Die irische Datenschutzkommission hat am Nachmittag einen 149-seitigen Untersuchungsbericht von Facebook Ireland veröffentlicht. Facebooks Hauptqaurtier in Dublin ist zuständig für das weltweite operative Geschäft des Sozialen Netzwerks außerhalb der USA und von Kanada. Bei dem Verfahren handelte es sich nach eigener Aussage um die umfangreichste Untersuchung, die jemals von der Behörde durchgeführt wurde.

Vorgeschichte

Was mit den Anzeigen eines Wiener Studenten begann, entwickelte sich bald zu einer Lawine, deren Eigendynamik selbst Facebook überrascht haben dürfte. Nachdem Max Schrems von der Initiative Europe vs. Facebook herausgefunden hatte, dass Facebook nach EU-Recht dazu verpflichtet ist, jedem Nutzer binnen 40 Tagen Auskunft über die über ihn gespeicherten Daten zu erteilen, wurde Facebook mit Anfragen gerade zu bombardiert. In dem Untersuchungs-Bericht ist die Rede von rund 40.000 Anfragen binnen weniger Wochen. Zu viel für das Unternehmen, um die vorgeschriebenen Fristen einhalten zu können.

Angesichts dieses Ansturms hatte Facebook das Verfahren umgestellt, einzelnen Nutzern eine CD-ROM mit seinen Daten zuzuschicken, und stattdessen die Möglichkeit eingeräumt, Datensätze per Download-Funktion selbstständig online abzufragen. „Reine Verarsche“, sagt Max Schrems, denn auf diesem Weg erhalte man lediglich einen Bruchteil der tatsächlich gespeicherten Datensätze. Facebook wolle seine User nur abspeisen und für dumm verkaufen.

Ich habe mich mit Max Schrems letzte Woche in Wien getroffen

 

Die Entstehung des Berichts

Das Verfahren, das Max Schrems in Gang gebracht hatte, ist für Irland eine delikate Angelegenheit. Zum einen betont der Bericht die Bedeutung des Standortfaktors Irland als Hauptquartier für die weltweiten Geschäfte von Facebook. Zum anderen sahen sich die Beamten aber gezwungen, den rund 600 Datenschutzbeschwerden nachzugehen, die in der Behörde eingegangenen waren.

Die dem Bericht zugrundeliegende Vor-Ort-Untersuchung in den Geschäftsräumen von Facebook Irland hat an 6 Tagen im Oktober, November und Dezember stattgefunden. Es wird betont, dass Facebook uneingeschränkt mit der Behörde kooperiert habe. Anwesend seien dabei auch einige Vertreter von Facebook Inc. aus Palo Alto gewesen. Entgegen der sonst üblichen Praxis habe Facebook ausdrücklich zugestimmt, den Untersuchungsbericht zu veröffentlichen.

Wissenswertes über Facebook Irland

Facebook beschäftigt in Dublin rund 400 Mitarbeiter. Die meisten davon gehören zur Abteilung „User Operations“, ein international zusammengewürfeltes Team, das u.a. dafür sorgt, dass die Plattform in den jeweiligen Ländern reibungslos läuft und um Beschwerden nachzugehen. Das „Intellectual Property Team“ gehe Copyright-Verstößen nach (im Schnitt 60 Anzeigen täglich). Ein Monitoring-Tool überwache selbständig den Datenstrom nach verbotenen Inhalten, z.B. Kinderpornographie. Das „Inspection Team“ kümmere sich um Fake-Accounts. Der Bericht listet auch die Schulungen auf, die ein Facebook-Mitarbeiter in Irland durchlaufen muss, darunter ein Kurs mit dem Titel „Confidentiality, Respect and Ethics at Facebook“.

