Ob die Datenaffäre rund um Facebook und das Unternehmen Cambridge Analytica tatsächlich so skandalös ist wie Medien und Politiker es suggerieren, sei dahingestellt. Immerhin – so betonen jene, die die Social Media verteidigen – haben die Nutzer ihre Daten freiwillig zur Verfügung gestellt. Zudem wäre es naiv, zu glauben, Anbieter sozialer Netzwerke hätten ihre Einrichtung nur geschaffen, um Menschen einen großen Treffpunkt zum Plaudern zu eröffnen.
Andererseits sammelt Facebook nicht nur Daten, die seine Nutzer von sich selbst aus und bisweilen auch von nicht eingeweihten Netzwerkfreunden zur Verfügung stellen. Wie PJ Mediaberichtet, hat der Technologieexperte der US-amerikanischen Bürgerrechtsvereinigung ACLU, Daniel Kahn Gillmor, im Selbstversuch herausgefunden, dass Facebook auch Daten von Personen sammelt, auswertet und teilt, die von Personen stammen, die nicht im Netzwerk angemeldet sind und es auch nie waren.
Mehr erfahren - "Es war mein Fehler" – Facebook-Chef räumt seine Verantwortung ein und entschuldigt sich
Gillmor hat nach eigenen Angaben herausgefunden, dass Facebook, obwohl er dieses oder andere soziale Netzwerke nie genutzt hat, ein detailliertes Profil über ihn erstellt hatte.
Gleich zur Begrüßung die Frage nach den Mailkontakten
Dies geschehe im Wesentlichen auf zwei Wegen: zum einen über den Umweg anderer Facebook-Nutzer, zum anderen durch digitale Bewegungsprofile von Personen, die andere Seiten im Internet aufsuchen.
Sobald sich jemand als neuer Nutzer bei Facebook registriert, ermuntert ihn das Netzwerk dazu, seine E-Mail-Kontakte zu importieren, da es dies Facebook erleichtern würde, ihn mit seinen Freunden zu vernetzen. Auf diese Weise gewinnt der Social-Media-Gigant jedoch erste persönliche Kontaktinformationen auch von Menschen, die außerhalb des Netzwerks stehen und auch ihre Einwilligung zur Verwendung von Daten nicht erteilt haben. Facebook weiß aber durch die Liste, dass es ein Naheverhältnis zwischen seinem jeweiligen Nutzer und den betreffenden Personen geben muss, und kann auf diese Weise Datenmaterial der Betreffenden zusammentragen.
Gillmor schildert seine Erfahrungen wie folgt:
Ich habe eine E-Mail von Facebook erhalten, in der alle Personen aufgeführt waren, die mich zu Facebook eingeladen hätten: Meine Tante, ein früherer Arbeitskollege, ein Grundschulfreund und viele mehr. Diese E-Mail enthält Namen und E-Mail-Adressen – inklusive meines eigenen Namens – und zumindest einen Web-Bug, der geschaffen wurde, um mich zu identifizieren und Facebooks Webserver darauf aufmerksam zu machen, dass ich die Mail geöffnet habe. […] Facebook speichert diese Gruppe von Menschen als meine Kontakte, obwohl ich zu dieser Form der Datensammlung nie meine Zustimmung erteilt habe.
Profile rein auf der Basis von Surfspuren
Außerdem geht Gillmor davon aus, dass er in einigen Fotos, die jemand auf Facebook hochgeladen hätte, getaggt worden sein könnte und auch auf diese Weise ohne seine Zustimmung zum Tracking durch das soziale Netzwerk herhalten müsste. Allerdings setzt ein Taggen auf Bildern, die Nutzer auf Facebook hochladen, technisch voraus, dass der Getaggte ebenfalls angemeldeter Nutzer ist.
Mehr zum Thema - Facebook-Datenaffäre: Wenn zwei das Gleiche tun, ist es noch lange nicht dasselbe
Was allerdings evidenter ist, ist das Tracking, das Facebook betreibt, wenn Personen Seiten außerhalb des Netzwerks ansteuern. Sobald sie dort den "Like"-Button klicken, kann Facebook daraus eine Beziehung ableiten, die im Zusammenspiel mit einer Abfolge besuchter Webseiten und allfälligen Facebook-spezifischen Cookies, die der Surfer hinterlassen hat, bereits hilft, weitere Mosaiksteine hinsichtlich der Userpräferenzen zusammenbringen. Diese Praxis bezeichnet Facebook als "third party request". In Summe würde eine Reihe von Einzelakten dieser Art über eine längere Zeit ein sehr brauchbares Datenprofil auch von Personen ermöglichen, die niemals einen Account bei Facebook unterhalten hätten.
Dabei räumt auch Gillmor ein, dass Facebook nicht weiß, um welche Person es sich handelt. Ein Profil, das Facebook erstelle, müsse nicht notwendigerweise "persönlich zuordenbare Informationen" (PII) wie Namen oder E-Mail-Adressen enthalten, aber es enthält "ziemlich einzigartige Muster".
"Hashing"-Vereinbarungen mit Krankenhäusern angestrebt
Der ACLU-Aktivist hat einen Test absolviert und berichtet darüber wie folgt:
Unter Nutzung eines NetLog-Dumps von Chromium [ein einzelnes, abgetrenntes Eventfenster] habe ich letzte Woche einen einfachen, fünfminütigen Browsertest mit Besuchen auf mehreren Seiten durchgeführt - darunter nicht Facebook. […] Im Zuge dieses Tests hat Facebook PII-freie darüber erhalten, welche Nachrichtenartikel ich lese, über meine Essgewohnheiten und meine Hobbys. Angesichts dieser Präzision des Mappings und Targetings ist es gar nicht nötig, meine Identität zu lüften, um PII zu übermitteln. Wie viele Veganer wird es wohl geben, die Spezifikationen über Computerhardware untersuchen, während sie von ACLU-Büros aus über Cambridge Analytica lesen?
Mehr zum Thema - Facebook weiß mehr über dich, als du denkst: Netzwerk spähte Telefonanrufe und SMS von Nutzern aus
Auch der Nachrichtensender CNBC hat kürzlich über eine Anfrage von Facebook berichtet, die erkennen ließ, dass das Netzwerk mit einer Reihe von Krankenhäusern über die Übermittlung von Patientendaten, etwa bezüglich Krankheiten oder Rezepten, zum Zwecke eines Forschungsprogramms gesprochen habe. Diese Daten hätte Facebook mit eigenen gesammelten Nutzerinformationen abgleichen wollen. Während die Daten, die das Netzwerk bekommen hätte, die Patienten nicht identifiziert hätten, hätte Facebook den Kliniken dabei helfen können, herauszufinden, welche Patienten eventuell besondere Behandlungsmethoden benötigen würden.
Die Vorbereitungsarbeiten wären einem Facebook-Sprecher zufolge jedoch nicht über die Planungsphase hinausgegangen, man habe keine Daten erhalten, geteilt oder analysiert. Mittels der "Hashing"-Methode hätte Facebook Individuen aus beiden Datensträngen zusammenführen können, ohne deren Namen zu kennen. Kritiker dürfte diese Zusicherung nur bedingt beruhigen.