Kritiker landen auf einer Beobachtungsliste, die Ortung funktioniert auch ohne installierte App. Datenschützer: Da schrillen die Alarmglocken.

Facebook greift im Umgang mit Gegnern und Kritikern zu etwas robusteren Mitteln. So stellte sich im Herbst 2018 heraus, dass der Konzern die einschlägig bekannte Agentur „Definers Public Affairs“ aus Washington mit einer Schmutzkampagne gegen seine Kritiker beauftragt hatte. Jetzt musste Facebook einräumen, dass seine Sicherheitsabteilung seit einiger Zeit eine „Beobachtungsliste“ führt, auf der Konzerngegner und ehemalige Mitarbeiter verzeichnet sind. Zum ersten Mal über diese Liste hatte CNBC-Reporter Salvador Rodriguez berichtet.

Weitere Recherchen in Deutschland haben ergeben, dass der Internetkonzern sogar den Aufenthaltsort derjenigen ortet, deren Namen sich auf dieser Beobachtungsliste befinden. Die Liste wird Facebook-intern „Bolo-Liste“ genannt. Das ist die Abkürzung für „be on outlook“ – unter Beobachtung.

Sie wird Facebook zufolge für die „Durchführung geeigneter Analysen genutzt“, weil man die eigenen Mitarbeiter und das Unternehmen vor diesen Gegnern schützen müsse. Facebook kann außerdem die Internet-Protokoll-Adresse der Betreffenden tracken. Seit der Aussage des damaligen Europa-Managers Richard Allan vor dem Innen- und Rechtsausschuss des Kieler Landtags im Sommer 2011 ist bekannt, wie detailliert persönliche Profile von Internetnutzern mit Facebook-eigener Software erstellt werden können. Mit diesen Daten und den Auswertungsmethoden, die Facebook hat, ist eine Rundumüberwachung möglich.

Selbst wenn der Standortverlauf deaktiviert ist

Die Ortung der Personen, die auf Facebooks Überwachungsliste stehen, kann über die Facebook-App auf dem Smartphone dieser Menschen erfolgen. Selbst wenn der Standortverlauf in den Standorteinstellungen der Facebook-App deaktiviert ist, kann Facebook das Smartphone genau lokalisieren.

„Möglicherweise werden genaue Standortdaten geteilt, wenn du unsere Produkte verwendest“, erläutert Facebook auf seinen Erklärseiten zum Standortzugriff. Als Beispiel für eine solche vom Nutzer gar nicht bemerkte Ortung führt Facebook an: „Beispielsweise empfangen und speichern wir Standortdaten, wenn du einen Ort besuchst und mit ,ich bin hier‘ markierst, eine Veranstaltung zu- oder absagst oder Fotos postest, die Standortinformationen enthalten.“

Das funktioniert auch, wenn der Smartphone-Besitzer die Facebook-App gar nicht installiert oder von seinem Smartphone entfernt hat. Bei den meisten Smartphones ist die „Ortungsdienst“ oder „Standortzugriff“ genannte Einstellung ab Werk aktiviert. Über das Satellitennavigationsystem GPS, über die nächstgelegenen W-Lan-Hotspots und über Mobilfunk-Sendemasten kann die Position eines Smartphone-Besitzers bis auf wenige Meter genau berechnet werden.

Über einen Cookie identifizierbar

Für das Internet-Tracking verfügt Facebook über ausgefeilte Techniken. Wer die Webseite „facebook.com“ mit seinem Browser aufgerufen hat, ist über einen sogenannten Cookie identifizierbar, mit dem sich der Browser samt zahlreichen Systemdaten zusätzlich zur IP-Adresse identifiziert. Diese „Software-Plätzchen“ bleiben nach dem Besuch der Website „facebook.com“ mehrere Monate im Browser des Anwenders aktiv, sofern er sie nicht manuell löscht. Das Verhalten jedes Web-Surfers mit diesem Cookie im Computer kann so genau nachvollzogen werden.

Ruft ein Facebook-Mitglied eine Webseite mit einem „Gefällt mir“-Button auf, werden seine persönlichen Daten bis hin zur Identitätsnummer seiner laufenden Facebook-Sitzung an den Betreiber des blauen Netzwerks übermittelt. In einem solchen Fall kann Facebook detailliert beobachten, welche Websites das Mitglied besucht. Das setzt allerdings voraus, dass der Internet-Surfer während dieser Zeit bei Facebook angemeldet ist. Nur bei laufenden Facebook-Sitzungen kann nämlich die Sitzungs-ID mit übertragen werden. Ist das der Fall, steht der gezielten Profilbildung und Auswertung des individuellen Nutzerverhaltens nichts mehr entgegen.

Facebook-Mitglieder, die während ihrer Surftour nicht im blauen Netzwerk angemeldet sind, geben spätestens beim Klicken auf einen Like-Button neben ihrer IP-Adresse und der Webadresse der aufgesuchten Seite auch noch Datum, Zeit, Browser-Typ und die eindeutige Cookie-Kennung preis. In der Regel reicht aber schon der Aufruf der Seite. Wie die Daten dann an Facebook übermittelt werden, hängt allerdings davon ab, wie die Überwachungssoftware mit dem Like-Button in die Seite eingebunden ist. In der Regel werden die persönlichen Daten des Surfers beim Aufruf der Website an Facebook übertragen, spätestens beim Klick auf den Button kommt es jedoch auf alle Fälle zur Datenübertragung, welche die Cookie-Kennung mit einschließt.

Über diese Cookie-Kennung kann ein Facebook-Mitglied identifiziert werden, wenn es sich zu einem späteren Zeitpunkt im Zuckerberg-Netz anmeldet, um zum Beispiel neue Fotos auf seine Facebook-Seite zu laden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, Professor Johannes Caspar, hat Facebook eine Liste mit 16 Fragen zur Beobachtungsliste übersandt. Unter anderem will der hamburgische Datenschützer wissen: „Welche Personen stehen auf dieser Liste? Aus welchem Anlass heraus werden Personen von Facebook kontrolliert? Geht es auch um Kritik, die dazu führt, dass jemand auf diese Liste kommt?

Gibt es ein Auskunftsrecht?“

Caspar hat ebenfalls die irischen Datenschutzbehörden eingeschaltet, weil Facebook sein europäisches Hauptquartier in Dublin unterhält. Generell sind die Datenschützer alarmiert über diese Facebook-Beobachtungsliste. „Wenn ich mir anschaue, wie groß die Datenmacht von Facebook ist, und dann höre, dass dieses Unternehmen gleichzeitig eine entsprechende Liste von Leuten führt, die in irgendeiner Weise für dieses Unternehmen gefährlich sind, gehen bei einem Datenschutzbeauftragten natürlich die Alarmglocken los“, sagt Caspar. Mit Antworten von Facebook rechnet er erst in einigen Monaten.