Facebook erlaubte Spotify, Netflix und Co. Zugriff auf private Nachrichten

Hunderte Seiten dicke Dokumente belegen, wie das weltgrößte soziale Netzwerk seine persönlichen Nutzerdaten mit anderen großen Digitalunternehmen teilt. Dabei wird deutlich, dass die Businesspartner von den Datenschutzrichtlinien ausgenommen werden – sie erhielten Zugriff auf sensible Daten wie Nutzernamen, Nachrichten, E-Mail-Adressen und mehr. Neben Yahoo, Bing, Spotify, Netflix und Apple soll etwa auch Amazon an dieser regelrechten Datenvergabe vonseiten Facebooks beteiligt gewesen sein.

Facebooks Geschäftsmodell sind Daten, nicht Sicherheit

Das Soziale Netzwerk konzentriert seine Funktionen zwar auf Kommunikation und Interaktionen, ist deshalb aber nicht primär daran interessiert, dass die generierten Daten möglichst wenigen Parteien zugänglich bleiben. Vielmehr setzt Facebook bei seinem Geschäftsmodell darauf, dass persönliche Nutzerdaten als Quelle für optimierte Targeting-Maßnahmen für lukrative Partnerschaften und Einnahmen aus dem Advertising sorgen. Das ist grundsätzlich der Usus in Social Media. Und während es für Marken von Vorteil ist, können die Nutzer von zusehends personalisierterer Werbung ebenso profitieren. Jedenfalls wissen die Nutzer – oder sie sollten es zumindest wissen –, dass Facebook ihre Informationen sammelt und für die eigenen Zwecke nutzt. Das steht deutlich in der Datenrichtlinie des Unternehmens:

Bereitstellung, Personalisierung und Verbesserung unserer Produkte.

Wir verwenden die uns zur Verfügung stehenden Informationen, um unsere Produkte bereitzustellen, also auch um Funktionen und Inhalte (u. a. deinen News Feed, deinen Instagram-Feed, deine Instagram Stories und deine Werbeanzeigen) zu personalisieren und dir auf und außerhalb von unseren Produkten Vorschläge zu unterbreiten (wie z. B. Gruppen oder Veranstaltungen, an denen du möglicherweise interessiert bist, oder Themen, die du eventuell abonnieren möchtest). Um personalisierte Produkte zu erstellen, die individuell und für dich relevant sind, verwenden wir deine Verbindungen, Präferenzen, Interessen und Aktivitäten. Dies basiert auf den Daten, die wir von dir und anderen erfassen und erfahren (einschließlich jedweder von dir bereitgestellten Daten mit besonderem Schutz, für die du uns deine ausdrückliche Einwilligung gegeben hast); darauf, wie du unsere Produkte nutzt und mit ihnen interagierst, und auf den Personen, Orten oder Dingen, mit denen du auf und außerhalb von unseren Produkten verbunden bzw. an denen du interessiert bist.

Weiterhin teilt Facebook darin mit, dass Daten auch mit Dritten geteilt werden können; persönliche Daten würden aber nicht an Werbetreibende gegeben, außer bei deutlicher Erlaubnis. Nun zeigt sich aber, dass Facebook eben solche Daten, von E-Mail-Adressen bis hin zu privaten Nachrichten, mit insgesamt 150 Unternehmen geteilt hat. Facebook sieht keine unrechtmäßige Weitergabe darin. Doch ist die Einsicht in private Nachrichten wirklich eine legitime Praxis?

Wer hatte Zugriff auf was?

In einem ausführlichen Bericht klären Gabriel J.X. Dance, Michael LaForgia und Nicholas Confessore bei der New York Times darüber auf, dass Unternehmen deutlich umfassenderen Zugriff auf persönliche Nutzerdaten erhalten haben als bislang dargestellt. Das geht aus internen Dokumenten des Unternehmens hervor, die äußerst ausführlich sind, und wird durch Interviews mit etwa 50 ehemaligen Facebook-Mitarbeitern untermauert. 

