Dass Facebook Daten von Menschen speichert, die nicht einmal ein Profil auf der Plattform haben, hat sogar Unternehmenschef Mark Zuckerberg zugegeben. Während einer Anhörung vor dem US-Kongress im April fragte der demokratische Abgeordnete Ben Luján den Facebook-Gründer nach diesen sogenannten Schattenprofilen. "Im Allgemeinen sammeln wir aus Sicherheitsgründen Daten von Personen, die nicht auf Facebook angemeldet sind", sagte Zuckerberg damals. Allerdings beantwortete er nicht, um was für Daten es sich dabei handelte.

Die Datenschützer Frederike Kaltheuner und Christopher Weatherhead wollten es genauer wissen. Sie arbeiten für die britische Wohltätigkeitsorganisation Privacy International und haben untersucht, welche Daten verschiedene Apps auf einem Android-Smartphone eigentlich so an das soziale Netzwerk senden. Ihre Ergebnisse stellten sie am Samstagabend auf dem Chaos Communication Congress (CCC) in Leipzig vor. Ein zentrales Ergebnis: 61 Prozent aller Apps geben Daten an Facebook weiter, sobald die Nutzerin die App nur öffnet – teils auch sensible Informationen.

"Die Daten geben Auskunft darüber, welche Apps man nutzt, wann man sie benutzt, wie man sie benutzt", sagte Kaltheuner bei der Präsentation. Als Beispiel dafür nennt die Datenschützerin die Reisesuchmaschine Kayak: Die Plattform gibt weiter, nach welchen Flügen Nutzerinnen und Nutzer gesucht haben, aus welchen Städten und wann sie abfliegen, wohin sie wollen, wie viele Tickets sie gebucht haben, und ob sie Businessclass oder Economy reisen. Das Problem: Nutzerinnen und Nutzer können herzlich wenig dagegen tun. Selbst die Personalisierung auf dem Android-Smartphone abzustellen, half bei dem Test von Privacy International nicht. Es wurden sogar noch mehr Daten weitergegeben.

Facebook ist Tech-Verlierer des Jahres

Nun mag das einen kaum noch überraschen. Facebook stolperte 2018 ohnehin von einer Krise zur anderen. Würde man den Tech-Verlierer des Jahres küren, hätte das Unternehmen in diesem Jahr ziemlich gute Chancen auf eine Auszeichnung. Im März berichteten New York Times und Observer, dass die Datenanalysefirma Cambridge Analytica vor der US-Präsidentschaftswahl 2016 illegal Daten von Facebook erworben und ausgewertet hatte. Daraufhin musste sich Unternehmenschef Mark Zuckerberg Anhörungen im US-Senat und im EU-Parlament stellen. Später wurde noch eine eklatante Sicherheitslücke auf der Plattform bekannt, es gab Berichte über Vertuschungsstrategien bei Facebook und über den Vorschlag von Zuckerberg, die Daten der Nutzerinnen und Nutzer zu verkaufen.

Das Unternehmen aus Menlo Park war damit aber nicht allein. Auch die Konkurrenten mussten sich Fragen gefallen lassen. Google stand in der Kritik wegen seiner Pläne, eine zensierte Suchmaschine für China zu bauen. Amazon musste sich rechtfertigen, nachdem öffentlich wurde, dass der Bewerbungsalgorithmus Frauen diskriminiere.

Geändert hat sich nach all diesen Skandalen: wenig. Die Unternehmen wiegelten ab, redeten die Kritik klein. Nur wenn es gar nicht anders ging, entschuldigten sie sich auch mal. Managerinnen und Manager blieben. Das Sammeln von Daten ist geblieben. Es verfestigt sich der Eindruck, dass sich die Unternehmen nicht wirklich um die Menschen scheren, für die sie die Produkte angeblich bauen: die Nutzerinnen und Nutzer.

 Es stellt sich die Frage: Geht es in der IT-Branche auch anders?

Muss man alle Daten sammeln, die man sammeln könnte?

