Obwohl Facebook-User eigentlich meinten ihre Profile bei Facebook abzusichern, machten sie sich nur noch gläserner gegenüber dem Konzern von Mark Zuckerberg. Denn Facebook nutzt die für die Zwei-Faktor-Authentifizierung angegebenen Telefonnummern zu Werbezwecken. Geht Facebook dabei einen datenschutzkonformen Weg?
Der Inhalt im Überblick
Was passiert genau bei Facebook?
Facebook nutzt nach einer Studie von Forschern der Northeastern University in Kooperation mit einer Forscherin der Princeton University Telefonnummern seiner Nutzer, die das Unternehmen durch Zugriff auf Kontaktdaten (auch von Dritten) oder durch die Nutzung der Zwei-Faktor-Authentifizierung erhält, zu Werbezwecken. Die Kontaktdaten erhält Facebook zum Beispiel durch Nutzung der Facebook-Messenger-App und gelangt so auch an Telefonnummern von weiteren Nutzern, die diese nicht selbst gegenüber Facebook preisgegeben haben.
Die Daten nutzt Facebook dann für den – ohnehin datenschutzrechtlich unzulässigen – Facebook Dienst Custom Audience. Dazu werden durch einen Werbetreibenden Kundenlisten gehashed auf Facebook hochgeladen und durch Facebook mit eigenen Hashwerten abgeglichen, wobei auch die o. g. Kontaktdaten verwendet werden. Doch selbst wenn dieser Dienst an sich nicht schon rechtswidrig wäre, dürfte Facebook die Telefonnummern dann zu Werbezwecken verwenden?
Zweckbindungsgrundsatz
Einer der maßgebenden Grundsätze des Datenschutzes ist die Zweckbindung, dieses Prinzip hat auch in Art. 5 Abs. 1 b) Einzug in die DSGVO erhalten. Danach müssen personenbezogene Daten
„für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden (…)“
Die Kontaktdaten dürfen mithin ausschließlich für den Zweck genutzt werden, zu dem sie auch erhoben wurden. Heißt im vorliegenden Fall, dass Facebook von Dritten erhaltenen Daten (wenn überhaupt) nur zur Kontaktaufnahme per Messenger verwenden dürfte.
Genauso wie die Telefonnummern, welche zum Zweck der Zwei-Faktor-Authentifizierung an Facebook gegeben wurden. Auch diese Nummern sollten lediglich zur Umsetzung der Sicherheitsmaßnahme herangezogen werden. Denn auch wenn Facebook vieles zuzutrauen ist, dürfte kein „Otto-Normal-Nutzer“ davon ausgehen, dass seine Telefonnummer, die er zur Erhöhung der Sicherheit (Zwei-Faktor-Authentifizierung) angibt, dazu genutzt wird individuelle Werbung anzuzeigen. Der Zweckbindungsgrundsatz wird also mit Füßen getreten.
Facebook sagte dazu gegenüber einer Journalistin von Gizmodo:
„we use the information people provide to offer a more personalized experience, including showing more relevant ads.” She said users bothered by this can set up two-factor authentication without using their phone numbers; Facebook stopped making a phone number mandatory for two-factor authentication four months ago.
Also: Wer sich daran stört, der solle doch einfach eine andere Lösung wählen, da Facebook die zwingende Angabe einer Telefonnummer zur Zwei-Faktor-Authentifikation vor 4 Monaten abgeschafft und zusätzlich weitere Möglichkeiten eingeführt hat.
Doch wie würde es datenschutzkonform gehen?
Wir berichteten, unter welchen Voraussetzungen eine Verarbeitung personenbezogener Daten für Werbezwecke möglich ist. Hier dürfte, schon mangels ausreichender Informationen seitens Facebook an die Nutzer und wegen der Erhebung der Daten für die oben genannten sehr konkreten Zwecke, eine Verarbeitung nicht auf ein berechtigtes Interesse nach Art. 6 Abs. 1 f) DSGVO gestützt werden können.
Daher wäre hier wohl eine informierte Einwilligung nach den Voraussetzungen des Art. 7 DSGVO notwendiger Weise durch Facebook einzuholen. Doch es bleibt offen wie Facebook nunmehr reagiert.