Instagram und Datenschutz – #kannstduknicken

Fachbeitrag

Neben den Social-Media-Giganten Facebook und TikTok braucht sich Instagram nicht zu verstecken: Fotos, Videos, Stories sowie Hashtags, so weit das Auge reicht – doch wo bleibt der Datenschutz?

Influencer? Gesundheit!

Mit über einer Milliarde monatlicher Nutzer gehört Instagram zu den beliebtesten Social-Media-Apps. Die 2012 von Facebook aufgekaufte Plattform bietet (fast) alles: Fotos, Videos, Fototagebuch-artige Geschichten in Form von Stories sowie Follower.

Die Aussicht auf lukrative Werbeverträge und der Wunsch nach Aufmerksamkeit motiviert viele Menschen, einen Instagram-Beruf zu ergreifen, genannt Influencer. Dabei geben sie nicht nur ihre eigenen Daten preis, sondern sie helfen auch dabei, die Daten ihrer Follower zu erheben.

Mit Datenschutz gewinnt man keine Herzen

In Instagram wird nicht geliked – hier herzt man per Doppelklick. Zigtausende Influencer kämpfen täglich um die Zuneigung ihrer Follower. Wer von all dem Fame etwas abhaben möchte, präsentiert sich und sein Privatleben der Öffentlichkeit. Selfie-Süchtige, Fitness-, Food- und Bookstagrammer wissen: Mit Datenschutz gewinnt man nun mal keine Herzen.

Datenschutzrichtlinie des Grauens

Instagrams Geschäftsmodell fußt auf Datensammelei – das ist aus der wahrlich gruseligen Datenschutzrichtlinie eindeutig herauszulesen. Die App ist zwar kostenlos, aber jeder Nutzer zahlt den Dienst doppelt und dreifach mit seinen teils sehr sensiblen Daten zurück.

Da kann Instagram noch so sehr betonen:

„Wir verkaufen keine deiner Informationen an irgendjemanden und werden das auch in Zukunft niemals tun.“

Ganz ehrlich? Hinters Licht führen kann ich mich selbst. In der Datenschutzrichtlinie steht schwarz auf weiß geschrieben, was Instagram mit den Daten anstellt – das tun die nicht aus reiner Herzensgüte, sondern zu Profitzwecken. Mag sein, dass Instagram die Daten nicht verkauft im eigentlichen Sinne, im Rahmen von Werbeverträgen werden die Daten aber dennoch weitergegeben.

Allerhand Daten

Welche Daten sammelt Instagram überhaupt? Hierzu gehören laut Datenschutzrichtlinie unter anderem:

  • Nutzerdaten, wie Benutzername, E-Mail-Adresse, aber auch – falls man diese angibt – die Telefonnummer und den echten Namen,
  • bei der Instagram-Nutzung anfallende Daten, also eigene Fotos, Videos, Stories sowie Informationen darüber, welche Inhalte anderer man ansieht, die Zeit, Häufigkeit und Dauer der Aktivitäten, die Kommentare, Likes und Inhalte der Direct Messages,
  • der Aufnahmestandort eines Fotos,
  • sämtliche Informationen, die man im Profil angibt oder die sich aus den Posts ergeben, z.B. politische Ansichten, die Religion oder die Sexualität,
  • Informationen über die Personen, Seiten, Konten sowie Hashtags, mit denen man sich verbindet und wie mit diesen interagiert wird,
  • Kontaktinformationen aus dem Adressbuch, Anrufprotokoll oder der SMS-Protokollhistorie, wenn diese vom jeweiligen verwendeten Gerät hochgeladen, synchronisiert oder importiert werden,
  • von anderen Nutzern hochgeladene Fotos und Videos, auf denen man zu sehen ist sowie deren Kommentare unter dem eigenen Foto,
  • Informationen über Social Plugins, APIs, SDKs und Facebook Pixel, also z.B. zum Gerät, den besuchten Websites, den getätigten Käufen, den gesehenen Werbeanzeigen und zur Nutzung der Dienste – unabhängig davon, ob man ein Instagram-Konto hat oder eingeloggt ist,
  • Informationen zum verwendeten Gerät, also z.B. das Betriebssystem, die Signalstärke, der verfügbare Speicherplatz, der Browsertyp, die App- und Dateinamen, sowie Mausbewegungen, die Geräte-ID, WLAN-Zugangspunkte und Funkzellentürme in der Nähe,
  • falls der Zugriff gestattet wurde, der GPS-Standort
  • und die Mobiltelefonnummer sowie die IP-Adresse.

