Wem gehören eigentlich die Daten in den sozialen Netzwerken?

Viele Nutzer*innen stellen ihre Inhalte für alle sichtbar ins Netz. Das bedeutet, dass nicht nur andere Privatleute, sondern auch Geheimdienste und Strafverfolgungsbehörden diese Daten problemlos verwerten können. Aber auch Unternehmen spielen eine wichtige Rolle.

Statusmeldungen, Bilder, Texte, Kommentare; Informationen über meine Lieblingsfilme, -bands, -bücher; Links von Artikeln, die ich gelesen habe; Veranstaltungen, die ich besucht habe; Likes und Reaktionen; Aktivitäten in Gruppen; welche Seiten mir gefallen, welche Seiten ich mir anschaue, mit wem ich befreundet bin – und das ist nur ein Teil der Daten, die anfallen, wenn ich ein soziales Netzwerk wie Facebook nutze.

Diese Daten sind oft öffentlich – viele Nutzer*innen stellen ihre Inhalte für alle sichtbar ins Netz. Das bedeutet, dass nicht nur andere Privatleute, sondern auch Geheimdienste und Strafverfolgungsbehörden diese Daten direkt verwerten können – entweder indem sie einzelne Nutzer*innen online beobachten oder kollektiv, indem sie über Textmining große Datenmengen analysieren. Aber auch die scheinbar privaten Daten werden verwertet – nicht nur von Regierungen und ihren Organen, sondern auch und vor allem von Unternehmen.

Neben den Daten, die Nutzer*innen selbst eingeben, kommen Daten, von welchem Ort ich mich einlogge, wie oft ich auf der Seite bin, mit welchen Freund*innen ich chatte, was wir im Chat schreiben (Facebook-Chats sind nicht von vornherein verschlüsselt), in welche Gruppen ich meine Freund*innen eingeteilt habe (Familie, enge Freund*innen, Bekannte). Das Ganze passiert selbstverständlich auch auf meinem Smartphone, sodass die anbietende Firma auch weiß, wo ich mich unterwegs aufhalte und wie ich mein Smartphone dabei nutze.

Nicht zu vergessen, dass über sogenannte Social-Sharing-Buttons, die auf vielen Webseiten unter den Artikeln eingebaut sind – etwa um sie gleich zu liken oder zu teilen –, Facebook und andere Anbieter*innen nachverfolgen können, welche Webseiten ich besuche. Dafür muss ich nicht einmal eingeloggt sein, ja, nicht einmal einen Facebook-Account haben. Denn über einmalige Werbe-IDs kann man Nutzer*innenbewegungen identifizieren und einem Profil zuordnen.

Online-Werbung ist überall

Grundsätzlich ist die Überwachung durch Behörden gesetzlich geregelt und die Anbieter*innen der Social-Media-Plattformen müssen sich daran halten, wem sie wann welche Daten zur Verfügung stellen (die Praxis ist eine andere Frage). Die Nutzung durch Unternehmen ist erstens weitreichender und zweitens weniger regulier- und vor allem kontrollierbar.

Es gibt unzählige Firmen, die Nutzer*innentracking betreiben. Die großen Player sind dabei Google und Facebook, wobei letztere im Bereich Webtracking relativ spät dran sind. Aber wozu das Ganze? Ganz einfach: Das Nachverfolgen der Nutzer*innenbewegungen dient dazu, auf die einzelnen Nutzer*innen zugeschnittene Werbeanzeigen zu schalten. Ganz im Sinne der Soziologin Zeynep Tufekci, die Ende 2017 in ihrem TED-Talk die Diagnose ausstellte: „Wir bauen eine Dystopie, nur um Leute dazu zu bringen, auf Werbung zu klicken.“

Was geschieht mit diesen Daten?

Ein Beispiel: Ich schaue mir in einem Online-Shop eine bestimmte Art von Schuhen an und bekomme in der Folge auf allen möglichen Webseiten – Newsplattformen, Online-Magazinen, Online-Wörterbüchern – immer wieder gleiche oder ähnliche Produkte angezeigt. Dabei nutzen die Werbenetzwerke zunehmend feingegliederte Unterteilungen. So können sie etwa gezielt Frauen zwischen 35 und 45, die ein Monatseinkommen zwischen 2.500 und 3.000 Euro haben, in der Großstadt leben und keine Kinder haben, ansprechen. Auch Bildungsgrad und Interessensgebiete sind eingrenzbar.

