Werbetreibende können bei Facebook Listen mit E-Mail-Adressen und Telefonnummern ihrer Kunden hochladen. Das soziale Netzwerk gleicht diese Daten dann mit seinen eigenen ab und erlaubt den Unternehmen so, gezielt Werbung zu schalten. Das ist weder neu, noch hat Facebook daraus je ein großes Geheimnis gemacht. Zumal es auch völlig legal ist, sofern die werbenden Unternehmen das Einverständnis der Nutzer einholen. Der Abgleich findet bei Facebook statt, sodass die Werbenden auch nicht erfahren, welcher Kunde welches Profil auf dem sozialen Netzwerk betreibt.
Aber woher hat Facebook eigentlich die Telefonnummern der Nutzer? Haben sie alle ihre Nummern freiwillig in ihrem Profil hinterlegt? Oder zapft Facebook womöglich noch andere Quellen an? Ein Forscherteam der US-amerikanischen Northeastern University hat sich kürzlich mit dieser Frage beschäftigt. Ein umfangreiches Experiment sollte die Fragen beantworten.
Für ihre Untersuchung haben die Wissenschaftler eine Reihe von Facebook-Konten angelegt. Dann wählten sie verschiedene Methoden, über die das soziale Netzwerk potenziell die Telefonnummer des Nutzers erhalten könnte. Zur Überprüfung schalteten sie dann gezielt Werbung, um herauszufinden, ob Facebook die Nummern tatsächlich dafür einsetzt.
Daher hat Facebook eure Telefonnummer
Gibt ein Nutzer die eigene Telefonnummer im Profil an, wird sie wenig überraschend auch für das Anzeigen-Targeting verwendet. Überraschender ist hingegen, dass auch Telefonnummern, die eigentlich nur für die Zwei-Faktor-Authentifizierung (2FA) hinterlegt wurden, ebenfalls als Werbeziele verfügbar werden. Auf Nachfrage erklärte uns ein Facebook-Sprecher, dass die für 2FA hinterlegten Telefonnummern letztlich eben auch immer dem Profil hinzugefügt werden. Das gehe auch aus der entsprechenden Funktion hervor. Dort heißt es: „Füge eine Telefonnummer zu deinem Konto hinzu, um loszulegen.“
2FA dient als zusätzlicher Schutz vor Hackerattacken. Bis Mai 2018 musste dafür bei Facebook zwangsweise eine Telefonnummer hinterlegt werden. Auch wer sich per SMS über ungewöhnliche Kontoaktivitäten informieren lässt, gibt die eigene Telefonnummer offenbar zur gezielten Schaltung von Anzeigen frei. Gleiches gilt, wenn die eigene Telefonnummer über die Messenger-App freigegeben wird. Immerhin: Die Forscher fanden keine Anzeichen dafür, dass bei Whatsapp hinterlegte Telefonnummern mit dem Facebook-Konto abgeglichen werden.
Schattenprofile: Kennt Facebook deine Nummer – selbst wenn du sie nirgendwo angegeben hast?
Auch wenn der Verzicht auf 2FA letztlich die Sicherheit des eigenen Facebook-Kontos deutlich verringert, handelt es sich immer noch um eine freiwillige Angabe. Das Paper der Forscher legt allerdings nahe, dass sich Facebook eben nicht nur auf Daten verlässt, die Nutzer selbst über sich preisgeben. Die Wissenschaftler gehen davon aus, dass Facebook auch Telefonnummern aus den von anderen Nutzern bereitgestellten Kontaktinformationen mit den E-Mail-Adressen von Nutzern abgleicht. Das wäre problematisch, weil der betroffene Nutzer in dem Fall gar nicht wüsste, dass Facebook seine Telefonnummer kennt.
Facebook dementiert gegenüber t3n jedoch, dass Telefonnummern auf diese Art verwendet werden. Ein Sprecher hat uns erklärt, dass die aus den Adressbüchern gewonnen Telefonnummern lediglich für die Freundschaftsvorschläge verwendet würden. Außerdem gleiche Facebook die Nummern ausschließlich mit denen ab, die dem Netzwerk von den jeweiligen Nutzern aktiv bereitgestellt wurden. Schattenprofile, also geheime Sammlungen von Nutzerdaten, gebe es nicht. Lädt ein Unternehmen die Telefonliste der eigenen Kunden zu Werbezwecken bei Facebook hoch, dann erreichten die Anzeigen auch nur die Nutzer, die ihre Nummer selbst im Profil hinterlegt haben.
Giridhari Venkatadri, der Hauptautor der Studie, zweifelt allerdings an den Aussagen des sozialen Netzwerkes. Gegenüber der US-Publikation Gizmodo erklärt er, dass Facebook seiner Meinung nach Informationen hinzufüge, „die nicht direkt vom Nutzer bereitgestellt wurden“. Unabhängig davon glaubt der Bostoner Professor Alan Mislove, der ebenfalls an dem Experiment beteiligt war, dass Nutzer besser darüber informiert werden müssten, wie gezielte Werbung funktioniere.
„Ich denke, viele Nutzer verstehen nicht, wie Anzeigen-Targeting heutzutage funktioniert: Dass Werbetreibende tatsächlich exakt spezifizieren können, welche Nutzer ihre Anzeigen sehen sollen, indem sie E-Mail-Adressen, Telefonnummern, Namen und Geburtsdaten eingeben“, erklärt Mislove. „Daher denke ich, dass ein erhebliches Bedürfnis besteht, Nutzer darüber aufzuklären, wie genau gezielte Werbung auf diesen Plattformen heutzutage funktioniert.“