Wie die Geier auf ein Buffet…

stürzen sich die folgenden Empfänger auf die durch Instagram erhobenen Daten:

  • andere Instagram-Nutzer,
  • Werbepartner,
  • im Falle öffentlicher Informationen alle, die z.B. mit Suchmaschinen danach suchen,
  • Drittanbieter von Dienstleistungen,
  • Geschäftspartner,
  • sonstige Dienstleister,
  • Forscher und Wissenschaftler zur Erforschung des sozialen Allgemeinwohls, des technologischen Fortschritts, des öffentlichen Interesses, der Gesundheit und des Wohlergehens,
  • sowie Strafverfolgungsbehörden.

Insbesondere der letztgenannte Punkt wird aktuell heftig diskutiert – im Kampf gegen „Hasskriminalität“ sollen soziale Medien verpflichtet werden, verdächtige Beiträge direkt an das Bundeskriminalamt zu melden, mit Richtergenehmigung seien auch Passwörter herauszugeben. Ein notwendiger Schritt zur Schaffung von Recht und Ordnung in der digitalen Welt? Oder eine Standleitung zur Einschränkung von Grundrechten? Das muss jeder für sich selbst entscheiden, dennoch: Skepsis kann nicht schaden.

Hoch lebe der Kinderdatenschutz

Man kann sich noch so sehr die Finger wund schreiben: Das Gros der Instagram-Nutzer wird sich nicht davon abhalten lassen, den hungrigen Datenschlund zu füttern. Zu verführerisch lockt die Reichweite, die Gunst der Massen. Wir leben in geltungsbedürftigen Zeiten – entweder du hast was zu sagen, zu präsentieren oder du bist weg vom Fenster. Gerade junge Menschen stehen unter einem großen Druck. 71 Prozent aller User Instagrams sind unter 35 (Facebook: 45 Prozent) – und täglich werden es mehr.

Viele Instagrammer sind minderjährig, das ist Fakt. Obwohl Instagram die Nutzung des Diensts grundsätzlich erst ab einem Alter von 13 Jahren erlaubt, tummeln sich in der App unzählige Kinder, die diese Altersgrenze noch nicht erreicht haben. Kontrolle? Kaum möglich. Bei Profilen von Kindern unter 13 muss im Steckbrief angegeben werden, dass ein Elternteil oder ein Manager das Konto verwaltet. Das wird allerdings nur selten der Fall sein – ist es doch viel leichter, einfach ein falsches Alter anzugeben. Auf Social Media-Plattformen wie Instagram, TikTok und Houseparty trifft Naivität auf Geldgier. Eine schlechte Kombi.

Mobber und Straftäter haben leichtes Spiel: Wo sonst kommt man so leicht an (Kinder-)Fotos? Nur ein Klick, schon ist der Kontakt zum nächsten Opfer hergestellt. Manchen Eltern ist gar nicht bewusst, was ihre Kinder den lieben langen Tag so machen. Auch Sharenting ist ein Problem – dabei posten Eltern bereitwillig Fotos und Videoaufnahmen ihres Nachwuchses. An die Konsequenzen denken sie nicht.