Der Marktvorteil von Facebook gegenüber anderen Anbieter*innen ist dabei, dass sie mit den Daten, die die Nutzer*innen mehr oder weniger freiwillig auf der Plattform eingeben, sehr genaue Informationen darüber haben, wer sie sind. Durch Big-Data-Analysen lassen sich damit aus scheinbar harmlosen Daten wie zum Beispiel, welche Filme ich gerne schaue und mit wem ich befreundet bin, auch persönliche Informationen ableiten lassen, wie zum Beispiel die sexuelle Orientierung. Interessanter für die Firmen sind Informationen über Konsumentscheidungen.

Schon 2012 berichtete die New York Times über die Praxis des US-amerikanischen Supermarkts Target, der die Daten von Kund*innen über verschiedene Plattformen miteinander verknüpfte, um so Profile zu erhalten und sie gezielt anzusprechen. Dabei verbinden Unternehmen sowohl das Online- als auch das Offline-Verhalten und erstellen daraus eine Vorhersageanalyse – wie sich die Kund*in vermutlich verhalten wird – anhand des Verhaltens anderer Kund*innen mit einem ähnlichen Profil. Auch Facebook soll zusätzlich zu den Daten, die bei der Nutzung der Plattform anfallen (im Web und mobil), Offline-Einkaufsdaten aufkaufen, um ihre Profile zu verbessern.

Dürfen die das überhaupt?

In Deutschland – und der Europäischen Union – unterliegt die Sammlung von personenbezogenen Daten Regeln. Wie sinnvoll diese Regeln in Bezug auf das Profiling und personalisierte Werbung ist, ist umstritten. Die europäische Datenschutzgrundverordnung (DSGVO), die Ende Mai 2018 in Kraft getreten ist (und bisher bei den Nutzer*innen vor allem damit aufgefallen ist, dass sie ihre Newsletter-Abos noch mal bestätigen mussten), erlaubt es Unternehmen grundsätzlich, anonymisierte Profile zu erzeugen.

Solche Profile sind zwar einerseits einer Person zugeordnet, aber nicht in dem Sinne, dass damit ein Name und eine Identität verknüpft ist. Dadurch greift der klassische Datenschutz nicht, der personenbezogene Daten schützt. Das sind Daten, die direkt mit einer Person in Verbindung gebracht werden können: der Name, das Geburtsdatum, die Adresse. Dazu kommen die personenbeziehbaren Daten. Sie verweisen nicht unmittelbar auf eine Person, können aber sehr einfach mit ihr in Verbindung gebracht werden, wie die E-Mail-Adresse. Weitere Beispiele sind Telefonnummern oder IP-Adressen. In der Verbindung mit anderen Daten lässt sich damit leicht ein Personenbezug herstellen.

Besonders geschützt sind Gesundheitsdaten, Informationen über die ethnische Herkunft, politische, religiöse, gewerkschaftliche Überzeugung oder sexuelle Orientierung. Diese Daten dürfen nur in Ausnahmefällen gespeichert und verarbeitet werden. Studien zeigen aber, dass auch über scheinbar neutrale Daten, wie Einkaufsgewohnheiten und Konsumvorlieben auf sehr intime Lebensumstände geschlossen werden kann. Target etwa konnte mit ziemlicher Genauigkeit vorhersagen, welche ihrer Kund*innen schwanger waren, um sie dann zielgerichtet anzusprechen, da junge Eltern eine begehrte Zielgruppe sind.

Eine gemeinsame Studie von Wissenschaftler*innen am MIT Lab, Rutgers University und der dänischen Aarhus Universität hat 2015 herausgearbeitet, dass Individuen anhand von vier Kreditkarten-Daten genau identifizierbar sind, auch wenn die personenbezogenen Daten entfernt wurden. Anonymisierung ist also nur bedingt effektiv.

Wer nutzt die Daten neben den Firmen?

