Judith's WebWi-Lernblog

Die beiden Begriffe „Facebook“ und „Datenschutz“ werden heutzutage immer häufiger in einem Atemzug genannt. Anhand des folgenden Zitats des Autors Kowalsky in seinem Buch „Die Facebook-Blase“ wird die Notwendigkeit dieses Zusammenhangs deutlich:

Immer wieder gibt es Diskussionen über die lückenhaften Datenschutzbestimmungen von Facebook und Beschwerden über die Sammlung der User-Daten. In dieser Ausarbeitung soll auf grundsätzliche Datenschutzverstöße und der Umgang mit den User-Daten bei Facebook eingegangen werden.

User-Daten bei Facebook

Prinzipiell ist der Umgang mit User-Daten bei Facebook in drei Stufen unterteilt: In der untersten Stufe werden alle erfassten Daten, egal woher sie stammen, gesammelt. Auf der darauffolgenden Stufe werden diese Daten veredelt, indem sie mittels geheimer Algorithmen miteinander verknüpft, in Beziehung gesetzt und gruppiert werden. Bis hierher hat der User keinerlei Einsicht oder Einflussnahme. Erst auf der nächsten, der letzten, Stufe kann der User mitbestimmen und seine Privatsphäre-Einstellungen vornehmen. Dies ist bereits dieselbe Stufe, in der auch die Kommunikation mit anderen Usern abläuft. Das heißt:

Daraus kann man ableiten, dass Facebook auch die Daten jener User verwendet, welche eigentlich bewusst mit den Privatsphäre-Einstellungen umgehen und dennoch keinen direkten Einfluss darauf haben, ob ihre Daten für Werbe-Zwecke verwendet werden.

Datenschutzverstöße

Laut den Rechtsexperten Günther Leissler, welcher als Anwalt in einer Kanzlei arbeitet, und Hannes Trettner, der als ao. Universitätsprofessor in Wien und Leiter eines Menschenrechtsinstituts arbeitet, ist das österreichische Datenschutzrecht veraltet.Zudem gilt für österreichische User ebenfalls das deutsche Gesetz. Aus diesen Gründen werde ich hier ausschließlich auf das Gesetz der Bundesrepublik Deutschland eingehen möchte. Welche konkreten Verstöße Facebook gegen die deutschen Datenschutzvorschriften werden im Buch „Datenschutzverstoß als Geschäftsmodell – der Fall Facebook“ von Thilo Weichert sehr gut dargestellt, im Folgenden möchte ich nur einige davon nennen:

1.    Facebook holt nicht die notwendige Einwilligung der Nutzer für die Übermittlung der Daten in Staaten außerhalb der EU oder für das Setzen von Cookies, welche laut deutschem Gesetz notwendig ist, ein. (Verstoß gegen § 4c Abs. 1 Nr. 1 BDSG, Art. 5 Abs. 3 E-Privacy-Richtlinie)

2.    Jene Einwilligungen, die für die Zustimmung der allgemeinen Datenverwendung eingeholt werden, sind nicht gemäß den datenschutzrechtlichen Bestimmungen.(Verstoß gegen § 13 Abs. 2 TMG, § 4a BDSG)

Laut Facebook wird diese Einwilligung bereits bei der Erstellung des Profils mit Klick auf „Registrieren“ eingeholt:

„Wenn du auf „Registrieren“ klickst, akzeptierst du unsere Nutzungsbe­dingungen und erklärst unsere Datenverwendungsrichtlinien sowie Bestimmungen zur Verwendung von Cookies gelesen zu haben.“

Gemäß § 13 Abs. 2 TMG (Telemediengesetz) gibt es jedoch bestimmte Vorschriften für die Formalitäten bei der Einholung einer elektronischen Einwilligung. Demnach musst sichergestellt werden, dass:

(1)  der Nutzer seine Einwilligung bewusst und eindeutig erteilt hat,

(2)  die Einwilligung protokolliert wird,

(3)  der Nutzer den Inhalt der Einwilligung jederzeit abrufen kann und

(4)  der Nutzer die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann.