Third-Party-Apps: Per default auf Weitergabe der Nutzerdaten gestellt

Die Weitergabe von Daten ist Programm

Der Bericht befasst sich detailliert mit Datenschutz-relevanten Fragen der Facebook-Seiten. So wird beispielsweise explizit darauf hingewiesen, dass die Voreinstellungen für Third-Party-Apps (Spiele, Quizes etc.) ab Werk so programmiert sind, dass sie nahezu das vollständige Profil eines Nutzers für externe Anbieter freigeben. Will heißen: Informationen wie Geburtstag, Familienstand, Status-Updates, besuchte Links, Fotos, Videos etc. werden an Dritte automatisch weitergereicht.

Das gelte auch für die sog. „Instant Personalization“, das heisst: ist ein Facebook-User eingeloggt, werden gewisse Daten an Facebook-Partnerseiten weitergegeben, ohne dass das der Nutzer mitbekommt. Auch diese Funktion sei ab Werk „scharf“ geschaltet und müsse nachträglich vom Nutzer deaktiviert werden.

Jede Menge Empfehlungen…

Der Bericht listet eine Reihe von Punkten auf, die ausdrücklich als „Recommendations“ bezeichnet werden, also Empfehlungen. Zu diesen „Empfehlungen“ gehören ganz allgemein etwa:

  • eine verständlichere Datenschutzerklärung
  • eine prominentere Platzierung der Datenschutzinformationen
  • verbesserte Auswahlmöglichkeiten für den Nutzer anhand dieser Informationen

In Bezug auf die Weitergabe von Daten an Werbetreibende, „empfiehlt“ die Behörde folgende Verbesserungen:

  • Mehr Transparenz im Umgang mit Nutzer-Targeting durch Werbetreibende
  • Kein Anhäufen von Daten durch Social Plugins für Targeting
  • Social Ads-Einstellungen zusammen mit Privacy Einstellungen auflisten
  • Keine Weitergabe von Fotos und anderen Daten an Drittanbieter ohne ausdrückliche Zustimmung
  • Keine zeitlich unbegrenzte Speicherung von geklickten Werbeanzeigen

 

Nur die Spitze des Datenbergs

Was das Ausmaß der Daten betrifft, die Facebook über seine User (und nicht-User!) ansammelt ist beträchtlich. Die irische Datenschutzkommission schreibt dazu wörtlich:

„As outlined elsewhere, the sheer size of Facebook and FB-I and the consequent complexity of user data held is a significant issue.“

Die Behörde betont, dass Facebook dazu verpflichtet sei, sich an das geltende Recht zu halten und den Nutzern fristgerecht die über sie gespeicherten Daten zur Verfügung zu stellen.

Hierzu schreibt die Behörde:

„Therefore, either the data must be available on the requester’s profile page, their activity log, which is a feature of the new user Timeline, or via the download tool. From a transparency perspective, it is desirable that most, and ideally all, of a user’s data should be available without having to make a formal request. FB-I therefore will be implementing a number of enhancements to the activity log to provide users with access to and control over information about them.“

Dazu die „Empfehlung“ der irischen Datenschutzkommission:

Daten, die zur Identifizierung einer Person beitragen, sind dem Nutzer fristgerecht zu liefern – sprich: Facebook muss den über 40.000 Nutzern, die eine Kopie der Datensätze verlangt haben, sämtliche relevanten Daten herausgeben. Inklusive Gesichtserkennungsdaten und allen anderen im Hintergrund gespeicherten Daten.

Im Weiteren befasst dich die Behörde sehr ausführlich mit der Anhäufung von User-Daten durch Social-Plug-Ins, dem Taggen, Poken oder dem Einladen zu Gruppen. Folgende „Empfehlungen“ werden dazu ausgesprochen:

