Selbst wenn Sie bei keinem sozialen Netzwerk registriert sind: Die Wahrscheinlichkeit ist hoch, dass Facebook, Instagram und Co trotzdem Ihre Daten haben. Denn mithilfe von Daten aus „zweiter Hand“ erstellen Social-Media-Plattformen sogenannte Schattenprofile auch über Nichtnutzer. Doch wie kommen sie an diese Daten? Und was verraten diese „Shadow Profiles“ über uns?

Wohnort, Vorlieben und sogar hochpersönliche Daten zum Familienstand oder der sexuellen Orientierung: Wer glaubt, dass die Betreiber von Social Media solche Informationen nur von ihren Nutzern kennen, der irrt. Denn Facebook, Insta und Co kommen über die Adressbücher und andere Informationen der registrierten Besucher auch an Daten von Dritten. Mithilfe dieser Informationen können sie dann ganze Profile über diese Personen erstellen.

Das Problem: Bisher sind Schattenprofile technisch kaum zu verhindern, gesellschaftlich ein kollektives Problem und rechtlich, vor allem strafrechtlich, kaum erfasst. Was sich dagegen tun lässt, erforschen deshalb Wissenschaftlerinnen und Wissenschaftler des Centre for Human | Data | Society an der Universität Konstanz. Wie ist der Stand der Dinge dabei?

Wir müssen gar nicht Mitglied bei einem der vielen sozialen Netzwerke oder Messenger-Dienste sein – mit hoher Wahrscheinlichkeit liegen dort trotzdem private Informationen über uns vor. Möglicherweise ist sogar ein unsichtbares Profil von uns hinterlegt, wie eine Art Akte. Das kann selbst dann der Fall sein, wenn wir uns sich niemals eingeloggt und niemals in die Geschäftsbedingungen des jeweiligen Netzwerks eingewilligt haben.

Informationen aus zweiter Hand

Das soziale Netzwerk bekommt unsere Daten indirekt: Es genügt, dass eine ausreichende große Anzahl unserer Bekannten – im Netzwerk zumeist als „Freunde“ gelistet – dort einen Account angelegt hat. Über Informationen und Kontaktadressen, die unsere Freunde im Netzwerk teilen, können ausreichend Informationen „gepuzzelt“ werden, um Rückschlüsse über uns zu ziehen. Vereinfacht gesagt: Wenn das Netzwerk weiß, dass die Mehrzahl Ihrer Freunde Handball spielt, in Konstanz wohnt und sich für Migrationspolitik interessiert, dann stehen die Chancen gut, dass das auch auf Sie zutreffen könnte.

Den Grundstein legt sehr oft der schnelle Klick, wenn das eigene Adressbuch mit dem Messenger-Dienst geteilt wird: Schon hat das Netzwerk Zugriff auf alle unsere Kontaktdaten, kann den Telefonnummern Informationen zuordnen und Verbindungen zwischen ihnen herstellen. Das Informationspuzzle ergänzt sich nach und nach durch Mitteilungen und Fotos, die unser Bekanntenkreis im Netzwerk veröffentlicht, ebenso über deren Gruppenzugehörigkeiten, Kommentare, Likes und Dislikes.

Ein Puzzle aus vielen Einzeldaten

All dies geschieht ohne bösen Willen unserer Mitmenschen und völlig unbeabsichtigt, auch wenn niemand absichtlich Informationen über uns preisgeben oder gar unsere Privatsphäre verletzen wollte. Die veröffentlichten Nachrichten müssen noch nicht einmal uns persönlich nennen. Doch aus der Summe all dieser kleinen Informationsbruchstücke aus unserem sozialen Umfeld ergibt sich ein grundlegendes Puzzle-Bild unserer Person: von unseren Interessen und politischen Überzeugungen, von unserer ethnischen Zugehörigkeit, unserem Wohnort, unserem Familienstand bis hin zu wahrscheinlichen Kaufinteressen.