In allen vier Bereichen gibt es allerdings erhebliche Mängel. Wie bewusst und eindeutig es für einen neuen User ist, dass er den Nutzungsbedingungen mittels Klick auf „Registrieren“ zustimmt, bleibt diskutabel. Zudem ist es fraglich, inwiefern der Nutzer seine Einwilligung widerrufen kann. Bezüglich der Art der erhobenen Daten und dem Zweck der Verwendung, gibt Facebook zwar ansatzweise Informationen bekannt, Auskünfte über die Konsequenzen der Profilerstellung bleiben dem Nutzer jedoch vorenthalten. Eine „Registrierung“ hat demnach nicht die gleiche Wirkung wie eine datenschutzrechtliche Einwilligung.Daraus kann man ableiten, dass Facebook im rechtlichen Sinne nicht dazu befugt ist, Daten von Nutzern zu verwenden.

3.    Die Daten von Dritten werden ohne Einwilligung und gesetzlicher Legitimation verarbeitet. (Verstoß gegen §§ 28, 29 BDSG, §§ 14, 15 TMG)

Facebook sammelt auch Daten auf externen Webseiten (bspw. durch Social Plugins) und hierbei auch jene von Nicht-Facebook-Nutzern. Gemäß § 15 Abs. 3 TMG müssen Facebook-Seitenbetreiber und Betreiber von Webseiten mit Social Plugins, ebenso wie Facebook selbst, deren Besucher über die Erstellung von Nutzungsprofilen informieren. Zusätzlich muss den Besuchern die Möglichkeit gegeben werden, dem zu widersprechen.

4.    Pseudonyme Daten werden nicht von eindeutig zuordenbaren Informationen getrennt. (Verstoß gegen § 15 Abs. 3 TMG)

Facebook versichert, dass die eindeutigen Identifikationsnummern, welche mithilfe von Cookies von externen Webseiten gesammelt werden, mit einheitlichen Nummern überschrieben werden, wodurch die gesammelten Informationen keiner Person eindeutig zugeordnet werden können. Allerdings bleibt verborgen, dass Facebook diese pseudonymen Daten mit den Nutzerprofilen zusammenführt, wodurch die zuvor erstellte „Maskierung“ des Nutzers unwirksam gemacht wird. Durch den Abgleich der Daten kann für jeden Nutzer ein eigenes Interessensprofil erstellt werden.

5.    Wird ein Facebook-Account von einem Nutzer abgeschaltet, werden die Daten nicht ordnungsgemäß gelöscht. (Verstoß gegen § 28 Abs. 1 BDSG)

Als Facebook die Profildarstellung änderte (Timeline), kamen viele Informationen, welche Nutzer eigentlich bereits gelöscht hatten, wieder zum Vorschein. Dadurch wurde offensichtlich, dass für Facebook „löschen“ nicht zwingend auch dasselbe bedeutet.

Auch der Fall eines Jus-Studenten aus Österreich, namens Max Schrems, deckte auf, dass bereits „gelöschte“ Informationen, dennoch weiterhin gespeichert werden. Durch einen juristischen Trick schaffte er es, Facebook dazu zu bringen, ihm alle über ihn gespeicherten Daten auf CD auszuhändigen. Bei der Analyse dieser, musste er feststellen, dass darin Informationen zu finden waren, welche er eigentlich bereits vor Monaten gelöscht hatte.

Diese fünf Verstöße sind allerdings noch bei weitem nicht alle, jedoch ist das Bewusstsein bei den Usern sehr gering. Aus diesem Grund wird in den nächsten Jahren vermutlich nur wenige, aufgrund des mangelnden Schutzes persönlicher Daten, das soziale Netzwerk verlassen.

Quellen:

http://futurezone.at/netzpolitik/3147-oesterreich-hinkt-bei-datenschutz-hinterher.php [10.11.2013]
http://diezukunft.at/?p=1070 [10.11.2013]
http://www.gesetze-im-internet.de/tmg/BJNR017910007.html [10.11.2013]
http://www.gesetze-im-internet.de/bdsg_1990/ [10.11.2013]

Karg, Moritz/Thomsen, Sven (2012): Tracking und Analyse durch Facebook. Das Ende der Unschuld, In: Datenschutz und Datensicherheit - DuD, 36, 10/2012, S. 729-736.

Kowalsky, Marc (2012): Die Facebook-Blase, In: Bilanz, 09/2012, S. 32–43.

Duschanek, Heinz (2012): "Wer braucht schon Facebook!", In: e&i Elektrotechnik und Informationstechnik, 129, 2/2012, S. 79–82.

Bleich, Holger (2011): Des Nutzers neue Kleider. Die Datensammelleidenschaft von Facebook und Google, In: c't - magazin für computer technik, 22/2011, S. 98–101.