Der Facebook-Konzern steht erneut wegen zu lascher Datenschutzkontrolle in der Kritik. Auslöser ist das in der breiten Öffentlichkeit kaum bekannte Start-up Hyp3r aus San Francisco. Wie Hyp3r Daten von Menschen überwacht und analysiert, ist jetzt durch eine Recherche des Online-Magazins Business Insider öffentlich geworden. Betroffen sein sollen Millionen Nutzer von Instagram, Facebooks beliebtem Foto-Netzwerk. Den Inhalt des Berichtes bestätigte Instagram der SZ. Ob auch deutsche Nutzer betroffen sind, konnte Instagram zum aktuellen Zeitpunkt noch nicht beantworten.
Das Problem liegt aber nicht allein in der Datengier eines Marketing-Start-ups, sondern auch darin, dass Instagram und sein Mutterkonzern Facebook diese Art der Überwachung seiner Nutzer überhaupt ermöglicht und nicht unterbunden hat. Zwar betonte ein Facebook-Sprecher, dass "die Handlungen von Hyp3r nicht genehmigt waren und gegen unsere Richtlinien verstoßen." Nach dem Bericht hat Instagram schnell reagiert und Hyp3r eine Unterlassungserklärung geschickt und das Unternehmen aufgefordert, die gesammelten Daten zu löschen. Außerdem wurde die App so angepasst, dass andere Unternehmen öffentliche Standortinformationen mit der gleichen Methode nicht mehr abgreifen können.
Für Firmen, die personalisierte Werbung machen wollen, klingt das Angebot des Start-ups verlockend: Das Unternehmen verspricht, Werbung könne dank seiner Daten "die ganz besonders wertvollen Kunden erreichen". Dazu hat das Unternehmen offenbar Nutzerdaten von Millionen Instagram-Nutzern gesammelt. Gespeichert wurde zum Beispiel, wo sie sich aufhalten, aber auch Informationen aus ihren Profilen wie die Selbstbeschreibung ("Bio") und Inhalte wie die Kurzvideos in den Instagram Stories. Die verschwinden eigentlich nach 24 Stunden aus der App, Hyp3r sicherte sie aber dauerhaft mit einem eigens entwickelten Programm wertete sie mit einer Bildanalyse-Software aus.
Der Fall weckt Erinnerungen an den Cambridge-Analytica-Skandal, der der Öffentlichkeit vor einem Jahr Facebooks laxen Umgang mit Nutzerdaten deutlich machte. Hyp3r hatte zunächst die offizielle Schnittstelle von Instagram genutzt, um die Daten abzugreifen, wie es auch Cambridge Analytica getan hatte. Allerdings ging das Unternehmen dabei weiter, als es die Regeln von Facebook und Instagram erlauben. So sammelte es automatisiert mit einem eigenen Programm Daten. Dafür nutzte es mit einem Trick eine Lücke bei Instagram aus. Doch obwohl das Unternehmen über Facebooks Grenzen des Erlaubten hinausging, profitierte auch der Konzern indirekt von den Entwicklungen bei Hyp3r. Denn das Start-up gab das Geld aus den Marketingkampagnen seiner Kunden weiterhin für eben jene Werbewerkzeuge aus, mit denen der Facebook-Konzern sein Geld verdient.
So funktionierte die Datensammlung
Warum die Daten, die Hyp3r gesammelt hat, so wertvoll sein können, zeigt sich, wenn man sich genauer anschaut, wie die Online-Werbung des Unternehmens funktioniert: Zu den großen Kunden von Hyp3r gehört die weltweit operierende Hotelkette Marriott. So konnten einzelne Marriott-Hotels dank Hyp3r persönlich zugeschnittene Werbung an Instagram-Nutzer schicken, die gerade in ihrem Hotel eingecheckt haben - auch bei der Konkurrenz in derselben Stadt. Woher Marriott so genau über die Hotelgäste Bescheid weiß? Weil Hyp3r deren Instagram Posts und Stories analysierte, die Nutzer aus vorher festgelegten Hotels in der Umgebung veröffentlicht hatten. Gesammelt hat Hyp3r die Daten zunächst über die Programmierschnittstelle.
Ein Werbefilm von Hyp3r zeigt, was das Unternehmen nach eigenen Angaben mit den gesammelten Daten alles möglich machte: In Echtzeit zeigen die Tools von Hyp3r an, dass ein Gast gerade auf der Dachterrasse eines Hotels ein Geburtstags-Selfie mit Freunden geschossen hat. Einen Moment später überreichen Hotelmitarbeiter dem Gast einen Geburtstagskuchen.
Was in dem Werbevideo als freudige Überraschung dargestellt ist, dürfte für viele Menschen tatsächlich eher unangenehm sein. Zwar konnte Hyp3r nur Daten von Nutzern sammeln, die ihren Account nicht in den Einstellungen auf privat gestellt haben. Streng genommen handelt es sich somit um öffentliche Daten, die Hyp3r gesammelt hat, doch tatsächlich posten auf Instagram besonders viele Nutzer über Accounts, die zwar öffentlich gestellt sind, aber nur eine begrenzte Anzahl an Freundinnen und Freunden als Follower haben. Wegen dieses Aufbaus wirkt es auf viele Nutzer, als sei Instagram eher ein privater, höchstens halböffentlicher Raum. Kaum einer dürfte jedenfalls damit gerechnet haben, dass eine externe Firma, massenhaft Daten aus dem eigenen Instagram-Leben sammelt und sie wie im Falle der Stories länger speichert, als sie überhaupt in der App zu sehen sind. Eine explizite Zustimmung zur Datensammlung von Hyp3r haben Nutzende von Instagram nicht gegeben.
Das Problem: Facebook ließ die Datensammlung zu
Doch das Problem liegt nicht allein in der Datengier eines Marketing-Start-ups, sondern auch darin, dass Instagram und sein Mutterkonzern Facebook diese Art der Überwachung seiner Nutzer überhaupt ermöglicht und nicht unterbunden hat.
Bis Instagram mit den jüngsten Rechercheergebnissen konfrontiert wurde, war Hyp3r allerdings ein offizieller "Facebook Marketing Partner". Solche Partnerunternehmen empfiehlt Facebook Unternehmen, die Werbung machen wollen oder Nutzerverhalten analysieren wollen. Diesen Unternehmen macht Facebook wie allen anderen Firmen, die die Marketingtools des sozialen Netzwerks nutzen, tatsächlich gewisse Vorgaben: zum Beispiel dürfen sie keine Nutzerdaten automatisiert sammeln. Dagegen hat Hyp3r offensichtlich verstoßen, auch wenn der Chef des Unternehmens in einem Statement betonte, dass man sich stets an Richtlinien und Datenschutzvorgaben halte.
Allerdings sammelte Hyp3r offenbar schon seit Dezember 2018 mit der nun aufgedeckten Methode Daten über die Standorte von Instagram-Usern. Warum die Aktivitäten nicht vorher auffielen und wie Partnerunternehmen in Zukunft besser kontrolliert werden sollen, bleibt unklar. In der offiziellen Liste der "Facebook Marketing Partner" steht Hyp3r seit heute nicht mehr, viele hundert andere Firmen sind dort weiterhin aufgelistet.