Das Ergebnis ist eine Art nicht-offizielles Profil – ein „Shadow Profile“. Zum ersten Mal kamen Schattenprofile 2012 ans Licht, als sich bei einem Datenleck im sozialen Netzwerk Facebook herausstellte, dass das Netzwerk Informationen besaß, die es gar nicht hätte haben dürfen. „Schattenprofile sind aber keineswegs nur ein Facebook-Problem. Jedes soziale Netzwerk, das Kontaktinformationen sammelt, kann potenziell Schattenprofile erzeugen“, erklärt David Garcia, Professor für Social and Behavioural Data Science an der Universität Konstanz.

Der Informatiker ist einer der Forschenden des Centre for Human | Data | Society (CHDS) , das es sich als eines seiner übergreifenden Forschungsthemen zur Aufgabe gesetzt hat, Schattenprofile unter die Lupe zu nehmen und nach Möglichkeiten zu suchen, um den Menschen davor zu schützen. Helfen soll dabei ein multidisziplinärer Verbund, in dem Forschende aus der Informatik, der Rechtswissenschaft, den Sozial- und Kulturwissenschaften sowie der Psychologie zusammen das Phänomen in seiner Vielschichtigkeit untersuchen.

Dank Schattenprofilen haben die Betreiber sozialer Netzwerke wie Facebook, Instagram und Co nicht nur Informationen über die Nutzer ihrer eigenen Plattform. Sie verfügen auch über Informationen zu Menschen, die nicht bei ihnen registriert sind oder die bestimmte Daten absichtlich nicht preisgeben wollten. Je nach Variante unterscheiden Experten daher über verschiedene Arten von „Shadow Profiles“.

Was für Schattenprofile gibt es?

Ein partielles Schattenprofil liegt beispielsweise vor, wenn jemand zwar einen eigenen Account bei einem sozialen Netzwerk besitzt, sich aber entschieden hat, bestimmte Informationen dort nicht zu teilen – zum Beispiel persönliche Angaben oder die eigene Telefonnummer. Die Plattform kann dann oft trotzdem die fehlenden Informationen aus den Kontakten erschließen.

Von einem vollen Schattenprofil ist dann die Rede, wenn eine Person keinen Account bei dem Netzwerk angelegt und niemals in dessen Geschäftsbedingungen eingewilligt hat. Das Unternehmen erstellt dann aber – quasi aus zweiter Hand – dennoch ein Profil über diese Person. Ein Schattenprofil kann aber auch dann entstehen, wenn jemand zunächst auf einer Plattform angemeldet war, dann aber seinen Account löscht. Das Netzwerk löscht dann zwar alle Daten des Accounts, kann das Profil aber jederzeit durch indirekte Informationen aus den Kontakten wiederherstellen – zumindest in Teilen.

Wie treffsicher sind die Schattenprofile?

Da bisher kein Unternehmen ein Schattenprofil veröffentlicht hat, lassen sich keine Aussagen über deren Präzision treffen. In einer Studie auf Basis öffentlich zugänglicher Daten hat der Datenspezialist David Garcia von der Universität Konstanz ermittelt, dass sich anhand von indirekten Kontaktinformationen der Wohnort einer Person auf einen Radius von unter 50 km festlegen ließe – weltweit und mit verhältnismäßig spärlichen Daten.

Es ist davon auszugehen, dass die echten sozialen Netzwerke deutlich detailliertere Daten vorliegen haben und Shadow Profils deshalb noch wesentlich präziser sind. Die Schattenprofile enthalten höchstwahrscheinlich auch sehr persönliche Informationen wie den Familienstand oder die sexuelle Identität. Beides konnte Garcia in seiner datenbasierten Simulation eines Schattenprofils mit recht wenig Aufwand nachvollziehen.

Schattenprofile sind damit nicht nur ein technisches Problem – sie stellen politische, rechtliche und kulturelle Herausforderungen an unsere Gesellschaft: Was bedeutet ein Recht auf Privatheit in der virtuellen Welt? Und welchen Umfang hat es? Was ist die persönliche Handlungsfreiheit und das Recht auf informationelle Selbstbestimmung noch wert, wenn die Veröffentlichung meiner Daten immer zugleich auch Informationen über andere preisgibt?

Unser Bauchgefühl sagt uns, dass Schattenprofile illegal sein müssen. Tatsächlich bestehen hier jedoch Gesetzeslücken, wie die Rechtswissenschaftlerin Liane Wörner von der Universität Konstanz erklärt. Die deutschen Gesetze, die für illegales Datensammeln herangezogen werden können, greifen bei Schattenprofilen meist nicht.