  • Nutzer müssen besser über die Konsequenzen dieser Anwendungen aufgeklärt werden
  • Nutzer sollen in die Lage versetzt werden, Markierungen vollständig löschen zu können
  • Daten müssen gelöscht werden, wenn sich der Grund für die Erteilung dieser Erlaubnis, erübrigt hat
  • Facebook muss seinen Nutzern besser erklären, dass auch Browser-Einstellungen, Orte und Gerätedaten des Unsers gespeichert werden
  • Die Datennutzung von „Social Plug-Ins“ wie zB. der „Like-Button“ darf nur mehr sehr eingeschränkt vorgenommen werden. „Tracking“ von Nutzern mittels des „Like-Buttons“ darf nicht (mehr) vorgenommen werden
  • Von IP-Adressen welche via Social-Plugins gesammelt werden müssen die letzten die Zahlen gelöscht werden
  • Die Nutzer müssen eine Möglichkeit erhalten Daten wirklich zu „löschen“. Bisher wurden gelöschte Daten weiter von Facebook behalten
  • Eingaben im „Suche“-Feld auf Facebook müssen nach maximal 6 Monaten gelöscht werden
  • Nutzer müssen mehr Kontrolle über Einladungen zu Gruppen erhalten

Was den letzten Punkt betrifft, hat sich Facebook Irland ausdrücklich dazu bereit erklärt, die Möglichkeit zu überarbeiten, dass man Mitglied einer Gruppe werden kann, ohne hierzu seine Zustimmung gegeben zu haben.

Große Datenschutz-Probleme sieht die irische Behörde in Facebooks Umgang mit sog. Third-Party-Apps. Die Liste der „Empfehlungen“ sieht vor:

  • Nutzer müssen ausreichend über die Weitergabe ihrer Daten an Drittanbieter aufgeklärt werden
  • Die Informationen über die Datenschutzrichtlinien bzgl. Third-Party-Apps müssen deutlicher hervorgehoben werden
  • Die Erlaubnis an eine App, auf Nutzerdaten zugreifen zu können, darf nicht von einer anderen App desselben Anbieters übernommen werden

Gesichtserkennung

Im Zusammenhang mit der automatisierten Gesichtserkennung bzw. der Möglichkeit, dass Nutzer von Dritten getagt werden können, moniert die Datenschutzkommission lediglich das Versäumnis von Facebook, die Funktion freigeschaltet zu haben, ohne die Nutzer rechtzeitig über diese Neuerung aufgeklärt zu haben.

Interessanterweise sehen sich die Iren darüber hinaus nicht genötigt, in diesem Punkt weitere Schritte zu unternehmen, da das irische aber auch EU-Datenschutzrecht den Umgang mit biometrischen Daten offenbar nicht näher regelt:

„Biometric data are not among the data categories given special protection in the Irish Data Protection Acts or in the EU Data Protection Directive. Our consideration of this issue must also have regard to case law23 in Ireland regarding the use of biometrics. This case law has not considered that the processing of biometric data requires explicit consent.“

Löschen heißt Löschen – endgültig!

Was das Löschen von Nutzerkonten betrifft, so „empfiehlt“ die Behörde nachdrücklich, dass es für den Nutzer möglich sein muss, sein Konto und seine Daten unmissverständlich und vollständig löschen lassen zu können. Und das binnen einer Frist von 40 Tagen. Facebook habe erklärt, an „Möglichkeiten“ zu arbeiten, dieser Anforderung „in einer akzeptablen Weise“ nachzukommen.

Fazit

Die irische Datenschutzkommission will die Verbesserungsanstrengungen seitens der Firma gemäß der o.g. „Empfehlungen“ im Juli 2012 überprüfen und somit Facebook dazu bewegen, den Datenschutz seiner Nutzer in Zukunft ernster zu nehmen.

Die Reaktion von „Europe vs. Facebook“

Max Schrems, der Initiator von „Europe vs. Facebook“, zeigt sich in einer ersten Reaktion zufrieden. Die Ergebnisse des Berichts deckten sich über weite Strecken mit den von ihm angezeigten Vergehen gegen den Europäischen Datenschutz, so der 24jährige in einer Erklärung. „Wir sind überaus glücklich über diesen ersten Schritt.“ Gleichzeitig weist er aber darauf hin, dass der Untersuchungsbericht in Zusammenarbeit mit Facebook verfasst worden und daher nicht als unparteiisch zu betrachten sei. In den letzten Tagen habe es massive Verhandlungen zwischen Facebook und der Behörde. gegeben, um sich auf einen gemeinsamen Berichtzu einigen.

