5967472

Schattenprofile im Netz: Wenn das Adressbuch kopiert wird

Wir geben in sozialen Netzwerken Daten anderer Menschen frei, die nichts davon wissen. Die Reaktionen von Big-Tech darauf sind nicht überzeugend.

Die leuchtenden Icons von Apps auf dem Display eines Smartphones, die Apps zeigen eine Leuchtspur

Jeder Menschen hat die Hoheit über seine Daten Foto: Silas Stein/imago

Facebook kennt meine E-Mail-Adresse, meine Handynummer und sogar meine Festnetznummer, die fast niemand hat. Dabei hatte ich noch nie einen Facebook-Account. Das Removal-Tool, die Entfern-Funktion des Konzerns, bezeugt, dass ein Nutzer meine Kontaktdaten über sein Adressbuch hochgeladen hat. Sämtliche Schulklassen und Sportvereine verbiegen sich, um datenschutzkonforme Kontaktlisten zu erstellen. Seit der Datenschutz-Grundverordnung (DSGVO) gilt: jedem Menschen die Hoheit über seine Daten. Aber den Internetgiganten geben wir mit einem Klick ganze Adressbücher frei, ohne Einwilligungen unserer Freund:innen, Kol­le­g:in­nen und Verwandten einzuholen.

Zugegeben, ich habe das in anderen sozialen Netzwerken und Messengern auch schon gemacht, unbedacht. Doch auch wer den Online-Austausch grundsätzlich meidet, sollte sich nicht in Sicherheit wähnen. Die Plattformen fragen ihre Nutzer:innen, ob sie ihr Adressbuch freigeben wollen. Wenn sie zustimmen, werden ihnen direkt bekannte Gesichter als Freun­d:in­nen vorgeschlagen. Das ist so bequem, dass es täglich millionenfach passiert. Wenn es diese Funktion nicht gäbe, lägen die sozialen Netzwerke im Koma. Dabei geben wir aber Kontakte frei, die das selbst niemals machen würden. Zum Beispiel ist meine über 90-jährige Oma in meinem Adressbuch gespeichert. Was heißt das für sie?

„Big-Tech-Unternehmen können damit Schattenprofile über Nicht­nutzer:innen erstellen“, sagen Liane Wörner und David Garcia, die am Centre for Human Data Society (CHDS) an der Universität Konstanz forschen. Schattenprofile sind personenbezogene Daten, die auf den Servern liegen, ohne dass wir sie auf der Plattformoberfläche sehen und aufrufen können. „Sie speisen sich ausschließlich aus Daten, die andere Personen geteilt haben“, sagt der Informatiker Garcia. „Je mehr Nut­ze­r:in­nen das machen, desto exakter können Merkmale einer nicht registrierten Person vorhergesagt werden.“. Die Simulationen des Professors für Social and Behavorial Data Science zeigen zum Beispiel, dass sich die sexuelle Orientierung und der Familienstand von Nicht­nut­ze­r:in­nen sehr leicht aus den von Nut­ze­r:in­nen geteilten Daten zusammenpuzzeln lassen.

Wie entstehen Schattenprofile?

Die Forschung spricht von partiellen Schattenprofilen, wenn Nut­ze­r:in­nen davon betroffen sind. Die Tech-Riesen können über die geteilten Kontaktlisten anderer die Lücken im Profil ergänzen, die ein:e Nut­ze­r:in gelassen hat, beispielsweise Klarname, Telefonnummer oder Arbeitgeber.

Die Bezeichnung Schattenprofil entstand im Zusammenhang mit einer Anzeige gegen Facebook im Jahr 2011. Der österreichische Datenschützer Max Schrems machte damals darauf aufmerksam. „Es ein Facebook-Problem zu nennen, wäre unfair“, erklärt jedoch David Garcia. „Jedes soziale Netzwerk, das Kontaktinformationen sammelt, kann potenziell Schattenprofile erzeugen.“ Wir reden neben Instagram und Whatsapp, die zum selben Konzern wie Facebook gehören, auch über Twitter (jetzt X), Telegram, Signal, LinkedIn und viele mehr. Bluesky, der neue Twitter-Konkurrent, besitzt die Funktion, das Adressbuch zu teilen, bisher nicht. „Ich weiß nicht, ob sie bewusst vermieden wurde oder nur noch nicht an sie gedacht wurde“, sagt Garcia.

Die Adressbücher sind nicht das einzige Instrument, aus dem sich Schattenprofile speisen. Am Beispiel meiner Oma: Ich möchte ihre Privatsphäre nicht verletzen. Deshalb schreibe ich nichts über sie, und teile keine Fotos und Videos im Netz. Kann ich also beruhigt sein, wenn ich ihre Nummer aus meinem digitalen Adressbuch lösche?

