Hinweis darauf, dass damit Identitätsdiebstahl betrieben wurde, sagte Satterfield, schließlich seien keine Kreditkarteninformationen oder „national identifier“ unter den Daten gewesen. Domscheit-Berg findet diese Antwort nicht überzeugend: Bei vielen Diensten reiche schon Name, Adresse und Geburtsdatum, um sich anzumelden und in dem Datenwust sei viel mehr als das enthalten.

Wer darf zuschauen, wenn Facebook antwortet?

Auch wenn diesmal nicht Facebook-Chef Mark Zuckerberg persönlich Rede und Antwort stehen muss, man wünschte sich, dem Facebook-Manager bei diesen Ausführungen zuschauen zu können. Wie sitzt er da? An welchen Stellen stutzt er? Klammert er sich seine Papiere? Aus anderen Befragungen kennt man diese Bilder, teils werden sie von einem Weltpublikum verfolgt, die Sitzungen des Ausschusses Digitale Agenda sind dagegen normalerweise nicht öffentlich.

Dass das gestrige Gespräch überhaupt geöffnet wurde, geht auf einen Antrag von Linken und Grünen zurück. Ihre Argumentation: Wenn Millionen Menschen von Facebooks Umgang mit Nutzerdaten betroffen sind, dann haben sie auch ein Recht darauf, diese Antworten zu verfolgen. Weil der Antrag aber erst zu kurzfristig behandelt wurde, konnte kein Videostream mehr organisiert werden. Auch Journalist*innen konnten sich nicht mehr akkreditieren. Teilnehmen konnte nur, wer ohnehin schon Zugang zum Parlament hat und gerade in der Nähe war. Die einzige Möglichkeit, die Sitzung von außen zu verfolgen, war das Live-Protokoll eines Mitarbeiters von Domscheit-Berg aus dem Saal.

Darin und aus Gesprächen mit den Abgeordneten erfährt man weitere interessante Details. Demnach bestätigt der Facebook-Manager auf Nachfrage erneut, dass der Konzern Telefonnummern, die Nutzer*innen für Zwei-Faktor-Authentifizierung verwenden, auch zu Werbezwecken nutzt. Diese Nummern dienen dazu, den eigenen Account gegen unberechtigte Zugriffe zu schützen – eine Sicherheitsmaßnahme, deren Nutzer*innen sich vermutlich nicht bewusst sind, was mit ihrer Nummer sonst noch angefangen wird.

Abgeordnete lachen über (oder mit) Facebook

Auf die kritische Nachfrage eines CDU-Abgeordneten, warum immer noch automatisch die Adressbücher der Nutzer*innen auf Facebook hochgeladen werden und damit auch die Kontaktdaten von Dritten, die dem gar nicht zugestimmt haben, wendet Satterfield ein, das sei ja nur eine Option. Niemand müsse Adressbücher mit dem Konzern teilen. Als Satterfield sagt, Nutzer*innen besitzen schließlich selbst die Daten und damit auch die Verfügungsgewalt über ihr Adressbuch, bricht im Saal Gelächter unter den Abgeordneten aus.

Tabea Rößner, die für die Grünen Fragen im Ausschuss stellte, findet, dieses Beispiel zeige einmal mehr, „dass der Datenschutz bei Facebook keine Rolle spielt, ja vielleicht als Konzept nicht mal verstanden wurde“. Dem Konzern gehe es nur um Nützlichkeit statt Rechtmäßigkeit. Das Einverständnis der Kontaktpersonen im Adressbuch wird nicht für nötig gehalten. Solche Aussagen zeigten Verbraucher*innen, „wes Geistes Kind die Plattform ist und mit welcher Nachlässigkeit der Schutz personenbezogener Daten bei Facebook behandelt wird.“

Anke Domscheit-Berg wollte weiter wissen, warum der Konzern nach wie vor so viel Nudging betreibt, also die Praxis, Nutzer*innen ständig dazu aufzufordern, noch mehr über sich preiszugeben, vom Wohnort bis zur besuchten Universität. Mit mehr Daten könne man seinen Nutzer*innen eben einen besseren Dienst bieten. Dass Facebook ein datengetriebenes Geschäftsmodell verfolgt, und mit mehr Daten vor allem erfolgreicher Werbung verkaufen kann, sei dagegen zweitrangig, kritisiert Domscheit-Berg.

„Wir müssen es besser machen.“

Kleinlaut – so beschreiben die Abgeordneten den Auftritt des Facebook-Managers. „Wir haben einen weiten Weg vor uns,“ sagte Satterfield in seinem Eingangsstatement. „Wir haben das Vertrauen der Menschen gebrochen. Wir müssen es besser machen.“ Es klingt wie eine Entschuldigung.

Die SPD-Abgeordnete Saskia Esken kann es nicht mehr hören. Jedes Mal aufs Neue würde man von Facebook mit einem Katalog an Maßnahmen und Informationen zugeschüttet, wie der Konzern die Probleme zu bekämpfen gedenke, was dazu alles an Mühen nicht gescheut wird. „Ich finde, Facebook hat das Vertrauen der Nutzer vollkommen verspielt, das der Politik übrigens auch“, sagt Esken. Sie und andere Abgeordnete würden dem Konzern nicht mehr abnehmen, dass er mit Nutzer*innendaten verantwortlich umgehe.

Auf ihre letzte Frage, wie Facebook gedenke, das Vertrauen der Nutzer*innen nach den Skandalen der letzten Monate zurückzugewinnen, antwortete Satterfield nur, dass das durch Reden nicht zu machen wäre.

Eben dies habe Satterfield aber wieder versucht, kritisiert die Grünen-Abgeodnete Tabea Rößner. „Satterfields langatmige Ausführungen, die keine neuen Informationen enthielten, standen ganz in der Tradition bisheriger Auftritte von Facebook-Vertretern in Bundestagsausschüssen oder schriftlicher Antworten des Unternehmens auf eingereichte Nachfragen.“ Eine eingeübte Hinhaltetaktik, sei das, „um mit vielen Worten nichts zu sagen.“