Das am vergangenen Freitag bei Facebook bekanntgewordene „Datenleck“, von dem die Kontaktinformationen (E-Mail-Adresse und Telefonnummern) von bis zu 6 Millionen Facebook-Nutzern betroffenen waren, könnte größer sein, als dies zunächst den Anschein hatte.

Was war geschehen?
Wie Facebook am Freitag in einem offiziellen Statement bekannt gab, wurde vergangene Woche ein technischer Fehler in dem Download-Tool, welches es Nutzern ermöglicht, die über sie gespeicherte Daten (u.a. auch die bei Kontaktinformationen ihrer Facebook-Freunde) herunterzuladen, entdeckt. Dieser Fehler erlaubte es Nutzern nicht nur die auf Facebook von ihren Freunden freiwillig eingegebenen Kontaktinformationen herunterzuladen.

Vielmehr bezogen sich die preisgegebenen Daten auch auf E-Mail-Adressen und Telefonnummern ihrer Freunde und dritten Personen, mit denen der Downloader irgendeine Art von Verdingung aufweist („people with whom they have some connection“), die diese Personen aber Facebook nicht selbst zur Verfügung gestellt hatten. Wie kam Facebook dann in den Besitz dieser Informationen? Durch die Möglichkeit, bei Facebook z. B. sein Telefon/Adressbuch hochzuladen und der Praxis des Unternehmens, neben den normalen, freiwillig bereitgestellten Informationen zu jedem Nutzer ein sog. Schatten-Profil anzulegen, welches Daten enthält, die Facebook durch eigene Datenanalyse zusammenträgt und mit diesem Nutzer in Verbindung bringt.

Die Schatten-Profile
Zur Optimierung seiner Freundevorschläge und der Einladungsmails vergleicht Facebook die in dem Telefonadressbuch enthaltenen Daten mit bereits gespeicherten Daten. Doch offensichtlich nutzt das Unternehmen diese nicht nur für einen Abgleich mit bereits bekannten Kontaktinformationen. Ein Beispiel zur Verdeutlichung:

Lisa ist auf Facebook mit Sara befreundet. Sie besitzt in ihrem Telefonbuch auch Saras Handynummer. Lisa hat ihr Telefonbuch bei Facebook hochgeladen. Sara hat jedoch Facebook selbst nicht ihre Handynummer zur Verfügung gestellt. Über Lisas Telefonbuch gelangt nun Facebook aber doch an Saras Handynummer und kann diese Sara auch zuordnen. Da Sara diese aber nicht freiwillig im Netzwerk einstellt, kann Facebook die Nummer nicht in Saras Profil einstellen. Daher erzeugt Facebook ein Schatten-Profil mit Informationen über Sara, die sie nicht selbst hochgeladen oder eingegeben hat, die jedoch aus anderen Quellen an das Unternehmen übertragen wurden.

Lädt sich nun Rolf, der mit Sara auf Facebook befreundet ist, über das Download-Tool die zu seinem Profil gespeicherten Daten herunter, so erhielt er neben den freiwilligen Angaben von Sara auch ihre im Schattenprofil gespeicherten E-Mail-Adresse und Telefonnummer. Wie gesagt, ohne dass Sara diese jemals an Facebook übertragen hätte.

Nicht nur Schatten-Profile von Freunden
Vielleicht besitzt Rolf sowieso schon Saras Telefonnummer. Dann mag man denken, dass es ja nicht so schlimm ist, wenn er diese nun von Facebook erhält. Gravierender wird es aber, wenn er Saras Nummer nicht besitzt, vielleicht sogar weil Sara genau das nicht wollte.

Noch weitreichender werden die Probleme, wenn Facebook in seinem Statement erklärt, dass nicht nur (Schatten-Profils)Informationen von Freunden, sondern eben auch von Nutzern bereitgestellt wurden, mit denen sie „irgendeine Verbindung“ aufweisen. Was hierunter zu verstehen ist, erläutert Facebook nicht. Es liegt nahe, dass zumindest die sog. „Freunde von Freunden“, also Nutzer mit denen man einen gemeinsamen Freund als Kontakt teilt, selbst aber keine Verbindung besitzt, hierunter fallen.