Was die Gesetze sagen – und warum sie nicht greifen

In Deutschland für das Datensammeln und die Schattenprofile maßgeblich sind theoretisch die Gesetze zur digitalen Datenveränderung und zum Ausspähen von Daten. Nach diesen liegt eine „Datenveränderung“ – das virtuelle Pendant zur Sachbeschädigung – vor, wenn Daten anderer verändert, unterdrückt oder unbrauchbar gemacht werden (§ 303a Strafgesetzbuch). Nichts davon trifft auf Schattenprofile zu, die Daten selbst bleiben ja intakt.

Ein Ausspähen von Daten im Sinne von §202a des Strafgesetzbuchs liegt vor, wenn sich jemand unbefugt „Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft“. Auch hier ist das Problem offenkundig: Im Fall eines Schattenprofils wurden die Daten von den Nutzern freiwillig im Netzwerk veröffentlicht, in der Regel für jede und jeden sichtbar.

Weil jeder und jede das soziale Netzwerk betreten und verlassen kann, gibt es auch keine Zugangssicherung im Sinne des Gesetzes. Zudem hat das Unternehmen, das diese Plattform betreibt und die Daten für die Schattenprofile sammelt, ja sowieso Zugang. Auch lässt sich schwer argumentieren, für wen öffentlich kommunizierte Mitteilungen innerhalb des Netzwerks nun bestimmt sind und für wen nicht.

In einer Grauzone

Datenschutzrechtlich sind daher bei den Schattenprofilen viele Fragen offen: Was wird geschützt, was nicht? Was darf geteilt werden, was nicht? Netzwerkverantwortliche müssen gegebenenfalls mit Bußgeldern nach § 83 Abs. 4 bis 6 DSGVO rechnen. Doch ob die Strafvorschriften des Bundesdatenschutzgesetzes hier greifen können, ist zweifelhaft. Bestraft wird nach diesen nur, wer nicht allgemein zugängliche personenbezogene Informationen verbreitet.

Ob das auf von Nutzern freiwillig, wenn auch nicht immer absichtlich geteilte Informationen überhaupt zutreffen kann, ist daher zweifelhaft. „Strafverfolgung gibt es kaum und meist nur dann, wenn sich jemand wehrt“, erklärt Liane Wörner. „Das findet bei Schattenprofilen aber selten statt.“ Kein Wunder: Die wenigsten Menschen wissen, dass ein heimliches Profil von ihnen existiert.

Zudem schützt das (Straf)recht nicht vor der strukturierten Sammlung öffentlich zugänglicher Daten durch andere. Denn in vielen Fällen ist eine Sammlung von Daten grundsätzlich sinnvoll, oft sogar die Idee von Diensten, etwa von Wikipedia, und erlaubt eine Vielzahl nützlicher Informationen für alle, vom präzisen Wetterbericht hin zur Stauprognose auf der Autobahn.

Was kann man tun, um das Sammeln von Daten durch Social-Media-Plattformen und das Anlegen von Schattenprofilen zu verhindern? Das Problem beginnt schon bei unserem eigenen Verhalten: „In der Öffentlichkeit herrscht noch kein umfassendes Bewusstsein darüber, dass die Verteilung der eigenen Daten im Netz stets auch die Verteilung von Informationen über andere bedeutet“, erklärt die Strafrechtlerin Liane Wörner von der Universität Konstanz. „Meine Daten sind immer zugleich auch die Daten der Anderen.“

„Privatsphäre ist eine kollektive Aufgabe“

Bei der Regulierung von digitalen Netzwerken neigen wir sehr häufig zu einer individualisierten Lösung: Wir wollen den Individuen die Kontrolle darüber geben, was sie auf der Plattform teilen. „Das hilft aber nur begrenzt“, erläutert der IT-Experte David Garcia. „Wenn wir glauben, dass der Schutz der Privatsphäre allein eine individuelle Entscheidung ist, dann verfehlen wir das größere Bild. Privatsphäre ist nicht nur ein individuelles Phänomen. Privatsphäre ist vielmehr eine kollektive Aufgabe.“