Unter Haien

Um sich vor gefräßigen Daten-Haien zu schützen, bietet Instagram eine Art Datenschutz-Haikäfig: die Instagram-Einstellungen. Hier lässt sich der Datenfluss auf ein verträglicheres Maß beschränken. Anschaulich beschrieben werden diese im Rahmen eines offiziellen Leitfadens für Eltern. Danach ist es möglich, das standardmäßig auf öffentlich gestellte Profil in ein privates Profil umzuwandeln. Zudem kann man sowohl Personen, als auch Kommentare blockieren sowie angeben, von wem Kommentare (nicht) zugelassen werden und anhand welcher Begriffe Kommentare herausgefiltert werden sollen.

Hinzuweisen ist auch auf die Sicherheit der Login-Daten: Hier ist eine Zwei-Faktor-Authentifizierung zu empfehlen, um den Zugriff durch Unbefugte zu erschweren. Wer die App nutzen möchte, sollte ihr zudem möglichst wenig Berechtigungen geben, so ist beispielsweise die Weiterleitung der Kontakte nicht notwendig. Im Übrigen gilt gesunder Menschenverstand: Was gebe ich über mich preis? Will ich, dass alle davon wissen? Könnte mir das irgendwann peinlich sein? Vielleicht.

Instagram, die Datenschleuder

Werden Milliarden Daten verarbeitet, verwundert es kaum, dass der ein oder andere Datensatz verloren geht – im Zweifel lauert der nächste Datenskandal bereits hinter der nächsten Ecke. Ein paar Highlights der vergangenen Jahre gefällig?

Noch vor der DSGVO wurde Instagram im Herbst 2017 vom Bundesverband der Verbraucherzentralen abgemahnt, weil Rechte der Nutzerinnen und Nutzer missachtet worden seien. In der Kritik stand unter anderem die Regelung Instagrams, bei Streitigkeiten auf US-amerikanische Schiedsgerichte zu verweisen, aber auch eine zu weitreichende Einräumung von Nutzungsrechten an den Inhalten der Instagrammer stieß auf Ablehnung. Der Bundesverband bemängelte zudem die fehlende ausreichende Information der User über die Weitergabe der Daten an Werbekunden, die für eine informierte und freiwillige Einwilligung erforderlich gewesen wäre.

Im Frühjahr 2019 wurde eine Sicherheitslücke bekannt: Passwörter von Millionen Instagram-Nutzern waren unverschlüsselt auf internen Servern gespeichert worden – für Außenstehende seien diese aber nicht sichtbar gewesen. Außerdem gäbe es keinen Hinweis auf eine missbräuchliche Verwendung durch Mitarbeiter. Kein Einzelfall, denn bereits ein halbes Jahr zuvor kam es zu einer ähnlichen Datenpanne.

Im Sommer 2019 sorgte folgender Fall für Aufsehen: Das Marketing-Start-up Hyp3r sammelte Instagram-Standortdaten und wertete eigentlich nur 24 Stunden sichtbare Stories, die es dauerhaft abspeicherte, mit einer Bildanalyse-Software aus. Business as usual, könnte man glauben. Falsch gedacht: Hyp3r bereicherte sich an den Daten unter Überwindung einer Instagram-Lücke. Der Facebook-Konzern intervenierte zwar, hatte aber bis zu diesem Zeitpunkt fleißig mitverdient.

Zumindest die Zusammenführung von Daten, die Facebook im Rahmen seiner Dienste (Facebook, Instagram, WhatsApp, Websites mit Like-Button) gewinnt, könnte demnächst ein Ende haben: Da Facebook im Eilverfahren vor dem Bundesgerichtshof unterlag, muss der amerikanische Konzern diese Art der Datennutzung stoppen – vorerst. Bleibt abzuwarten, ob Facebook nicht doch noch ein Schlupfloch findet.

Instagram gegen #corona?

Wer jetzt noch glaubt, das sei doch alles nicht so schlimm und man habe doch nichts zu verbergen, dem sei gesagt: Instagram-Posts können mittels Bilderkennung offenbaren, ob man sich an Corona-bedingte Ausgangssperren hält oder nicht. Entsprechende Auswertungen wurden der italienischen Regierung angeboten. Nur eine Frage der Zeit, bis man auch hierzulande auf solch fragwürdige Methoden zurückgreift – wofür auch immer.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.