Wer das eigene Facebook-Konto sichern will, dem bietet das soziale Netzwerk die sogenannte Zwei-Faktor-Authentifizierung an. Genau genommen drängt es sie einem manchmal sogar regelrecht auf. Hat eine Nutzerin ihre Telefonnummer noch nicht hinterlegt, blendet das Unternehmen ganz oben auf seiner Website gerne mal einen Hinweis ein: "Füge deine Telefonnummer ein, um dein Konto zu schützen und mehr."

Aus Sicherheitsperspektive ist das durchaus sinnvoll. Hat beispielsweise ein Hacker das Passwort geknackt, könnte er damit nicht gleich auf das gesamte Facebook-Profil zugreifen. Er würde zusätzlich einen Code benötigen. Weil die Nutzerin den aber auf das Smartphone geschickt bekommt, müssten Kriminelle auch das ausspähen. Durch so eine Zwei-Faktor-Authentifizierung werden unerwünschte Zugriffe darum deutlich unwahrscheinlicher.

Allerdings nutzt Facebook die Telefonnummer eben nicht nur, um die Sicherheit der Nutzerinnen und Nutzer zu erhöhen. Wer seine Handynummer angibt, der muss damit rechnen, dass sie für Werbezwecke verwendet wird und dass jeder im Netzwerk danach suchen kann. Ausstellen können Nutzerinnen und Nutzer diese Funktion nicht. All das ist nicht neu, hat aber durch mehrere Tweets des Tech-Unternehmers Jeremy Burge jetzt für heftige Kritik gesorgt. Denn so wird das, was Facebook als Sicherheitsfeature anpreist, zur Bedrohung des eigenen Datenschutzes.

Facebook sei nicht glaubwürdig, wenn es nach Zwei-Faktor-Authentifizierung verlange, ohne sie von Suche und Werbung zu trennen, schrieb etwa Alex Stamos, der ehemalige Chief Security Officer des Unternehmens, auf Twitter. Die Wissenschaftlerin Zeynep Tüfekçi bezeichnete es als "lausigen Zug" von Facebook, mit einem Sicherheitsfeature die Privatsphäre noch weiter zu unterlaufen. Und der Hamburger Datenschützer Johannes Caspar sagte, dass in diesem Fall Datensicherheit gegen den Schutz der Privatsphäre von Nutzerinnen und Nutzern ausgespielt werde. Er äußerte zudem "erhebliche Bedenken", dass diese Nutzung mit der europäischen Datenschutzgrundverordnung (DSGVO) vereinbar sei.

Datenschutz funktioniert nur, wenn man ihn will

Schon im September 2018 berichtete das US-Portal Gizmodo über Facebooks problematische Nutzung der Zwei-Faktor-Authentifizierung. Das Netzwerk bestätigte den Bericht damals und betonte, dass Nutzerinnen und Nutzer die Telefonnummer ja löschen könnten. Das aber reduziert natürlich die Sicherheit der Facebook-Daten wiederum, sofern die Personen keine andere Authentifizierungsmethode auswählen. Derartige Methoden, etwa über Google Authenticator oder Duo Security, bietet Facebook inzwischen auch an.

Dass dieser Missbrauch eines Sicherheitsfeatures nun erneut so heftig kritisiert wird und die Tweets darüber mittlerweile mehrere Tausend Retweets und Likes erhalten haben, zeigt vor allem eins: An vielen Menschen scheint diese Geschichte schlicht vorbeigegangen zu sein. Und genau darin liegt ein größeres Problem: Das soziale Netzwerk steht mittlerweile so routinemäßig in der Kritik, dass der Datenmissbrauch etwas Alltägliches geworden ist. Cambridge Analytica, Sicherheitslücke, Datenzusammenlegung: Ach, Facebook macht schon wieder irgendwas mit meinen persönlichen Informationen? Ist halt so, was will man machen?

Das ist gefährlich, weil es zeigt: Der Skandal ist der Normalzustand geworden. Wenn Nutzerinnen nicht mehr wissen, was mit ihren Daten eigentlich passiert, wenn sie sich daran gewöhnen, dass persönliche Informationen fleißig gesammelt und ausgewertet werden und sie der Schutz derer nicht mehr interessiert, dann lässt sich auch wenig dagegen unternehmen. Datenschutz funktioniert nur, wenn die Menschen, denen die Daten gehören, auch wollen, dass sie geschützt werden. Und im Zweifel dafür kämpfen – oder wie Burge dafür sorgen, sich immer wieder damit zu beschäftigen.