In einer Sendung des Politmagazins "Monitor" auf ARD zeigten Experten des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen, wie lax Betreiber sozialer Netze mit den privaten Daten von Nutzern umgehen. Am Beispiel von Facebook wurde demonstriert, dass das größte soziale Netz der Welt mit 400 Millionen Benutzern weltweit und zehn Millionen Mitgliedern allein in Deutschland Passwort-Daten zu E-Mail-Diensten, Skype oder Instant-Messenger-Services unverschlüsselt übermittelt.
Monitor zitierte einen Internet-Surfer, der kein Mitglied von Facebook war. Von einem Freund habe er eine Einladung erhalten, dem sozialen Netz beizutreten. Mit der Einladung bekam er auch gleich Kontaktvorschläge zu Personen, die er tatsächlich kannte. Ein normaler Vorgang zwar bei Facebook. Was den Angeschriebenen allerdings sehr irritierte war, dass unter den Vorschlägen auch solche Bekannten waren, die er nur aus sehr sporadischem E-Mail-Verkehr kannte. Zu Recht fragte er sich, woher Facebook wusste, dass er - zudem nur sehr weitläufig - mit bestimmten Personen bekannt war.
Intime Daten frei verfügbar
Das fragte sich die Redaktion auch und meldete sich zum Test bei Facebook an. Um einem neuen Mitlgied dabei helfen zu können, Freunde zu suchen, möchte Facebook Zugriff auf das bei einem Mail-Dienstleister abgelegte persönliche Adressbuch des Nutzers haben. Monitor kreierte hierzu ein Adressverzeichnis mit erfundenen Personen, die nicht Facebook-Mitglieder sind. Zu diesen legten sie noch fingierte, persönliche Daten im Kontaktverzeichnis ab, die zum Teil recht intim waren.
Von den Experten des Instituts für Internet-Sicherheit der Fachhochschule Gelsenkirchen ließ sich Monitor dann zeigen, was tatsächlich mit den Daten passiert, die in den privaten Adressverzeichnissen stehen. Es zeigte sich, dass Facebook sämtliche Informationen zu allen Kontaktdaten eines privaten Adressbuchs absaugt. Wohlgemerkt: Hierbei handelte es sich nicht nur um die Daten des neuen Facebook-Mitglieds, sondern um alle Informationen, die dieses in einem Adressverzeichnis abgelegt hat. Dies können auch sehr private Details sein oder etwa Informationen über Unternehmen, die vertraulich sind.
Facebook macht mit Daten, was es will
Zu Recht fragte Lehrstuhlinhaber Professor Norbert Pohlmann: "Möchte ich als Benutzer, dass Facebook all diese Informationen hat?" Der Nutzer könne schließlich nicht beurteilen, was Facebook mit den Daten anstellt. "Facebook kann mit den Informationen machen, was es will", so Pohlmann weiter. Das sei sehr kritisch, weil all diese Informationen ja auch gegen den Benutzer verwendet werden könnten.
Pohlmann wies zudem darauf hin, dass vor dem Absaugen der privaten, persönlichen Daten eines beliebig großen Adresskreises ja überhaupt nicht geklärt wurde, ob die einzelnen Personen dieses Kontaktverzeichnisses ihr Einverständnis zur Übermittlung ihrer Daten gegeben hätten.
Monitor fragte sich, was Facebook mit all den Informationen macht. Der Betreiber des sozialen Netzes selbst sagt, man speichere von Freunden, die nicht in Facebook agieren, lediglich Vor- und Nachnamen. "Alle anderen Informationen werden nicht gespeichert." Facebook schiebt die Verantwortung für die Daten von Nicht-Mitgliedern dem jeweiligen Facebook-Mitglied zu. In seinen Nutzungsbedingungen heißt es, "Du wirst Personen, die keine Nutzer sind, ohne ihre Einverständniserklärung weder markieren noch ihnen E-Mail-Einladungen schicken". Es liegt auf der Hand, dass diese Aussage an der Realität vorbei geht.
Keine Ahnung über die Risiken
Thilo Weichert, Datenschutzbeauftragter des Landes Schleswig-Holstein, sagt zu den Facebook-Usancen, diese seien "nicht akzeptabel". Seine Kritik lautet: "Die Betroffenen haben nicht ansatzweise eine Vorstellung davon, was tatsächlich an Datenverarbeitung stattfindet und welche Risiken für sie selbst und für Dritte hieraus entstehen können."
