Datenschutz für Jedermann: Facebook – der Skandal bist Du!
Was haben Nametests, Lovoo, Tinder, Spotify & Co. gemeinsam? Richtig, man kann sich bequem über Facebook einloggen, um dort einen Account zu erstellen und spart sich somit viel Zeit, um den Account händisch zu errichten. Doch wer weiß genau, was mit den Daten geschieht? In dieser Ausgabe von Datenschutz für Jedermann möchte ich aufzeigen, wieviel vom Datenschutz-Skandal bei Facebook in Wirklichkeit hausgemachte Fehler der User sind, und welche Alternativen im Umgang mit dem Netzwerk denkbar sind.
Der Datenschutz-Skandal bei Facebook: Worum geht es genau?
Die Tagesschau hat es in ihrem Link eigentlich gut zusammengefasst, ich verkürze das Ganze noch einmal: Über die Facebook-App Thisisyourdigitallife wurden zig Millionen Datensätze von Facebook gesammelt. Die Crux: Es waren nicht nur die Daten der Nutzer dieser App, sondern (und darin liegt der eigentliche Skandal) auch die Daten der User, die mit dem Inhaber des ursprünglichen Profils befreundet sind. Anders ausgedrückt: Es können meine Daten aus Facebook abgeflossen sein, weil jemand aus meiner Freundesliste mit seinen Facebook-Daten einen Account auf einer anderen Seite erstellt hat. Und das ist der eigentliche Skandal! Denn all diese Daten sind, unabhängig davon, ob sie direkt oder indirekt durch einen User erworben worden sind, zunächst an Cambridge Analytica verkauft worden, welche sie wiederum u.a. an die Republikanische Partei der Vereinigten Staaten verkauft hat, womit diese ihre Wahlwerbung optimieren konnten. Facebook wusste angeblich von diesem Datenhandel, hat aber in einem Akt unglaublicher Ignoranz und Kurzsicht keine Schritte unternommen, um etwas dagegen zu unternehmen. Und bis vor einigen Wochen ist alles für sie gut gegangen…
Login via Facebook, oder: Wo wird es illegal?
Der häufig so genannte „Login via Facebook“ ist, wie anfangs erwähnt, eine sehr bequeme Angelegenheit. Anstatt mühsam ein Konto zu erstellen, indem ich einen Benutzernamen auswähle, meine Email-Adresse angebe, meine persönlichen Daten in die Eingabefelder eintippe, ein Passwort vergebe und im Zweifelsfall das Konto noch verifizieren muss, übernimmt Facebook das scheinbar. Man kennt ein ähnliches Phänomen ja scheinbar von der Arbeit: „Single Sign-On“. Ich gebe nur einmal meine Logindaten an, und zack! Ich bin ohne weitere Zwischenschritte in allen Programmen angemeldet. Doch ist es wirklich so, dass ich nur ein zentrales Zugangskonto benötige, um überall angemeldet zu sein? Jein! Natürlich hat jede Form eines Single Sign-Ons, ob jetzt ein richtiger oder ein vermeintlicher wie bei „Login via Facebook“ den bequemen Effekt, dass man sich nur einmal Benutzerdaten merken muss, um überall reinzukommen. Fakt ist aber auch, dass effektiv in jeder Software, sei es nun die einzelnen Programme auf der Arbeit oder die einzelnen Seiten/Apps, bei denen man sich via Facebook eingeloggt hat, individuelle Benutzerkonten angelegt werden – man erspart es sich einfach, die eigenen Informationen immer und immer wieder eingeben zu müssen. Der Unterschied: Das Firmennetzwerk ist ein mehr oder weniger geschlossenes System. Die Daten werden zwar in unterschiedlichen Programmen genutzt, der