Neue Datenschutzprobleme bei/mit Facebook ?

Die Frankfurter Allgemeine Zeitung vom 18.10.2010 berichtet über ein – neues ? – Datenschutzproblem bei Facebook: Kurz zusammen gefasst geht es darum, dass man sich mit einer fremden Email-Adresse auf Facebook anmelden kann. Tut man das, bekommt der wahre Inhaber der Email-Adresse zwar eine Facebook-Benachrichtigung. Bis er diese Email zur Kenntnis nimmt und ggf. reagiert, hat derjenige, der die fremde Email-Adresse missbraucht, jedoch Zugriff auf den neu angelegten Account. Und das eigentliche Thema ? In dieser Übergangszeit zeigt Facebook bereits eine Reihe von anderen Email-Kontakten, die bei Facebook mit der missbrauchten Email-Adresse verknüpft sind.

Das heißt also: Wer Böses im Sinn hat und einfach mal checken möchte, ob und ggf. welche Email-Kontakte bei Facebook mit der Email-Adresse eines jedenfalls vorläufig ahnungslosen Mitmenschen verbunden sind, kann die fremde Email-Adresse bei Neuanlage eines Facebook-Accounts missbrauchen und sich auf diese Weise Informationen verschaffen, die eigentlich nur dem wahren Inhaber der missbrauchten Email-Adresse zugänglich sein dürften.

Wir haben nicht nachgeprüft, ob das tatsächlich so ist. Auf der anderen Seite gehen wir davon aus, dass die Frankfurter Allgemeine Sonntagszeitung die Story vor der Veröffentlichung sauber recherchiert und dokumentiert hat.

Wenn es sich tatsächlich so verhält, wie von der F.A.Z. dargestellt, würde das natürlich einen eklatanten Verstoß gegen das kleine Einmaleins des Datenschutzes darstellen. Auf diese Weise wird einem Unberechtigten die Möglichkeit gegeben, sich aus welchen Gründen auch immer ein zumindest teilweises Bild über Kontaktdaten eines bestimmten Email-Accounts zu verschaffen, ohne dass ein berechtigtes Interesse des Unberechtigten ersichtlich wäre, vor allem aber ohne jedwede Einwilligung des Inhabers des missbrauchten Email-Accounts.

Die Frage, die sich an diese Feststellung unmittelbar anschließt, lautet: Absicht oder Versehen ? Diese Frage lässt sich natürlich nicht ohne Weiteres beantworten. (Selbst) Die AGBs von Facebook lassen eine derartige Vorgehensweise sicherlich nicht zu. Was in diesem Zusammenhang stutzig macht, ist aber die Tatsache, dass Facebook eine annähernd vergleichbare Funktion im bestehenden Account unter “Finde Personen, die Du kennst” anbietet.

Diese Funktion wird an anderer Stelle des Accounts auch als “Freundefinder” beworben.

Unter dieser Rubrik kann man sich dann für einen Email-Anbieter entscheiden.

Bevor man diese Funktion auslöst, muss man aber das Passwort zum jeweiligen Email-Account eingeben (das von Facebook nach eigener Angabe nicht gespeichert wird !). Ohne die Eingabe des Passworts funktioniert der Freundefinder nicht. Auch wenn man nur den Namen des Email-Accounts eingibt und ohne Eingabe des Passworts auf “Freunde finden” geht, liefert Facebook keinerlei Daten, auch nicht nachträglich bei späterem Einloggen in den Facebook-Account.

Sofern die von der F.A.Z. getroffenen Feststellungen also auf diese Funktion zurückzuführen sind, handelt es sich demnach wahrscheinlich um eine versehentliche Sicherheitslücke, die Facebook unverzüglich schließen sollte und sicherlich auch könnte.

Wenn die Feststellungen der F.A.Z. auf eine andere (Fehl-)Funktion zurückzuführen sind, besteht seitens Facebook erst recht schnellstens Erklärungs- und Handlungsbedarf. Grundsätzlich stellt sich natürlich die Frage, welche Bedeutung einer Bestätigungsmail des berechtigten Email-Account-Inhabers überhaupt zukommt, wenn der Account auch ohne Absenden der Bestätigungsmail postwendend zugänglich ist.

Dass Betreiber wie Facebook grundsätzlich ein vitales Interesse am Aufbau eines umfangreichen Email-Adressenpools incl. Verknüpfungsinformationen haben, ist kein Geheimnis. In einem anderen Zusammenhang – beim Thema der Referenz-Email-Adresse auf Googlemail – hatten wir schon vor Monaten auf einen ähnlichen Missstand hingewiesen. Google ist unverändert ganz scharf darauf, von seinen Googlemail-Nutzern Referenz-Email-Adressen zu erhalten. Aktuell wird man nach dem Einloggen bei Googlemail immer wieder dazu aufgefordert, eine Referenzadresse zu hinterlegen … natürlich mit der ausschließlichen Begründung, eine Möglichkeit zu öffnen, beim Vergessen des Passworts über die Referenzadresse ein neues Passwort zugeschickt bekommen zu können.

Wie dem auch sei: Es gilt unverändert, dass derjenige, der Dienste wie Facebook nutzt, immer damit rechnen muss, dass seine Daten für andere Zwecke, insbesondere auch für Werbezwecke vermarktet werden. Facebook ist da aber keineswegs ein Einzelfall. Auch andere soziale Netzwerke arbeiten seit geraumer Zeit intensiv daran, die Vermarktung ihres Datenbestandes für Werbezwecke systematisch zu verbessern. Dessen muss man sich bei Nutzung derartiger kostenfreier Dienste einfach bewusst sein … und darf sich nicht wundern, wenn einem plötzlich Werbung eingeblendet wird, die darauf schließen lässt, dass der Betreiber des Dienstes offenbar ein Auge auf den Account – seien es reine Account-Daten oder sei es auch der über den Account veröffentlichte Inhalt – geworfen hat.

Das alles darf aber nicht darüber hinwegtäuschen, dass so ein Lapsus, wie er von der F.A.Z geschildert wird, einem Profi wie Facebook eigentlich nicht unterlaufen dürfte. Fördert eben nicht gerade die Vertrauensbildung. Und dass nur vergleichsweise wenige der ca. 500 Mio. Facebooknutzer die F.A.Z. lesen dürften, ist nur ein schwacher Trost . Außerdem zieht dieses Thema natürlich schon weitere Kreise und wurde z.B. von der ZEIT vom 18.10.2010 auch schon aufgegriffen. Dort wird übrigens auf ein weiteres aktuelles Datenschutzproblem bei Facebook hingewiesen, im Zusammenhang mit den Nutzeridentifikationsnummern und der Weitergabe von Daten bei Nutzung bestimmter Apps, aufgregriffen durch das Wall Street Journal vom 18.10.2010.