„Es geht nicht nur um das, was du machst“, erläutert David Garcia. Merkmale wie Wohnort, politische Orientierung und Religion werden vorhersagbar, indem Informationen aus dem gesamten Kontaktnetzwerk meiner Oma kombiniert und abgeglichen werden. Das liegt daran, dass wir diese Merkmale mit vielen unserer Kontakte teilen. Dass die Vorhersage des Wohnorts sehr leicht gelingt, hat Garcia in einer Studie mit Twitterdaten gezeigt. Mit seinem Modell konnte er eingrenzen, wo Nicht­nut­ze­r:in­nen wohnen und die Exaktheit prüfen, weil sie später Nut­ze­r:in­nen wurden.

Nachweisen kann David Garcia den Big-Tech-Unternehmen das Shadow Profiling damit jedoch nicht. Er hat keinen Zugang zu ihren Daten. Dass sie die Möglichkeit haben, ist jedoch gewiss. Er selbst kann mit deutlich kleineren, zugänglichen Archiv-Datensätzen sehr exakte Schattenprofile erstellen. Das Risiko ist also real.

Ruf nach Verbot

Welche rechtlichen Lösungen gibt es für diese Bedrohung? „Ich bin gegen Kriminalisierung“, sagt die Strafrechtlerin Liane Wörner. „Wir leben in einer Welt mit geteilten Daten.“ Der Ruf nach einem Verbot und nach Sanktionen sei nur ein Zeichen dafür, dass das Recht zu spät dran ist, argumentiert die Wissenschaftlerin, die ebenfalls zu Schattenprofilen forscht und das CHDS leitet. Jahrelang sei die Entwicklung an kommunikativen Bedürfnissen orientiert gewesen, ohne nach den Risiken zu fragen. Sie fühle sich zwar schuldig, Tonnen von Daten an die Konzerne zu liefern, aber schätze die Errungenschaften, zum Beispiel zu wissen, welche Freunde sie mit David Garcia teilt.

Die bestehenden deutschen Gesetze lassen sich Wörner zufolge nicht auf Schattenprofile anwenden. Es handele sich weder um eine Datenveränderung, die strafbar wäre, noch um ein Ausspähen von Daten. „Nach DSGVO sind Bußgelder gegen die Netzwerkverantwortlichen möglich“, erläutert sie, „dafür muss man es ihnen aber erst nachweisen.“ Nach dem Bundesdatenschutzgesetz (BDSG) steht die Verbreitung von Daten unter Strafe. Die sei aber nur gegeben, wenn sie das Schattenprofil öffentlich machen.

Liane Wörner, Strafrechtlerin

„Ich bin gegen Kriminalisierung.

Wir leben in einer Welt mit geteilten Daten“

David Garcia sieht die Politik in der Verantwortung, eine unabhängige Stelle mit Macht und Autorität auszustatten, um den Big-Tech-Unternehmen auf die Finger zu schauen. Zu wissen, ob sie Schattenprofile erstellen, könne die Gesetzgebung präzisieren. Eine neue EU-Verordnung, der Digital Service Act (DSA), macht dies grundsätzlich möglich. Sie gilt allerdings erst ab dem 17. Februar 2024. Entscheidend wird dann sein, ob und wie sie umgesetzt wird. Die Bundesnetzagentur wird für ein entsprechendes deutsches Digitale-Dienste-Gesetz (DDG) wahrscheinlich die zuständige Stelle sein.

Haben Nicht­nut­ze­r:in­nen aktuell eine Chance, ihre Privatsphäre zu verteidigen? Das Removal-Tool von Facebook, das als Reaktion auf die Vorwürfe eingeführt wurde, gibt Anlass zur Skepsis. Der Konzern verspricht mir, der Anwenderin des Tools, meine Kontaktdaten zu sperren, sodass sie niemand mehr hochladen kann. Dafür musste ich die Daten eintragen, sie bestätigen und in ihre dauerhafte Speicherung zum Zweck der Sperrung einwilligen. Damit ist sicher: Wenn der Konzern meine Daten doch noch nicht hatte, hat er sie spätestens jetzt.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Die Kommentarfunktion unter diesem Artikel ist geschlossen.

So können Sie kommentieren:

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.

Leser*innenkommentare

  • Zebulon

    Was ist eigentlich so toll an Smartphones, bzw. smart überhaupt ? Ich würde mir niemals solch eine Datenschleuder zulegen. Ich brauche keine virtuellen FreundInnen, keine Blase, die mich und mein Leben in irgendwelche Richtungen drängen.