Fehler bestand seit 2012
Wie Reuters berichtet, hat ein Vertreter Facebooks angegeben, dass dieser technische Fehler bereits seit dem Jahr 2012 bestand. Seit diesem Zeitraum wurden die E-Mail-Adressen oder Telefonnummern aus den Schatten-Profilen jeweils höchstens ein oder zweimal (pro Datensatz) in einem Datendownload bereitgestellt, so das Statement von Facebook. Dies ändert freilich nichts daran, dass es sich um die (nicht freiwillig preisgegebenen) Kontaktinformationen von ca. 6 Millionen Nutzern handelt.

Rechtswidrige Übermittlung personenbezogener Daten
Haben Facebook-Nutzer, als Teil ihres Datendownloads, auch Kontaktinformationen von anderen Facebook-Nutzern erhalten, mit denen sie entweder direkt befreundet sind oder in einer Verbindung stehen, die diese Informationen jedoch Facebook nicht selbst mitgeteilt haben, so dürfte sich dies als eine rechtswidrige Übermittlung personenbezogener Daten darstellen.

Denn in Bezug auf E-Mail-Adresse und Telefonnummer liegt keine Einwilligung der Betroffenen für eine Datenverarbeitung vor und es fehlt auch an einer gesetzlichen Grundlage. In den Nutzungsbedingungen des Netzwerkes werden sie nicht darüber aufgeklärt, dass von ihnen Schatten-Profile angelegt und darin personenbezogene Daten verarbeitet werden.

Zweckentfremdung
Nach Art. 6 Abs. 1 b) der geltenden europäischen Datenschutzrichtlinie (RL 95/46 EG, DS-RL) dürfen personenbezogene Daten nur für festgelegte und eindeutige Zwecke erhoben werden. Dies mag hier noch die Verwendung von Kontaktinformationen für die Berechnung der Vorschläge neuer Freunde sein. Jedoch darf eine Weiterverarbeitung dieser Daten nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise erfolgen. Von dem ursprünglichen Zweck (Vorschläge für neue Freunde) nicht mehr gedeckt, ist aber ihre Speicherung in Schatten-Profilen und erst recht nicht die Übermittlung an Dritte. Die Verarbeitung geht damit auch nach Art. 6 Abs. 1 c) DS-RL über die Zwecke hinaus, für die sie erhoben wurden.

Sachliche Korrektheit
Da Facebook nicht über diese Schatten-Profil aufgeklärt, können die dort enthaltenen Informationen auch schnell ihre sachliche Richtigkeit verlieren. Denn die Nutzer wissen hiervon nichts, könnten also nicht einmal um eine Berichtigung bitten. Facebook hat nach Art. 6 Abs. 1 d) DS-RL jedoch für eine sachliche Richtigkeit der gespeicherten personenbezogenen Daten zu sorgen.

Dies war im Übrigen auch ein Beschwerdepunkt von Europe vs. Facebook, der in dem ersten Prüfbericht des irischen Datenschutzbeauftragen zu Facebook zwar angesprochen (S. 118), jedoch anscheinend nicht weiter geprüft wurde, da sich der Bericht dann vor allem mit den Kontaktinformationen von Nicht-Mitgliedern und der Möglichkeit zur Versendung von Einladungs-E-Mails befasst.

Fazit
Die Nachrichten von dem technischen Fehler machen deutlich, dass wir wenig über die gespeicherten Daten und deren Verarbeitung in den Systemen der großen Internetunternehmen wissen. Umso wichtiger erscheint es solche Ereignisse zum Anlass zu nehmen, sich bewusst zu werden, dass die Nutzer zum Teil selbst darüber entscheiden, welche Daten sie von sich preisgeben. Zum anderen sind aber bereits so viele Informationen von uns dezentral im Umlauf, dass es nicht immer ausreichend erscheint, selbst zurückhaltend mit seinen Daten umzugehen, wenn andere Personen diese (bewusst oder unbewusst) preisgeben.