Schattenprofile im Netz: Wenn das Adressbuch kopiert wird

Facebook kennt meine E-Mail-Adresse, meine Handynummer und sogar meine Festnetznummer, die fast niemand hat. Dabei hatte ich noch nie einen Facebook-Account. Das Removal-Tool, die Entfern-Funktion des Konzerns, bezeugt, dass ein Nutzer meine Kontaktdaten über sein Adressbuch hochgeladen hat. Sämtliche Schulklassen und Sportvereine verbiegen sich, um datenschutzkonforme Kontaktlisten zu erstellen. Seit der Datenschutz-Grundverordnung (DSGVO) gilt: jedem Menschen die Hoheit über seine Daten. Aber den Internetgiganten geben wir mit einem Klick ganze Adressbücher frei, ohne Einwilligungen unserer Freund:innen, Kol­le­g:in­nen und Verwandten einzuholen.

Zugegeben, ich habe das in anderen sozialen Netzwerken und Messengern auch schon gemacht, unbedacht. Doch auch wer den Online-Austausch grundsätzlich meidet, sollte sich nicht in Sicherheit wähnen. Die Plattformen fragen ihre Nutzer:innen, ob sie ihr Adressbuch freigeben wollen. Wenn sie zustimmen, werden ihnen direkt bekannte Gesichter als Freun­d:in­nen vorgeschlagen. Das ist so bequem, dass es täglich millionenfach passiert. Wenn es diese Funktion nicht gäbe, lägen die sozialen Netzwerke im Koma. Dabei geben wir aber Kontakte frei, die das selbst niemals machen würden. Zum Beispiel ist meine über 90-jährige Oma in meinem Adressbuch gespeichert. Was heißt das für sie?

„Big-Tech-Unternehmen können damit Schattenprofile über Nicht­nutzer:innen erstellen“, sagen Liane Wörner und David Garcia, die am Centre for Human Data Society (CHDS) an der Universität Konstanz forschen. Schattenprofile sind personenbezogene Daten, die auf den Servern liegen, ohne dass wir sie auf der Plattformoberfläche sehen und aufrufen können. „Sie speisen sich ausschließlich aus Daten, die andere Personen geteilt haben“, sagt der Informatiker Garcia. „Je mehr Nut­ze­r:in­nen das machen, desto exakter können Merkmale einer nicht registrierten Person vorhergesagt werden.“. Die Simulationen des Professors für Social and Behavorial Data Science zeigen zum Beispiel, dass sich die sexuelle Orientierung und der Familienstand von Nicht­nut­ze­r:in­nen sehr leicht aus den von Nut­ze­r:in­nen geteilten Daten zusammenpuzzeln lassen.

Wie entstehen Schattenprofile?

Die Forschung spricht von partiellen Schattenprofilen, wenn Nut­ze­r:in­nen davon betroffen sind. Die Tech-Riesen können über die geteilten Kontaktlisten anderer die Lücken im Profil ergänzen, die ein:e Nut­ze­r:in gelassen hat, beispielsweise Klarname, Telefonnummer oder Arbeitgeber.

Die Bezeichnung Schattenprofil entstand im Zusammenhang mit einer Anzeige gegen Facebook im Jahr 2011. Der österreichische Datenschützer Max Schrems machte damals darauf aufmerksam. „Es ein Facebook-Problem zu nennen, wäre unfair“, erklärt jedoch David Garcia. „Jedes soziale Netzwerk, das Kontaktinformationen sammelt, kann potenziell Schattenprofile erzeugen.“ Wir reden neben Instagram und Whatsapp, die zum selben Konzern wie Facebook gehören, auch über Twitter (jetzt X), Telegram, Signal, LinkedIn und viele mehr. Bluesky, der neue Twitter-Konkurrent, besitzt die Funktion, das Adressbuch zu teilen, bisher nicht. „Ich weiß nicht, ob sie bewusst vermieden wurde oder nur noch nicht an sie gedacht wurde“, sagt Garcia.

