Facebook kann bis zu 52 Prozent der Aktivität aller Internetnutzer verfolgen
Eine Studie zeigt, in welchem Ausmaß Facebook über Tracking und Schattenprofile die Online-Tätigkeiten auch von Nicht-Mitgliedern beobachten kann.
Facebook kann über die Hälfte der Surf-Aktivitäten aller Webnutzer technisch nachvollziehen, Informationen daraus zu Profilen verdichten und etwa für gezielte Werbung nutzen. Dies bezieht sich auch auf Internetuser, die kein Konto bei dem sozialen Netzwerk direkt oder bei den anderen zum Mutterkonzern Meta gehörenden Diensten WhatsApp und Instagram haben. Zu diesem Ergebnis kommen Forscher des Deutschen Instituts für Wirtschaftsforschung (DIW Berlin) in Kooperation mit Kollegen der Universitäten Zürich, Lausanne und Yale.
Die Wissenschaftler schätzen in der jetzt veröffentlichten Studie, dass Facebook und mit vergleichbaren Geschäftsmethoden operierende Plattformbetreiber bis zu 52 Prozent der von Mitgliedern und außenstehenden Online-Nutzern aufgesuchten Webseiten und teils auch dort getätigter Klicks technisch sehen und auslesen können. Das entspricht etwa 40 Prozent der von den Usern im Internet verbrachten Zeit. Ein Portal zu meiden, bringe wenig: Facebook sei imstande, 41 Prozent der online verbrachten Zeit von Nutzern der Plattform zu beobachten – und 38 Prozent bei Nicht-Mitgliedern.
Schattenprofile – ohne Wissen vieler Internetnutzer
Dass vor allem Portale mit personalisierten Anzeigen das Surfverhalten im großen Stil auswerten und dadurch auch Rückschlüsse auf Individuen ziehen, die ihre Dienste selbst nicht nutzen, war bereits bekannt. Die Schätzung des quantitativen Ausmaßes des Trackings ist aber neu. Für die Studie berechneten die Ökonomen auf Basis von Nutzerdaten aus den USA von knapp 5000 repräsentativ ausgewählten Menschen aus dem Jahr 2016, welche Informationen der Plattform-Betreiber Facebook theoretisch speichern könnte. Insgesamt werteten sie dafür 18,17 Millionen Klicks sowie die auf jeder Webseite verbrachte Zeit aus.
Die Wissenschaftler verknüpften diese Internet-Nutzungsdaten mit archivierten Informationen möglicher Datenübertragungen zu Facebook auf Ebene einzelner Domains. So konnten sie den gesuchten Anteil ermitteln. Sie bezogen dabei auch quantitativ ein, wie Facebook persönliche Informationen in Form von Schattenprofilen auch ohne explizites Wissen vieler Internetnutzer erlangt und dafür auch Methoden des maschinellen Lernens verwendet.
Alter-, Geschlecht- und Bildungsniveau-Bestimmung
Um Konsumentenprofile zu erstellen, benutzen Dienste wie Facebook Tracker, die etwa über Like-, Share- oder Login-Buttons automatisch geladen werden. Dies erfolgt unabhängig davon, ob die erfasste Person selbst bei der Plattform angemeldet ist oder ob sie überhaupt auf einen dieser Buttons klickt. So könnte die Meta-Tochter die von ihren Mitgliedern besuchten Seiten mit den bei ihr hinterlegten Nutzerdaten verknüpfen und Rückschlüsse auch auf andere Besucher ziehen.
Mit dieser Methode können laut der Analyse demografische Eigenschaften wie Alter, Geschlecht oder das Bildungsniveau von Nicht-Nutzern der Plattformen mit bis zu 65-prozentiger Sicherheit korrekt geschätzt werden. Anzeigen werden dann für gewünschte demografische Profile verkauft. Schon 2018 war bekannt geworden, dass Facebook sogar Telefonnummern, die nur für die Zwei-Faktor-Authentifizierung eingetragen werden, für die werbliche Ansprache benutzerdefinierter Zielgruppen verwendet.
Sammeln fĂĽr die "Sicherheit"
Der Betreiber legt demnach routinemäßig Schattenprofile an über Nicht-Nutzer anhand von Telefonnummern aus Adressbüchern, die Mitglieder auf Facebook hochgeladen haben. Der Konzern verteidigt die Praxis: Man sammle nur aus Sicherheitsgründen und für "analytische Zwecke" etwa für Statistiken über Seitenbesucher in summarischer Form einschlägige Daten.
Die gängigste Form der Datensammlung mit dem Ziel, Konsumentenprofile zu erstellen, ist den Forschern zufolge das Tracking anhand von Third-Party-Cookies zur Nutzeridentifikation. Für Unternehmen, denen personalisierte Werbung höhere Einnahmen in Aussicht stellt, bestünden hier "hohe Anreize, kohärente Nutzerprofile über Kontexte wie Anwendungen, Webseiten oder Endgeräte hinweg zu erstellen".
DSGVO, DMA und DSA
Der Europäische Gerichtshof entschied 2019, dass Webseiten-Betreiber gemäß Datenschutz-Grundverordnung (DSGVO) die Zustimmung für die Übertragung persönlicher Informationen anhand von Like- und Share-Buttons einholen müssen. Dies gilt auch für das Setzen von Cookies allgemein. Laut der Studie habe sich aber gezeigt, dass Nutzer kaum Kenntnis über die Tracking-Praxis im Internet haben und nur wenige aktiv die Zustimmung zur Datennutzung verweigern. Auch rechtlich stelle das Verfahren, wie Anbieter von Webseiten Zustimmung einholen und speichern, einen noch offenen Streitpunkt in der DSGVO-Umsetzung dar.
Mit den verschärften Vorgaben für personalisierte Werbung im Digital Markets Act (DMA) und im Digital Services Act (DSA) könnten die Aufsichtsbehörden Verstöße gegen Datenschutzrichtlinien stärker sanktionieren, schreiben die Autoren. Dafür müssten die Kontrolleure aber über "ausreichend qualifiziertes Personal in angemessenem Umfang" verfügen. Laut dem DSA müssen Schaltflächen zur Cookie-Akzeptanz fair gestaltet sein, sodass Anwender künftig eine echte Wahl haben. Die Profilbildung zu Zwecken gezielter Werbung auf Basis besonders sensibler Daten etwa über die politische und sexuelle Orientierung wird auf sozialen Netzwerken verboten.
(bme)