Demnach hatte die Suchmaschine Bing Zugriff auf alle Namen von Freunden der Facebook-Nutzer – ohne Einwilligung. Netflix und Spotify sollen private Nachrichten von Usern gelesen haben können. Amazon wiederum sollen Namen und Kontaktdaten zu Nutzern und ihren Freunden übermittelt worden sein, während Yahoo Verläufe von Posts der Facebook-Freunde von Nutzern einsehen konnte. Mark Zuckerberg hatte vor dem US-Kongress versichert, dass Nutzer die volle Kontrolle über ihre Daten hätten. Doch die Erkenntnisse der NYT lassen andere Schlüsse zu. Eine Facebook-Sprecherin gab an, man wisse von keinem Missbrauch von Nutzerdaten durch seine Partner. Große Unternehmen dieser Partner, wie Amazon oder Microsoft, sagten, sie hätten die Daten nach bestem Gewissen verarbeitet. Wie sie an diese Daten gekommen sind und welche Inhalte diese umfassen, wurde jedoch nicht offengelegt.

Datenschutzexperten gehen davon aus, dass die Partner die grundlegenden Datenrichtlinien umgehen können, um Einsicht in so sensible Daten wie Nachrichtenverläufe zu erhalten. Gemutmaßt wird nun, dass Facebook damit gegen ein Consent Agreement mit der Federal Trade Commission der USA verstößt, das untersagt Nutzerdaten ohne Einwilligung weiterzugeben.

This is just giving third parties permission to harvest data without you being informed of it or giving consent to it. I don’t understand how this unconsented-to data harvesting can at all be justified under the consent decree,

meint David Vladeck, zuvor Führungskraft im Consent Protection Büro der F.T.C. bei der New York Times. Das undurchsichtige Geschäft des Daten-Teilens von Facebook sorgte schon in der Vergangenheit für Kritik – gepaart mit unfreiwilligen Datenlecks umso mehr. Nun sind Nutzer und Datenschützer nach dem Bericht der NYT jedoch noch stärker alarmiert. So sagt Roger McNamee, der früh bei Facebook investierte:

I don’t believe it is legitimate to enter into data-sharing partnerships where there is not prior informed consent from the user. No one should trust Facebook until they change their business model.

Das neue Gold erfordert auch schmutzige Arbeit

Daten, zuvorderst persönliche Daten, werden als das neue Gold bezeichnet oder als das neue Öl. So oder so braucht es jemanden oder auch Unternehmen, die sich die Hände schmutzig machen, um an so viel Daten zu gelangen, dass die Profite rasant steigen. Bis Ende 2018 werden laut Schätzung des IAB allein US-amerikanische Unternehmen 20 Milliarden US-Dollar investieren, um Personendaten zu erhalten und zu verarbeiten. Und neben Digitalprimus Google hat Facebook als nutzerstärkste Social-Plattform die besten und relevantesten Daten zu bieten.

Diese Daten hat Facebook entsprechend ihrer eigenen Aussagen nie verkauft. Ihre Weitergabe in dem nun aufgedeckten Maße dient jedoch vor allem den eigenen Interessen und natürlich jenen der Partner. Nutzer aber dürften sich fragen, warum große Unternehmen wie Spotify ihre Nachrichten lesen durften. 2017 konnten Sony, Microsoft, Amazon und Co. E-Mail-Adressen über Freunde ermitteln. Selbst die Royal Bank of Canada hatte Zugriff auf persönliche Nachrichten, gibt der Bericht an. Das Unternehmen dementiert das. Apple soll eine Möglichkeit erhalten haben, um Kontakte und Kalendereinträge von Nutzern selbst dann zu sehen, wenn in den Einstellungen ein Teilen ausgestellt worden war. Auch von diesem Zugriff will Apple nichts gewusst haben. Yandex wiederum soll Zugang zu einzelnen User-IDs erhalten haben – lange nachdem Facebook diese nicht mehr mit anderen Apps teilte.

All die Daten wurden geteilt, was in den USA mindestens in eine rechtliche Grauzone fällt, ethisch jedoch kaum zu legitimieren ist. Es bleibt das Gefühl, dass hinter der Glitzerwelt von Social Media wie Facebook und auch Instagram mit ihren innovativen Werbelösungen und immer mehr auf die Nutzer zugeschnittenen Features eben doch Gerissenheit und Schmutzarbeit Hand in Hand gehen. Ob und inwieweit das falsch ist, müssen andere Stellen bewerten. In der EU wäre spätestens nach Inkrafttreten der DSGVO eine solch intransparente Weitergabe personenbezogener Daten unzulässig und könnte mit empfindlichen Strafen geahndet werden. Und wie es auch mit Facebook weitergeht: Spotify, Amazon, Netflix und Co. werden vom Datenreichtum der Plattform noch zehren können.