    Und Konzernen noch aktiv dabei helfen, mir "relevante" Werbung zu servieren - wie blöde muß man sein ?

  • A. Dehaes

    Die "sozialen Medien", ja die sind schon gemein, aber das ist bekannt. Die können aber vermieden werden, einfach nicht anmelden. In deutschen Supermärkten sind WLAN und Bluetooth Sensoren aktiv, damit euer Profil für Werbung (auf dem getrackten Gerät oder Account) verfeinert werden kann. Der Link ist älter, beschreibt aber die Technik, da hilft es auch nicht, mit Bargeld zu bezahlen, wenn das Phone an ist. www.businessinside...king-supermaekrte/

    und einfach

    www.datenwache.de/...-offline-tracking/

    • Herma Huhn

      @A. Dehaes Artikel gelesen?

      Wenn Sie Menschen kennen, die soziale Medien benutzen, dann haben Sie dort ein Profil, ob Sie wollen oder nicht.

      Das Profil kann dann vielleicht nicht mit live-Bewegungsdaten gefüttert werden, aber Ihre Bekannten werden trotzdem genug über Sie verraten.

  • Bolzkopf

    Gegen die Gier hilft kein Verstand sondern nur Gesetze und funktionierende Gerichte.

    Und Strafen, Strafen, Strafen.

    Jeder andere Gedanke ist blauäugig.

    • Christian Lange

      @Bolzkopf Das steht auch im Artikel, wird aber noch dauern. Und Strafen ggn. die Freunde und Mitmenschen, die meine persönlichen Daten freigegeben haben, fände ich höchst problematisch.

      Als besagtes Removal-Tool eingeführt wurde, gab es bereits diese Diskussion. Das hat aber in der Breite das Nutzerverhalten nicht geändert.

      Fakten werden einfach verdrängt. Doch mit jedem zusätzlichen Komfort, den wir bei der Nutzung von kommerziellen Web-Anwendungen gewinnen, verlieren wir ein Stück von unserer eigenen Sicherheit - und manchmal auch der unserer Mitmenschen gleich mit ...

    • dos

      @Bolzkopf blauäugig ist es, böckenförde zu ignorieren.

      gesetze u. strafen haben nur im bereich geringster verbreitungen des fehlverhaltens eine inhibitorische/prohibitive wirkung. wenn auch nur 1% der bevölkerung morden will, dann hat auch die justiz etc. keine chance mehr dagegen. trotz recht hoher sanktionsdrohungen mit realiter erheblichen bußgeld-einnahmen daraus ist die welt voller falschparker etc.

      gesetze, strafen usw. sind zum allergrößten teil die FOLGE "gesellschaftlicher normativität" mal weitgehend gelebter (z.b. mordvermeidung) mal eher desiderater natur aber nur sehr geringfügig deren ursache.

      und hier wäre eh zunächst die PERSON vorzuknöpfen, die ohne ausdrückliche genehmigung der betreffenden deren mail- u. ggfls weitere kontaktdaten aus den "adressbüchern", z. b. tel.-nrn., klarnamen usw., dritten preisgibt, und dann erst die "big-techs", die die gesellschaftliche normpraxis zunächst mal bloß spiegeln können, - u. dies bitte zunächst auch nur sollen. oder wünschen wir auch noch normative hoheitsrechte für die elon-musks dieser welt bis zu den it-verantwortlichen bsplw. der taz u.ä.?

      wie lautet nochmal das curriculum, mit dem wir kinder u. jugend im gebrauch der e-mail (ein höchst normativ geprägtes system übrigens, ähnlich auch das internet-protokoll (ip)) unterweisen?

      ach so, wir haben gar keinen lehrplan, das wären zunächst max. 2 seiten für ca. 20 unterrichts- u. vor allem TRAININGS-stunden dafür, weil die gesellschaft schon keinen plan dazu hat.

      hätte sie einen, würde man z. b. bei weiterleitungen an mehrfache empfänger diese zunächst mal automatisch ins bc-feld setzen statt ins empfänger- oder cc-feld, damit nicht alle empfänger auch alle da verwendeten mail-adressen sehen. sodann kriterien u. methoden-standards/standard-tools bzw. -funktionen/ zur konstituierung "vertrauenswürdiger gruppen" u. deren abstufungen für offengelegte mail-adressen etc.

      ALLE politisch-gesellschaftlichen gruppen mit ausnahme ... (follow up the next comment ...)