Erneutes Kopfschütteln über Facebook

Schon wieder ist Facebook in die Schlagzeilen geraten. Nach dem Trouble um die Fanpages geht es diesmal um die Verwendung von Telefonnummern für Werbezwecke. Das Brisante daran, auch Telefonnummern, die lediglich zur Absicherung des Kontos (2-Faktor-Authentifizierung) angegeben wurden sowie Telefonnummern, die aus den Adressbüchern anderer Facebook-Nutzer stammen werden für das Schalten gezielter Werbung benutzt. Das ist das Ergebnis einer Studie, die Forscher von der Northeastern University in Boston zusammen mit einer Forscherin der Princeton University durchgeführt haben.

Custom Audience

Es geht den Dienst Custom Audience, der es Unternehmen ermöglicht, gezielt Werbung auf den Nutzerprofilen zu schalten. Unternehmen erstellen eine eigene Kundenliste (z.B. mit Name, Wohnort, E-Mailadresse und Telefonnummer) und laden diese Liste gehashed im Facebook-Konto des Unternehmens hoch. Facebook gleicht diese sodann mit allen Facebook-Nutzern ab (auch deren Informationen liegen in gehashter Form vor und können somit abgeglichen werden) und stellt fest, welche Nutzer bei Facebook sind. Und hier werden den Forschern zufolge dann eben auch die Telefonnummern, die eigentlich nur zur 2-Faktor-Authentifizierung angegeben wurden oder solche, die aus anderen Adressbüchern stammen eingesetzt, um das Facebookprofil eines Nutzers ausfindig zu machen (Custom Audience wird auch in Form eines Pixelverfahrens angeboten, welches hier jedoch keine Rolle spielt. Für weitere Infos klicken Sie hier.).

Darf Facebook das?

Nein! Art. 5 Abs. 1 b) der Datenschutzgrundverordnung besagt:

„Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; … („Zweckbindung“)“

Somit dürfen die Kontaktdaten nicht für Werbezwecke verwendet werden. Dazu ist anzumerken, dass der Einsatz von Custom Audience von deutschen Aufsichtsbehörden und deutschen Gerichten als rechtswidrig eingestuft wird, wenn keine Einwilligung des jeweiligen Nutzers vorliegt.

Kann ich als Nutzer etwas dagegen tun?

Nicht wirklich viel. Auf die Einträge aus anderen Nutzerkonten hat man selbst keinerlei Einfluss. Man kann lediglich die Daten bearbeiten, die man Facebook selbst zur Verfügung gestellt hat. Seit einiger Zeit ist es jedoch zumindest möglich die 2-Faktor-Authentifizierung mittels einer App (Authenticator App) statt einer Telefonnummer einzurichten. Die Forschungsergebnisse dürften den Datenschutzaufsichtsbehörden erneut Arbeit bescheren.