Der Informatiker warnt: „Individualisierte Lösungen werden nicht ausreichen, um unsere Privatsphäre zu schützen.“ Um Schattenprofile zu verhindern, empfiehlt er Regulierungen, die auf kollektiver Ebene greifen. „Ein Ansatz wäre, zentralisierte Datensammlungen zu verhindern, so dass nicht eine Person oder eine Institution die ganzen Daten in den Händen hält“, schlägt Garcia vor. Ferner sollten die Unternehmen aus seiner Sicht zur Einhaltung von Standards verpflichtet werden, die Schattenprofile verhindern und mehr Transparenz gewährleisten.

Mit Störrauschen gegen Datensammler

Garcia forscht bereits an technischen Ansätzen, durch die Menschen vor Schattenprofilen geschützt werden könnten. Eine Idee ist, gegenüber den Netzwerken ein „Informationsrauschen“ zu erzeugen. Dabei schützt man die echten Daten, indem man Netzwerke mit einem „Hintergrundrauschen“ an automatisierten falschen Daten füttert. Auf ähnliche Weise versuchen Informatiker bereits, gegen Deepfakes durch Bildgeneratoren vorzugehen. Schattenprofile wären dann wertlos, weil sie auf Fehlannahmen beruhten. Das strukturierte „Erpuzzeln“ von Profilen würde erschwert oder ganz unmöglich gemacht.

Darin liegt freilich zugleich die Gefahr, das mit den nunmehr auf Fehlannahmen beruhenden Angaben „Fake History“ entstünde. Es droht eine Verlagerung des Problems, wenn dies nicht gleichzeitig mitverhindert wird, sagt Liane Wörner. Weiterer Forschung bedarf es, um zu verstehen, wie dieses Rauschen einerseits die Präzision von Schattenprofilen und andererseits die Nutzbarkeit des Netzwerks beeinflusst – eine Forschung, der das Centre for Human | Data | Society nun nachgehen möchte.

Garcia möchte zudem ein Modell erarbeiten, mit dem sich einschätzen lässt, ab welcher „roten Linie“ ein Netzwerk zu viele Daten besitzt, so dass Schattenprofile zu präzise werden. Allerdings betont der Forscher auch, dass eine Lösung nicht allein von technischer oder juristischer Seite erfolgen kann, sondern stets aus einer multidisziplinären Perspektive kommen muss. Diese muss zugleich die kulturellen Auswirkungen für die Gesellschaft und den einzelnen Menschen im Auge behalten.

Gute Daten, schlechte Daten

Auch für die Rechtswissenschaftlerin Liane Wörner geht es nicht nur um einen juristischen Regulierungsmechanismus. Die zentrale Frage lautet für sie vielmehr: In welcher datafizierten, also von Daten gestützten und geprägten Welt wollen wir eigentlich leben? Und wie können wir diese sinnvoll gestalten? „Das Recht wird viel zu oft auf die Rolle des Regulators reduziert, der erst ganz am Ende einsetzt, wenn das Kind schon in den Brunnen gefallen ist. Eine zentrale Aufgabe des Rechts ist aber die Gestaltung unserer zwischenmenschlichen Beziehungen“, sagt Wörner.

Die Juristin sieht eine große Chance für unsere Gesellschaft, wenn wir deren Digitalisierung und Datafizierung bewusst und klug gestalten. Die Voraussetzung dafür ist aber eine multidisziplinäre Perspektive, in der die Rechtswissenschaft, die Informatik und die Kulturwissenschaft Hand in Hand zusammenarbeiten. Das Centre for Human | Data | Society will hier Pionierarbeit leisten.

„Unser Aufruf aus Konstanz ist, an gemeinsamen Konzepten des Daten-Sharings zu arbeiten. Wie wir gemeinsam eine sinnvolle Daten-Welt generieren können, deren Teil wir sind und die wir gemeinsam nutzen und gemeinsam steuern können“, sagt Wörner. „Ein schnelles Internet haben wir schon. Aber ein gutes Internet, das haben wir nicht. Gute Daten, die wollen wir haben. Und was das ist, darüber müssen wir diskutieren.“