Monitor zitierte zudem eine Juristin, die auf der Internet-Jobbörse "Jobguide" einen Infobrief abonniert hatte. Hierzu hinterließ sie auf dem Portal ihre Mail-Adresse. Jobguide wiederum ist Mitglied von Facebook. Auch die Juristin erhielt von Facebook eine Einladung, Mitglied zu werden - und auch hier lieferte Facebook gleich die passenden Freundesvorschläge mit. Offensichtlich hatte Facebook auch hier alle Kontaktdaten der Juristin abgesaugt. Dies war insofern besonders problematisch, weil hier auch berufliche Kontakte betroffen waren.
Jobguide bestätigte, Mitglied bei Facebook zu sein. Man habe aber keine Kundendaten weitergegeben. Nun "sei man alarmiert".
Facebook kommentierte lax, es sei auch bei anderen Netzwerken üblich, Adressdateien einzuholen. Nicht-Mitglieder könnten ihre Adressdaten auch wieder löschen.
Dies ist jedoch schon bei Mitgliedern kompliziert. Der Vorgang, einen persönlichen Facebook-Account selbst zu löschen, ist hinter verschachtelten Menüpunkten gut versteckt. Wie aber Nicht-Mitglieder ihre Daten bei Facebook löschen können sollen, ist nicht nachvollziehbar. Dies scheitert schon allein daran, dass Nicht-Mitglieder gar nicht wissen, dass ihre Daten bei Facebook gespeichert sind.
Der Nutzer behalte, so die Betreiber, zudem die Kontrolle über die Daten seiner Freunde. Genau dies ist aber eben nicht der Fall, denn dieser weiß ebenfalls nicht, dass alle Informationen zu seinen Kontakten von Facebook gespeichert werden.
Facebook verweigert Informationen
Bemerkenswert ist in diesem Zusammenhang, dass Facebook sich offensichtlich weigerte, genauer zu erklären, woher es weiß, mit wem Facebook-Mitglieder Kontakt hatten. Datenschützer Weichert kommentiert knapp: "Daten, die einmal in die USA geschickt wurden, sind nicht mehr zurückzuholen. Dort gibt es kein Datenschutzrecht, dass auch nur ansatzweise mit dem deutschen vergleichbar ist." Auskunfts-, Löschungs- und Sperransprüche könne man dort also keinesfalls durchsetzen.
Zudem macht Facebook falsche Angaben zu seinen Datenschutzvorkehrungen im Kleingedruckten. Dort steht unter anderem: "Wenn Du vertrauliche Daten (wie zum Beispiel Kreditkartennummer und Passwörter) eingibst, werden diese Informationen mithilfe der SSL-Technologie (SSL = Secure Sockets Layer heißt heute Transport Layer Security. Es ist ein hybrides Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet, Anm.d.Red.) … von uns verschlüsselt." Genau das stimmt nach den Monitor-Recherchen nicht. Mit einem einfachen und im Internet erhältlichen Programm lasse sich das Passwort auslesen, bewiesen die Spezialisten vom Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen. Verschlüsselung sehe anders aus, Vertrauen sowieso, so der süffisante Kommentar.
Mittlerweile hat der Facebook-CEO Mark Zuckerberg sich der massiven Kritik gestellt und in einem Artikel im "Washington Post" Besserung gelobt. Man werde die Sicherheits- und Privatheitseinstellungen für Facebook-Mitglieder vereinfachen. Er machte allerdings noch keine genauen Angaben, wie dies geschehen solle. Zuckerberg betonte allerdings, Facebook mache keine Informationen ohne Erlaubnis der Nutzer offen zugänglich. Dies hatte das US-Wirtschaftsblatt "Wall Street Journal" dem sozialen Netzwerk in einem Artikel vorgeworfen. Facebook gebe auch keine persönliche Informationen an Werbekunden weiter und verkaufe sie auch nicht an irgendjemanden.
Dreistes Vorgehen bei iPhone-App
Sehr dreist verhält sich in Sachen Datenschutz auch das kalifornische Unternehmen WhatsApp Inc. aus Santa Clara. Deren iPhone-Applikation gleichen Namens kann man sich aus dem App Store für 79 Cent herunterladen. Mit WhatsApp ist es möglich, unentgeltlich via Smartphone mit anderen zu chatten.
Unentgeltlich? Nach der Installation fragt das Programm: "WhatsApp würde gerne auf Ihr Adressbuch zugreifen. Ok? Nicht erlauben?" Klickt man den Button "Nicht erlauben", folgt die Botschaft: "WhatsApp muss zur korrekten Funktion auf Ihre Kontakte zugreifen können". Man kann sich jetzt fragen, ob das unverfrorenes Gebaren ist oder ob der Anwender zumindest ehrlich darauf hingewiesen wird, dass man ihm sämtliche Daten aus seinem Adressbuch absaugt, um sie dann für einen nicht offen gelegten Verwendungszweck zu nutzen. (jm)