Telefonnummern und Mail-Adressen Twitter nutzte Angaben zur Account-Absicherung für Werbezwecke

Twitter hat einen problematischen Umgang mit Nutzerdaten eingestanden: Nur aus Sicherheitsgründen hinterlegte Daten könnten auch für Werbezwecke genutzt worden sein.
Grundsätzlich empfiehlt es sich, seinen Account auf Plattformen wie Twitter per Zwei-Faktor-Authentifizierung zu schützen

Grundsätzlich empfiehlt es sich, seinen Account auf Plattformen wie Twitter per Zwei-Faktor-Authentifizierung zu schützen

Foto: Alastair Pike / AFP

Twitter weiß offenbar selbst nicht so genau, was es mit den Daten seiner Nutzer tut und was nicht. In einem aktuellen Hinweis  jedenfalls spricht das US-Unternehmen davon, dass Daten, die Nutzer zum Sichern ihrer Accounts angaben, "möglicherweise versehentlich" für Werbezwecke verwendet worden seien.

Bei diesen Daten handelt es sich um E-Mail-Adressen und Telefonnummern, die Nutzer bei Twitter zum Beispiel für die sogenannte Zwei-Faktor-Authentifizierung hinterlegen. Das System, das bei Twitter "Anmeldebestätigung" heißt, hilft dabei, Accounts besser gegen unbefugte Zugriffe zu schützen.

Twitter erklärt: "Wenn ein Werbekunde seine Marketingliste hochgeladen hat, haben wir möglicherweise den Abgleich zwischen der Liste des Werbekunden und den Nutzern auf Twitter anhand der E-Mail-Adresse oder der Telefonnummer durchgeführt, die der Twitter-Nutzer aus Sicherheitsgründen angegeben hat." Marketinglisten basieren auf Daten, die Werbetreibende schon aus anderen Quellen zusammengestellt haben und können E-Mail-Adressen und Telefonnummern enthalten.

Ausmaß unklar

Offenbar hat Twitter also Daten für Werbezwecke verwendet, die eindeutig nicht dafür gedacht waren. Viele Details bleiben jedoch unklar. So liefert das Unternehmen in seinem deutschsprachigen Hinweis keinen Anhaltspunkt, wie viele Nutzer betroffen sein könnten. Alle, die jemals ihre Telefonnummer hinterließen - was möglicherweise Millionen Nutzer wären? Ein gewisser Anteil von Nutzern? Nur solche, die in bestimmte Kategorien fallen?

Twitter schreibt, beim Einsatz der Daten für Werbezwecke gehe es besonders um sein "Werbesystem für maßgeschneiderte Zielgruppen und Partnerzielgruppen". Im englischsprachigen Pendant des Hinweises heißt es zumindest: "Wir können nicht mit Sicherheit sagen, wie viele Menschen betroffen waren, aber im Sinne der Transparenz wollten wir alle aufklären." Völlig unklar bleibt aber auch in dieser Version des Hinweises, seit wann "möglicherweise versehentlich" die Daten durcheinander gerieten.

Empfohlener externer Inhalt
An dieser Stelle finden Sie einen externen Inhalt von Twitter, der den Artikel ergänzt und von der Redaktion empfohlen wird. Sie können ihn sich mit einem Klick anzeigen lassen und wieder ausblenden.
Externer Inhalt

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Wendepunkt 17. September

Das Konkreteste, was Twitter seinen Nutzern mitteilt, ist dies: "Das Problem, das diesen Fehler verursacht hat, ist seit dem 17. September behoben. Wir verwenden Telefonnummern oder E-Mail-Adressen, die aus Sicherheitsgründen erfasst wurden, nicht länger für Werbezwecke. Es wurden keine personenbezogenen Daten an einen unserer Partner weitergegeben."

Eine echte Aufklärung ist das nicht. Der Vorgang an sich und auch seine öffentliche Aufarbeitung dürften das Vertrauen von Nutzern sowohl in Twitter, als auch in die zur Account-Sicherung grundsätzlich empfehlenswerte Zwei-Faktor-Authentifizierung schwächen. Schuldig bleibt Twitter auch eine Erklärung dafür, warum es seine Nutzer erst jetzt informiert, mit drei Wochen Abstand.

In seinem Hinweis bittet das Unternehmen abschließend um Entschuldigung. Außerdem heißt es, man arbeite an "Maßnahmen, die eine Wiederholung dieses Fehlers verhindern sollen": Wer Fragen habe, könne sich über ein Formular  an den Datenschutzbeauftragten von Twitter wenden.

Auch Facebook hatte Ärger mit dem Thema

Dafür, Angaben für die Zwei-Faktor-Authentifizierung auch für Werbezwecke einzusetzen, stand in der Vergangenheit schon Facebook massiv in der Kritik - unter anderem bei der US-Handelsaufsicht FTC, die eine Reihe von Vorwürfen gegen den Konzern gesammelt hatte.

Facebook hatte Forschern zufolge im Konto unter "Sicherheit und Login" hinterlegte Telefonnummern für personalisierte Werbung genutzt - und dieses Vorgehen auch noch verteidigt. Wer sich daran störe, dass Facebook die hinterlegte Nummer für Werbezwecke nutze, solle statt SMS-Codes eben eine andere Methode für die Zwei-Faktor-Authentifizierung wählen, teilte ein Facebook-Sprecher vor knapp einem Jahr auf Anfrage von "Gizmodo" mit.

Ein Umgehen des SMS-Code-Verfahrens ist praktisch auch bei Twitter sinnvoll - im Besonderen unter dem Gesichtspunkt der Informationssicherheit, da das SMS-Verfahren als vergleichsweise anfällig für Angriffe gilt. Auf Twitter lassen sich zum Bestätigen der eigenen Anmeldung unter anderem mobile Sicherheits-Apps wie der Google Authenticator nutzen. Davor, dass der Dienst eine Telefonnummer "möglicherweise versehentlich" für Werbezwecke nutzt, schützt der Alternativweg aber nicht zwingend: Zum ersten Aktivieren der "Anmeldebestätigung" verlangt Twitter   nämlich zunächst das Verknüpfen einer Telefonnummer mit dem eigenen Account.

Die Wiedergabe wurde unterbrochen.