Die Reaktion von Facebook

Facebook selbst reagiert auf den Bericht, der mit Zustimmung von Facebook veröffentlicht wurde, erwartungsgemäß positiv. Die deutsche Pressestelle erklärte am Nachmittag: „Selbstverständlich hebt der Bericht auch einige Bereiche hervor, in denen wir uns noch verbessern und mit Best Practicses vorangehen können – aber dieses Empfehlungen basieren auf bereits bestehendem Datenschutz und Regelkonformität.“ Facebook habe sich dazu verpflichtet, andere vorgeschlagene „Best Practice“-Lösungen entweder zu implementieren oder in Betracht zu ziehen. „Um diesen Verpflichtungen nachzukommen, wird in den nächsten sechs Monaten intensive Arbeit auf uns zukommen.“

Links:

Webseite der irischen Datenschutzbehörde

Original-Bericht der irischen Datenschutzkommission zum Download (PDF)

Eure Meinung?

Hat Ihnen der Beitrag gefallen?
Bitte unterstützen Sie mein Blog mit einer Spende.

Schreibe einen Kommentar zu Richard Gutjahr Antworten abbrechen

Ihre E-Mail-Adresse wird nicht veröffentlicht. Notwendige Felder sind mit * markiert.

23 Kommentare
  1. Petra K schreibt:

    Meine Meinung….
    Eine Empfehlung hat überhaupt keine Bedeutung. Sie verpflichtet zu nichts und ist für niemanden verbindlich.
    Da wurde viel Arbeit (und Geld) investiert und es kam nicht mehr als eine EMPFEHLUNG heraus? Wer bezahlt das?
    Was diese Empfehlung wirklich wert ist, wird sich erst in den nächsten Monaten zeigen. Das als Fortschritt oder Durchbruch zu betrachten empfinde ich als übertrieben.

    • Richard Gutjahr schreibt:

      Liebe Petra – ja, ich verstehe das alles auch nur als Anregung. Sollte sich Facebook nicht an die „Empfehlungen“ halten, droht höchstens eine Geldstrafe, die FB aus der Portokasse zahlen könnte. Ich bin kein Jurist, aber ich denke, Du liegst mit Deiner Bewertung nicht gänzlich daneben.

  2. Joachim schreibt:

    Vielen Dank für die umfassende Zusammenfassung und das Durcharbeiten des Originalberichts.

    Zur Tatsache, dass die Behörde den Bericht mit Facebook abgestimmt hat, eine kurze Anmerkung. Das muss grundsätzlich nicht schlecht sein, da es gemeinsam am Tisch meist besser geht. Denn wer hat etwas davon, dass eine Seite den dicken Max macht. Niemand. Die Behörde nicht, Facebook nicht und die Anwender letztendlich auch nicht.

    Ich bin kein Jurist und weiß auch nicht, welche Möglichkeiten die irischen Behörden haben, aber eine „Empfehlung“ mit einem gewissen Nachdruck hat auch Wirkung.

    Einige kritisch Themen sind aufgelistet und es wird erwartet, dass FB sie bis zum Sommer umgesetzt hat. Wenn FB bis dahin nichts gemacht hat und sich auf den Standpunkt stellt, uns kann keiner etwas, dann wird es sicherlich anders zugehen. Dann wird die Behörde dies sicherlich wieder anprangern, die entsprechenden Interessensgruppen werden aktiv und damit hat FB wieder schlechte Presse.

    Der Bericht ist da und für jeden zugänglich. FB hat viele Fettnäpfe erfolgreich getroffen und muss (langsam aber sicher) wieder ein positiveres Image aufbauen.

    Insofern ist das der erste Schritt. Ob FB klüger handeln wird, wir werden sehen.

    • Richard Gutjahr schreibt:

      Dass Facebook an dem Bericht mitgearbeitet hat, ist okay, so lange das auch transparent gemacht wird. Der Bericht verschweigt das nicht, insofern völlig okay.

Willkommen!