Die Adressbücher sind nicht das einzige Instrument, aus dem sich Schattenprofile speisen. Am Beispiel meiner Oma: Ich möchte ihre Privatsphäre nicht verletzen. Deshalb schreibe ich nichts über sie, und teile keine Fotos und Videos im Netz. Kann ich also beruhigt sein, wenn ich ihre Nummer aus meinem digitalen Adressbuch lösche?

„Es geht nicht nur um das, was du machst“, erläutert David Garcia. Merkmale wie Wohnort, politische Orientierung und Religion werden vorhersagbar, indem Informationen aus dem gesamten Kontaktnetzwerk meiner Oma kombiniert und abgeglichen werden. Das liegt daran, dass wir diese Merkmale mit vielen unserer Kontakte teilen. Dass die Vorhersage des Wohnorts sehr leicht gelingt, hat Garcia in einer Studie mit Twitterdaten gezeigt. Mit seinem Modell konnte er eingrenzen, wo Nicht­nut­ze­r:in­nen wohnen und die Exaktheit prüfen, weil sie später Nut­ze­r:in­nen wurden.

Nachweisen kann David Garcia den Big-Tech-Unternehmen das Shadow Profiling damit jedoch nicht. Er hat keinen Zugang zu ihren Daten. Dass sie die Möglichkeit haben, ist jedoch gewiss. Er selbst kann mit deutlich kleineren, zugänglichen Archiv-Datensätzen sehr exakte Schattenprofile erstellen. Das Risiko ist also real.

Ruf nach Verbot

Welche rechtlichen Lösungen gibt es für diese Bedrohung? „Ich bin gegen Kriminalisierung“, sagt die Strafrechtlerin Liane Wörner. „Wir leben in einer Welt mit geteilten Daten.“ Der Ruf nach einem Verbot und nach Sanktionen sei nur ein Zeichen dafür, dass das Recht zu spät dran ist, argumentiert die Wissenschaftlerin, die ebenfalls zu Schattenprofilen forscht und das CHDS leitet. Jahrelang sei die Entwicklung an kommunikativen Bedürfnissen orientiert gewesen, ohne nach den Risiken zu fragen. Sie fühle sich zwar schuldig, Tonnen von Daten an die Konzerne zu liefern, aber schätze die Errungenschaften, zum Beispiel zu wissen, welche Freunde sie mit David Garcia teilt.

Die bestehenden deutschen Gesetze lassen sich Wörner zufolge nicht auf Schattenprofile anwenden. Es handele sich weder um eine Datenveränderung, die strafbar wäre, noch um ein Ausspähen von Daten. „Nach DSGVO sind Bußgelder gegen die Netzwerkverantwortlichen möglich“, erläutert sie, „dafür muss man es ihnen aber erst nachweisen.“ Nach dem Bundesdatenschutzgesetz (BDSG) steht die Verbreitung von Daten unter Strafe. Die sei aber nur gegeben, wenn sie das Schattenprofil öffentlich machen.

David Garcia sieht die Politik in der Verantwortung, eine unabhängige Stelle mit Macht und Autorität auszustatten, um den Big-Tech-Unternehmen auf die Finger zu schauen. Zu wissen, ob sie Schattenprofile erstellen, könne die Gesetzgebung präzisieren. Eine neue EU-Verordnung, der Digital Service Act (DSA), macht dies grundsätzlich möglich. Sie gilt allerdings erst ab dem 17. Februar 2024. Entscheidend wird dann sein, ob und wie sie umgesetzt wird. Die Bundesnetzagentur wird für ein entsprechendes deutsches Digitale-Dienste-Gesetz (DDG) wahrscheinlich die zuständige Stelle sein.

Haben Nicht­nut­ze­r:in­nen aktuell eine Chance, ihre Privatsphäre zu verteidigen? Das Removal-Tool von Facebook, das als Reaktion auf die Vorwürfe eingeführt wurde, gibt Anlass zur Skepsis. Der Konzern verspricht mir, der Anwenderin des Tools, meine Kontaktdaten zu sperren, sodass sie niemand mehr hochladen kann. Dafür musste ich die Daten eintragen, sie bestätigen und in ihre dauerhafte Speicherung zum Zweck der Sperrung einwilligen. Damit ist sicher: Wenn der Konzern meine Daten doch noch nicht hatte, hat er sie spätestens jetzt.