Jemand, der daran glaubt, ist der Gründer Yann Leretaille. Im Dezember 2017 – kurz vor dem Facebook-Skandal und der sich anschließenden Ethikdiskussion – baute er gemeinsam mit anderen Menschen aus der IT-Szene das Good Technology Collective auf. 27 Personen aus der europäischen Tech-Branche engagieren sich im Beirat. Das Ziel der Initiative ist, eine konstruktive Diskussion über Ethik in der IT-Branche zu führen.

Dafür hat Leretaille gemeinsam mit seinen Mitstreiterinnen und Mitstreitern einen Fragenkatalog entwickelt für die Menschen, die digitale Produkte bauen. Darin sind Anregungen für Unternehmen zu finden, die es anders machen wollen als die Vorbilder aus dem Silicon Valley. Zum Beispiel: Versucht man, mit der Anwendung menschliche Schwächen auszunutzen, den Nutzer etwa immer weiter zum Klicken anzuregen? Muss man wirklich alle Daten sammeln, die man sammeln könnte? Und haben Nutzerinnen und Nutzer eigentlich überhaupt etwas von dem Produkt?

Dass er mit seinem Konzept wahrscheinlich nicht die großen Tech-Unternehmen im Silicon Valley erreicht, das weiß auch Leretaille. "Ich erwarte nicht, dass Google so etwas implementiert", sagte er auf dem CCC. Das sei gegen deren Geschäftsmodell. Doch er glaube nicht, dass man nichts verändern könne, nur weil Google, Amazon und Facebook derzeit nach diesen Regeln spielten. Vielleicht werde ein Unternehmen wie Facebook nicht untergehen, weil es noch zu viele andere funktionierende Dienste wie WhatsApp oder Instagram anbiete. Doch langfristig werde es negative Effekte spüren, sagte Leretaille. "Wenn ein Ingenieur eine Brücke baut und die bricht zusammen, dann ist er verantwortlich. Auch wir in der Tech-Szene sind verantwortlich."

Digitale Ethik – neu gedacht

Manch einer mag das als naiv abtun. Aber Leretaille ist mit dieser Idee nicht allein. An den vier Kongresstagen in Leipzig kommt immer wieder die Frage nach digitaler Ethik auf. Nicht nur bei privaten Unternehmen, sondern auch beim Staat. Sollten Computersysteme wirklich bei einem Asylantrag eines Geflüchteten mitentscheiden dürfen? Sollte es wirklich überall Videoüberwachung geben zum Schutz vor Straftaten? Die Vorträge dazu auf dem CCC lassen daran ernsthafte Zweifel aufkommen.

Selbst in unverdächtig klingenden Vorträgen wie Du kannst alles hacken, du darfst dich nur nicht erwischen lassen spielte Ethik eine Rolle. Die IT-Sicherheitsexperten Linus Neumann und Thorsten Schröder erzählten bei ihrem Auftritt eine Stunde lang, woran kriminelle Hacks häufig scheitern: an zu später Verschlüsselung, an Metadaten ("Wer hat uns verraten? Metadaten!"), am öffentlichen Prahlen mit den Taten. Am Ende stand aber kein reiner Leitfaden, wie Cybercrime richtig geht. Vielmehr appellierten die Experten an die Zuhörerinnen und Zuhörer, die Finger davon zu lassen: "Nie ohne Skimaske hacken. Nie ohne Ethik hacken."

Nicht mit Daten Schindluder treiben!

Das alles ist nicht neu. Der Chaos Computer Club, Veranstalter des Kongresses und bekanntlich in vielen digitalen Entwicklungen der Öffentlichkeit voraus, hat das mit der digitalen Ethik schon in den Achtzigerjahren entdeckt. Der Begriff Hacker mag medial eher Synonym für böser Krimineller mit Kapuzenpulli sein. Nicht so beim Chaos Computer Club: "Hacking definieren wir als den schöpferisch-kritischen Umgang mit Technologie", sagte der Aktivist Frank Rieger bei seinem Vortrag zur Hackerethik. Es gehe nicht darum, mit Daten Schindluder zu treiben.

Passenderweise heißt eine der Ethikregeln des CCC daher auch: "Mülle nicht in den Daten anderer Leute." Man würde sich wünschen, dass Facebook oder vielleicht zumindest irgendwann ein Nachfolgerunternehmen diese Regel auch berücksichtigen würde.