Betreiber des Netzwerks und damit der Programme (in datenschutzrechtlicher Sicht der „Verantwortliche“, also derjenige, in dessen Verantwortung es liegt, dass personenbezogene Daten verarbeitet werden) ist jedoch immer derselbe, nämlich der eigene Arbeitgeber. Bei den Apps und Webseiten im Internet sieht es anders aus: Diese gehören immer ihren individuellen Betreibern, und im Normalfall sind das unterschiedliche Unternehmen. Damit bleiben die Daten natürlich nicht innerhalb eines geschlossenen Systems sondern wandern munter in das Portfolio der Anbieter. Und da „Ich habe die AGB und Datenschutzerklärung gelesen und verstanden.“ im Internet die zweitgrößte Lüge nach „Fortfahren, ich bin über 18 Jahre.“ ist, ist es natürlich nicht verwunderlich, wenn man heimlich, still und leise zugestimmt hat, dass die Daten auch an Dritte verkauft werden können. Hinsichtlich der eigenen Daten ist das schön blöd – aber letztlich hat man es selbst verschuldet, indem man den Bedingungen zur Kontoerstellung zugestimmt hat. Der kriminelle Teil besteht jedoch darin, dass man nicht nur seine eigenen Daten mitschickt, sondern über die Freundesliste auch die Daten seiner Freunde, die im Zweifelsfall eben nicht damit einverstanden sind, dass ihre Daten plötzlich nicht nur bei Facebook, sondern auch bei Drittanbietern liegen. Denn nur auf diese Weise können, wie im Fall von Thisisyourdigitallife aus 270.000 Userdaten nachher insgesamt 50 bis 60 Millionen Datensätze werden – was im Umkehrschluss bedeutet, dass jeder User durchschnittlich zwischen 185 und 222 Freunde hat.
Was sind die Folgen einer solchen Datenübermittlung?
Das Evidente vorweg: Wenn meine Daten an eine andere Stelle übermittelt worden sind, dann liegen sie eben nicht mehr nur bei Facebook, sondern eben auch beim Drittanbieter. Ähnlich wie bei Schattenprofilen (um zu wissen, was Schattenprofile sind, klicken Sie bitte hier) hat der Drittanbieter alle möglichen verfügbaren Daten über eine Person, ohne dass diese Person bei dem Anbieter registriert ist. Da zwischen direkt und indirekt erworbenen Daten in der Software oftmals nicht unterschieden werden kann, gehen die Betreiber in der Regel davon aus, dass sie die Daten berechtigterweise erhalten haben und effektiv tun und lassen können, was sie möchten (als Hinweis: in den USA, Russland oder China ist der Datenschutz nicht so streng reglementiert wie in Europa. Während in Europa der Handel mit personenbezogenen Daten nur unter bestimmten Voraussetzungen gestattet ist, gibt es in anderen Staaten weniger Beschränkungen). Dementsprechend steht es ihnen, die sich ja auf ihr eigenes nationales Recht berufen, frei, diese Daten, die nun mal auch personenbezogene Informationen enthalten und damit Gegenstand jeder den Datenschutz betreffenden Regulatorik sind, weiterzuverkaufen oder für andere Zwecke einzusetzen als jene, für die die Daten ursprünglich erhoben worden sind. Das könnte sich zwar theoretisch mit der am 25. Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung ändern, aber solange die DS-GVO noch bloße Theorie ist, bleibt abzuwarten, wie sie sich nachher auf die Praxis auswirkt.
Was kann ich tun, um künftig nicht zu solchen Datenschutz-Skandalen beizutragen?
