Gezielte Werbung Facebook dementiert Nutzung von "Schatten-Kontaktdaten"

Laut einer US-Studie nutzt Facebook für zielgerichtete Werbung auch Kontaktdaten, die seine Nutzer dem Unternehmen nie selbst gegeben haben. Das Unternehmen weist die Existenz von "Schatten-Profilen" zurück.
Das Facebook-Logo spiegelt sich auf einem Smartphone

Das Facebook-Logo spiegelt sich auf einem Smartphone

Foto: Dominic Lipinski/ dpa

Facebook verwendet für Werbezwecke unter anderem auch Telefonnummern, die Nutzer dem Netzwerk eigentlich nur für die sogenannte Zwei-Faktor-Authentifizierung angegeben haben. Und selbst Kontaktdaten, die andere Nutzer in das Netzwerk hochgeladen haben, werden zur gezielten Platzierung von Werbeeinblendungen genutzt, ohne das die betroffenen Nutzer etwas dagegen tun können - das jedenfalls wollen Forscher von zwei US-Universitäten  sowie eine Journalistin des Technikmagazins "Gizmodo"  festgestellt und mit eigenen Versuchen belegt haben. Facebook dementiert insbesondere den zweiten Fall.

Bekannt ist, dass Werbetreibende die von ihnen selbst gesammelten Kontaktdaten ihrer Kunden bei Facebook in sogenannte Kundenlisten hochladen und dadurch ein "custom audience" erstellen können, ein Zielpublikum. Wenn sie dieses Publikum auf Facebook mit Werbung erreichen wollen, gleicht Facebook die von den Werbekunden hochgeladenen (und kryptografisch maskierte) Daten mit dem eigenen Datenbestand ab: Ist eine Telefonnummer oder E-Mail-Adresse aus der Kundenliste bereits mit einem Facebook-Konto verknüpft, bekommt der fragliche Nutzer die Anzeige zu sehen. Dabei ist Facebook die Feststellung wichtig, dass Nutzer nicht einzeln angesprochen werden können. Es müsse beim Abgleich einer Kundenliste "mindestens 100 Matches geben, ansonsten kann diese benutzerdefinierte Zielgruppe nicht genutzt werden", wie ein Sprecher dem SPIEGEL mitteilte.

"Schatten-Kontaktdaten"

Überrascht waren die Forscher, dass Werbetreibende offenbar auch Kontaktdaten von Nutzern für das Targeting nutzen können, die andere Nutzer zur Verfügung stellen, indem sie Facebook Zugriff auf ihr Adressbuch gewähren. Sie simulierten das mit Hilfe von Telefonnummern, die Facebook zunächst nachweislich nicht kannte, und die sie dann über einen Adressbuchabgleich freigaben.

Das Ergebnis: Etwa einen Monat nach einem solchen Adressbuchabgleich könnten Werbetreibende Anzeigen schalten, die nur Nutzer mit diesen Telefonnummern zu sehen bekommen. "Gizmodo" nennt das "Schatten-Kontaktdaten", weil die betroffenen Nutzer diese Nummern oder E-Mail-Adressen nicht selbst in ihrem Profil eingetragen haben, und sie weder einsehen, noch löschen oder vom Targeting ausnehmen könnten. Selbst EU-Nutzer, die sich auf ihr Auskunftsrecht nach Artikel 15 der Datenschutzgrundverordnung (DSGVO) berufen, bekämen solche Schatten-Kontaktdaten nicht ausgehändigt, da sie laut Facebook ein Teil "vertraulicher" Algorithmen seien. Ob diese Argumentation haltbar ist, könnte eine Nutzerbeschwerde bei einer Datenschutzbehörde klären.

Das Unternehmen teilte "Gizmodo" mit, die Adressbücher gehörten seinen Nutzern. "Wir wissen, dass dies in manchen Fällen bedeuten kann, dass eine andere Person jene Daten, die eine andere Person über sie hochgeladen hat, nicht kontrollieren kann."

Dem SPIEGEL teilte ein Sprecher jedoch mit, dass Facebook keineswegs "Schatten-Profile" anlege: "Eine Telefonnummer wird nicht ohne das Wissen beziehungsweise das aktive Zutun eines Nutzers zu seinem Profil hinzugefügt." Das Experiment der US-Forscher legt allerdings etwas anderes nahe, eine Erklärung dafür hatte der Sprecher nicht.

Telefonnummer zur Zwei-Faktor-Authentifizierung landet im Profil

Auch die Zwei-Faktor-Authentifizierung nutzt Facebook letztlich für personalisierte Werbung, stellten die Forscher fest. Die Funktion dient eigentlich dazu, Benutzerkonten vor unberechtigten Zugriffen durch Hackerzu schützen. Hat man sie aktiviert, fragt das Netzwerk beim Login nicht nur nach dem Passwort, sondern verlangt noch eine zweite Information, mit der sich der Nutzer identifizieren muss. Dies ist der zweite Faktor.

Ein solcher zweiter Faktor kann ein Zahlencode sein, den Facebook an eine eigens zu diesem Zweck hinterlegte Handynummer schickt. Die Nutzung des Facebook-Kontos wird dadurch an die Bedingung geknüpft, dass man das Handy mit dieser Telefonnummer besitzt.

Eingetragen wird die Handynummer nicht in den "Allgemeinen Kontoeinstellungen" eines Facebook-Profils, sondern unter "Sicherheit und Login". Hinterlegt man sie dort, ist sie den Untersuchungen zufolge nach einigen Wochen aber auch für Werbetreibende nutzbar.

Dem Facebook-Sprecher zufolge ist das Ganze durchaus transparent. Schließlich bekomme der Nutzer beim Einrichten der Zwei-Faktor-Authentifizierung einen deutlichen Hinweis. Er lautet: "Füge eine Telefonnummer zu deinem Konto hinzu, um loszulegen". Der Nutzer könne also erkennen, dass er seine Nummer nicht gesondert für die Sicherheitsfunktion, sondern ganz allgemein seinem Profil zufüge. Sie sei anschließend ja auch in den normalen Profilinformationen sichtbar.

Wer sich daran störe, dass Facebook die ursprünglich aus Sicherheitsgründen hinterlegte Nummer für das Targeting von Anzeigen nutzt, solle eben eine andere Methode für die Zwei-Faktor-Authentifizierung wählen, teilte Facebook auf Anfrage von "Gizmodo" mit. Seit Ende Mai ist es möglich, dafür spezielle Apps wie Googles Authenticator zu nutzen. Die erzeugen den Sicherheitscode lokal auf dem Smartphonedes Nutzers.

Die US-Forscher weisen darauf hin, dass nicht nur Facebook mit "custom audiences" arbeitet, sondern dass Google, Twitter und Pinterest ähnliche Dienste für Werbetreibende anbieten. Sie fordern eine bessere Aufklärung über deren Funktionsweise und mehr Transparenz vonseiten der Unternehmen.

Anmerkung: Dieser Artikel wurde aktualisiert, nachdem Facebook die Angaben von "Gizmodo" in Teilen dementiert hat.

pbe
Die Wiedergabe wurde unterbrochen.