Wie das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) im 6. Tätigkeitsbericht für den Zeitraum 2013/2014 feststellt, riskieren Unternehmen, die das Facebook Tool „Custom Audiences“ einsetzen hohe Bußgelder.
UNGEEIGNETER ALGORITHMUS
Bei Custom Audiences wird das bekannte MD5-Verfahren als Algorithmus eingesetzt. Dieses wird jedoch grundsätzlich aufgrund seiner effizienten Berechnung als unbrauchbar für Anonymisierungsverfahren eingestuft. Wenn beispielsweise ursprüngliche Klartexteigenschaften von MD5-gehashten Werten berücksichtigt werden, kann dadurch eine Brute-Force Attacke deutlich beschleunigt werden.
HASHWERTE SCHNELL ZURÜCKGERECHNET
Wie es im Tätigkeitsbericht heißt:
„E-Mail-Adressen bestehen oftmals aus Vornamen, Nachname, Punkten und Zahlen und sind dabei aufgrund einer statistischen Verteilung häufig bei wenigen E-Mail-Providern zu finden. Diese Annahme zu Grunde gelegt, gehen wir (…) davon aus, dass mindestens 70% bis 80% aller Hashwerte, die aus E-Mail-Adressen bestehen, von handelsüblichen PCs ohne größeren Aufwand zurückgerechnet werden können.“
Bei Telefonnummern wird sogar davon ausgegangen, dass dies für weit über 90% aller Hashwerte gilt!
OHNE EINWILLIGUNG GEHT NICHTS!
Somit wäre es Facebook natürlich möglich mit sehr geringem Aufwand die Hashwerte in den allermeisten Fällen zurückzurechnen, was dann auch Nicht-Facebook-Nutzer betreffen würde. Es scheitert also wie so oft an einer Einwilligung der Betroffenen, deren Daten im Rahmen von „Custom Audiences“ an Facebook übertragen werden. Da diese im Normalfall nicht vorliegt – und es sich wohl nahezu unmöglich realisieren lässt dies lückenlos sicherzustellen – muss von der Verwendung dieses Facebook Tools abgeraten werden. Der Einsatz ohne diese Einwilligung ist entsprechend rechtswidrig und wird auch mit Bußgeldern bestraft.