Die einfachste Lösung wäre: Nutzen Sie keine Angebote mehr, bei denen Dritte Daten aus Ihrem Facebook-Konto erhalten können. Viele dieser Angebote sind sowieso bloßer Zeitvertreib (Nametests, Dailybuzz & Co.), und für die übrigen Angebote gibt es in der Regel auch klassische Registrierungsmethoden. Es nutzt übrigens nichts, sich auf klassische Weise zu registrieren, nur um im Nachhinein die Daten durch eine Verknüpfung mit Facebook doch wieder herzugeben. Nutzen Sie zur Registrierung ruhig Einweg-Email-Adressen oder erstellen Sie sich Dummy-Adressen, die auf Ihre tatsächliche Email-Adresse lediglich weiterleiten. Dies lässt sich z.B. bewerkstelligen, indem Sie sich eine eigene Webseite einrichten. Die meisten Anbieter (Strato, 1&1, oder mein eigener Hoster Internetagentur WAS) bieten in ihren Hosting-Paketen neben der Domain auch Email-Konten an. Dort lassen sich auch gut Einweg-Adressen generieren, und im Zweifelsfall sehen Sie bei einkommenden Emails sogar, über welches Konto vermeintlich Daten abgeflossen sind (um das mal zu veranschaulichen: Herr Thomas Müller besitzt die Domain thomasmueller.net. Für sein Facebook-Konto hat er sich eine Dummy-Email-Adresse facebook@thomasmueller.net eingerichtet, welche auf seine richtige Email-Adresse weiterleitet. Wenn Herr Müller jetzt eine Email enthält, die nicht von Facebook stammt, aber an die Email-Adresse facebook@thomasmueller.net adressiert ist, weiß er, dass seine Daten von irgendjemandem an Dritte weitergegeben worden sind).
Wenn Sie schon der Ansicht sind, dass Sie diesen Facebook-Zeitvertreib brauchen, dann tun Sie sich und Ihren Freunden wenigstens den Gefallen, für Ihre Spiele ein eigenes (Fake-)Konto einzurichten, dass keine Informationen oder Freunde aus dem „echten“ Profil enthält. Dies widerspricht zwar im Zweifelsfall den Facebook-AGB und kann eine Sperre des Zweitaccounts nach sich ziehen; das ist aber immer noch besser, als verantworten zu müssen, dass die Informationen von Freunden nachher für alle nur denkbaren Zwecke missbraucht werden könnten (es gibt immer mal wieder virtuelle Urban Legends, dass gerade Userfotos von teilweise sehr dubiosen Facebook-Seiten für eher niedere Zwecke missbraucht worden sein sollen. Persönlich ist mir kein solcher Fall bekannt, wenn jemand da aber etwas weiß, ich würde mich sehr über Zuschriften via Email zu der Thematik freuen).
Als Facebook-Nutzer, der nicht möchte, dass seine Daten an andere abfließen, kann es helfen, die eigenen Privatsphäre-Einstellungen möglichst strikt zu halten. Es mag durchaus subjektiv sein, aber ich habe das Gefühl, seitdem mein eigenes Profil für Fremde kaum noch brauchbare Informationen enthält, ist auch meine Attraktivität für Drittanbieter zu gering; zumindest tauche ich bei einigen dieser „Spiele“ nicht mehr in den Ergebnissen meiner Freunde auf. Ob dadurch die Datensammelwut der Drittanbieter wirklich eingebremst werden kann, bleibt jedoch abzuwarten.
Fazit
Der Datenskandal bei Facebook ist genau das, was der Name verspricht: Ein Skandal. Gleichwohl zeigt sich jedoch, dass das Grundproblem hausgemacht ist und im laxen Umgang der User mit den eigenen und fremder personenbezogenen Daten liegt. Die eigene Bequemlichkeit siegt im Wettstreit mit dem Interesse, die Daten seiner eigenen Freunde und Verwandten (vielleicht sogar der eigenen Kinder?) nicht irgendwelchen dubiosen Drittanbietern in den Hals zu werfen. Dabei würde ein umsichtiger Umgang mit den eigenen Daten bereits helfen, zukünftig vergleichbare Skandale zu verhindern. Also: Wenn Sie das nächste Mal einen interessanten Dienst sehen, der einen „Login via Facebook“ anbietet – legen Sie Ihr Benutzerkonto lieber auf altmodische Art und händisch an, anstatt Daten aus Facebook rauszusenden. Ihre Freunde und Verwandten werden es Ihnen danken.
Quellen:
https://www.pixabay.com (Beitragsbild)
https://www.rpr1.de/magazin/leben-alltag/vorsicht-vor-dieser-beliebten-facebook-app
https://www.tagesschau.de/ausland/facebook-cambridge-datenskandal-101.html