Die Daten, die Facebook über seine Nutzerinnen und Nutzer – und sogar über Personen, die keinen Account in dem sozialen Netzwerk haben – sammelt, sind äußerst umfangreich und stellen für den Konzern eine wahre Goldgrube im Zusammenhang mit gezielter Werbung dar. Doch nicht nur für Facebook selbst sind die Millionen Datensätze eine nützliche Ressource. Umfassende Profile können auch von Cyberkriminellen genutzt werden, um beispielsweise maßgeschneiderte Spam- und Phishing-Mails zu verschicken oder fremde Identitäten zu missbrauchen.
Umso brisanter ist das massive Datenleck, das Facebook schon 2019 vermelden musste: Hunderte Millionen Profile waren online veröffentlicht worden, Daten wie Name, Geschlecht, Staatsangehörigkeit sowie unzählige E-Mail-Adressen und insbesondere Telefonnummern wurden geleakt.[1] Anfang April 2021 waren nun erneut Datensätze von Facebook-Nutzerinnen und -Nutzern in einem Forum für Cyberkriminelle entdeckt worden.[2]
Woher kommen die Daten?
Die Daten wurden mithilfe der Usersuche zusammengetragen:[3] Durch Eingabe der Telefonnummer oder E-Mail-Adresse konnte das Profil der entsprechenden Person ausfindig gemacht werden, wobei sich Telefonnummern grundsätzlich nach einem bekannten Schema richten und somit problemlos durchprobiert werden konnten, um herauszufinden, welche Profile es gibt. Diese Funktion wurde inzwischen gesperrt.
Die Verknüpfung der eigenen Telefonnummer mit verschiedenen sozialen Netzwerken und anderen Online-Accounts ist ein beliebtes Mittel, um ein Konto zu verifizieren. Messenger wie WhatsApp, Telegram oder Signal nutzen beispielsweise diese Methode, aber auch eine Vielzahl anderer Dienste fragen die (Mobil-)Telefonnummer ihrer Nutzerinnen und Nutzer ab, um etwa bei Verlust der Zugangsdaten eine Anweisung zum Zurücksetzen des Passworts verschicken zu können.
Doch Telefonnummern erfüllen für Online-Anbieter noch zahlreiche weitere nützliche Zwecke: Zum einen lassen sich Nutzungsdaten, die einer Telefonnummer zugeordnet werden können, leichter mit einer bestimmten Person verknüpfen. Dadurch wird ein feingranulares Microtargeting möglich, d.h. eine personalisierte und passgenaue Ansprache bestimmter Zielgruppen sowohl online als auch (mittelbar) offline.[4] Zum anderen lassen sich insbesondere durch den Zugriff auf Adressbücher eines Users auch „Freunde finden“ – oder anders ausgedrückt: bestehende Beziehungen auslesen. Dass die Weitergabe von fremden Kontaktdaten über derartige Funktionen unter datenschutzrechtlichen Gesichtspunkten heikel ist, lässt sich schon daran erkennen, dass zumindest die Daten derjenigen Kontakte, die den entsprechenden Dienst nicht ohnehin schon nutzen, ohne die erforderliche Einwilligung i.S.d. Art. 6 Abs. 1 lit. a) DSGVO übertragen werden.[5] Zudem ist es beispielsweise kritisch zu sehen, wenn Facebook neue Freunde basierend auf Adressbucheinträgen vorschlägt, die sensible Themenbereiche tangieren wie etwa Ärzte oder Anwälte (besonders in „delikaten“ Fachbereichen wie Onkologie, Psychiatrie oder Scheidungsrecht). Und während viele Menschen mehrere verschiedene E-Mail-Adressen verwenden, beschränkt sich die Vielfalt ihrer Telefonnummern in der Regel auf eine oder höchstens zwei Nummern (privat/beruflich), die sich auch nicht so häufig ändern.
Gerade in Bezug auf die geleakten Telefonnummern kann die Versicherung Facebooks, das Problem sei bereits im August 2018 behoben worden und die Daten zudem alt, daher nicht wirklich beruhigen.[6]
Bin ich betroffen?
In Deutschland, Österreich und der Schweiz waren rund 9 Millionen Nutzerinnen und Nutzer betroffen, unter anderem auch über 30 Bundestagsabgeordnete.[7] Insgesamt waren weltweit mehr als 533 Millionen Personen aus 106 Ländern betroffen.[8] Ob die eigene E-Mail-Adresse oder Telefonnummer geleakt wurde, lässt sich über die Suchplattform Have I Been Pwned (HIBP) des Sicherheitsforschers Troy Hunt herausfinden.
Derweil überprüft die irische Datenschutzbehörde den Vorfall. Einer Pressemitteilung der Behörde zufolge sollen die Datensätze zwar tatsächlich dem Leak aus 2019 zugeordnet werden können (d.h. Daten aus dem Jahr 2018 enthalten), diese könnten jedoch möglicherweise auch durch aktuellere Daten ergänzt worden sein.[9]
Wie kann ich meine Daten besser schützen?
Wirklich zuverlässig schützen lassen sich die eigenen Daten nur, wenn sie weder bei sozialen Netzwerken noch bei anderen Online-Angeboten hinterlegt werden. Doch eine vollständige „digitale Abstinenz“ ist für die meisten Menschen mehr als unrealistisch. Auch, wenn es selbst bei objektiv zuverlässigen Diensten zu Datenlecks kommen kann, ist eine sorgfältige Auswahl trotzdem zu empfehlen. Darüber hinaus kann es sinnvoll sein, verschiedene E-Mail-Adressen zu verwenden, beispielsweise für Instagram, Twitter und Co. eine andere als für Steuersoftware oder Online-Banking. Die eigene Telefonnummer sollte nur dann angegeben werden, wenn dies zwingend nötig ist. Den Zugriff auf das Adressbuch und die Kontaktdaten von Freunden und Bekannten sollte man im Regelfall überhaupt nicht erlauben.
[1] Vgl. Wittenhorst, Daten hunderter Millionen Facebook-Nutzer erneut im Netz entdeckt, Heise Online, Update vom 04.04.2021.
[2] Vgl. Kannenberg, Irische Datenschützer untersuchen Facebook-Leak, Heise Online, 06.04.2021.
[3] Vgl. Sokolov, 419 Millionen Telefonnummern von Facebook-Usern frei im Netz, Heise Online, 05.09.2019, dort auch zum Folgenden.
[4] Zum Microtargeting ausführlich Lorenz, AnwZert ITR 4/2021 Anm. 3.
[5] Hierzu ausführlich Hessel/Leffer, CR 2020, 139, 143, Rn. 15 ff.
[6] Vgl. Tremmel, Bin ich im Facebook-Leak?, Golem.de, 06.04.2021.
[7] Vgl. Tremmel, Abgeordnete im Facebook-Leak, Golem.de, 06.04.2021.
[8] Vgl. Wittenhorst, Daten hunderter Millionen Facebook-Nutzer erneut im Netz entdeckt, Heise Online, Update vom 04.04.2021.
[9] Siehe die Pressemitteilung vom 06.04.2021.
Sämtliche Links wurden zuletzt am 07.04.2021 abgerufen.