Die großen Datensammler*innen im Netz – Facebook, Google, Amazon und Co. – geben ihre gesammelten Profildaten dabei nicht direkt an Dritte weiter. Damit würden sie ihrem Geschäftsmodell schaden. Nutzer*innentracking durch Unternehmen, um mehr Produkte zu verkaufen, ist nicht die einzige Gefahr. Das zeigt der Cambridge-Analytica-Skandal – denn wo Daten sind, ist Missbrauch nicht fern. Das Datenanalyse-Unternehmen hat 2014 über eine Psychotest-App, die man auf Facebook anklicken konnte (im Stil von „Was für ein Persönlichkeitstyp bist du?“) 320.000 Nutzer*innen dazu bekommen, ihre Freundeslisten freizugeben.

Über eine Lücke in Facebooks Schnittstelle hat Cambridge Analytica die Datensätze von etwa 80 Millionen, vor allem US-amerikanische, Facebook-Profilen erhalten. Damit soll im Nachgang vor allem der US-amerikanische Präsidentschaftswahlkampf beeinflusst worden sein. Die konkrete Schnittstelle hat Facebook zwar inzwischen geschlossen, aber die fast täglichen Meldungen über Sicherheitslücken, Hacks und Leaks machen nicht optimistisch, dass dies nie wieder passieren kann.

Was kann ich als Nutzer*in dagegen tun? Leider ist die Antwort: Nicht viel. Für die meisten von uns ist es keine Lösung auf Facebook und Google zu verzichten, unser Smartphone zu verkaufen und alles nur noch analog abzuwickeln. Das würde wahrscheinlich nur bedingt was nützen, denn schon längst sind digitale Technologien mit unserem Alltag verwoben. Eine Trennung scheint nicht mehr möglich.

Und das Instrument des klassischen Datenschutzes ist umstritten: Auf der einen Seite greift er gegen die allgegenwärtige Sammelwut der Unternehmen nur begrenzt. Auf der anderen Seite kritisieren Bürgerrechtler*innen, dass zu enge Regelungen die Meinungsfreiheit einschränken.

Wir stecken immer noch mittendrin im digitalen Umbruch. Gesellschaftliche Debatten sind notwendiger denn je, um vielleicht irgendwann einmal bei einer funktionierenden Regulierung zu landen. Kampagnen wie „Europe vs. Facebook“ des österreichischen Netzaktivisten Max Schrems, der es geschafft hat, 2015 das Safe-Harbor-Abkommen zwischen den USA und der EU über die Verarbeitung von Daten auf beiden Seiten des Atlantik zu Fall zu bringen, zeigen, dass zivilgesellschaftliches Engagement wichtig und notwendig ist – und möglicherweise mehr hilft als rein staatliche Regulierung.

Wer aber kontrolliert unsere Staatsorgane? Die Arbeit von parlamentarischen Kontrollgremien steht immer wieder in der Kritik. Das Parlamentarische Kontrollgremium (PKGr), das in Deutschland die Nachrichtendienste kontrollieren soll, wird immer wieder als „zahnlos“ beschrieben. Allerdings hat es keinerlei Sanktionsmöglichkeiten, wenn – wie in der Vergangenheit schon geschehen – Nachrichtendienste die Parlamentarier schlichtweg anlügen (aus Gründen der Staatssicherheit selbstverständlich).

Mehr Infos im Netz

Valie Djordjevic, David Pachali, Alexander Wragge: Wem gehören meine Daten?, 13.12.2018. iRights.info, https://irights.info/artikel/wem-gehoren-meine-daten/14308

Ingo Dachwitz, Tomas Rudl, Simon Rebiger: FAQ: Was wir über den Skandal um Facebook und Cambridge Analytica wissen, 21.03.2018, Netzpolitik.org
https://netzpolitik.org/2018/cambridge-analytica-was-wir-ueber-das-groesste-datenleck-in-der-geschichte-von-facebook-wissen/

Charles Duhigg: How Companies Learn Your Secrets, New York Times 16.02.2012 https://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=all&_r=0

Yves-Alexandre de Montjoye, Laura Radaelli, Vivek K. Singh, Alex Pentland: Unique in the shopping mall: On the reidentifiability of credit card metadata, January 2015, Science 347(6221):536-9.
https://www.researchgate.net/publication/271591449_Unique_in_the_shopping_mall_On_the_reidentifiability_of_credit_card_metadata