Anknüpfend an meine Präsentation vom 11. Juni folgt hier der ausführliche Blog-Entry zum Thema Europe vs. Facebook. Die thematischen und rechtlichen Grundlagen findet ihr in Stephanie Wagner-Bergers Blog.

 

Datenschutz - State of the Art

 

Die letzte größere Umfrage zum Thema Social Networks in Österreich liegt bereits einige Jahre zurück. In der Online-Studie Österreich09.digital.leben.lieben.arbeiten wurden 500 Personen im Juli 2009 zu ihren Nutzunsgewohnheiten und Einschätzungen zum Thema Social Networks befragt (vgl. Q1).

 

Brisanz erhält der Schutz persönlicher Daten in Social Networks besonders dadurch, dass die österreichischen Internet-User immer stärker dort vertreten sind. Laut Statistik Austria verwendeten 2011 bereits 44,8 % der mehr als 5 Millionen User Soziale Netzwerke wie Facebook, Twitter u.a. (vgl. Q2). Und besonders eine Plattform hat es den Österreichern angetan - "Facebook ist die bekannteste und meist genutzte Social Network-Plattform in Österreich." (Q1) Dabei kennen 86 % Facebook und 42 % nutzen die Plattform zumindest gelegentlich (vgl. Q1).

 

Im September 2010 betrug die Zahl der österreichischen Facebook-User bereits über zwei Millionen, wobei das Jahreswachstum seit Anfang 2009 stark anstieg (vgl. Q3). Mit 10.6.2012 waren fast 2,8 Millionen Österreicher auf Facebook registriert (vgl. Q4).

Die österreichischen Social-Network-User sind zwar um den Schutz ihrer persönlichen Daten besorgt, die folgende Grafik zeigt aber, dass weniger als 50 Prozent der Befragten sehr große Nachteile im Bezug auf Datenschutz sehen (vgl. Q1):

Die Gefahr, die durch die uneingeschränkte Datenweiterverwendung im Internet und besonders in Social Networks besteht, scheint sich somit noch nicht völlig in den Köpfen der User verankert zu haben.

 

Facebook und seine Nutzungsbedingungen bzw. Datenverwendungsrichtlinien

 

Die Nutzungsbedingungen (vgl. Q5) sowie die sogenannten Datenverwendungsrichtlinien (vgl. Q6) von Facebook sind online für alle Nutzer einsehbar - so weit, so gut! Allerdings sind diese dermaßen komplex aufgebaut und vage formuliert, dass sich die User aktiv damit auseinandersetzen müssen. Und das schreckt viele dann doch ab!

Wenn man angemeldeter Facebook-User ist, kann man seine Einstellungen in folgenden Menüs ändern, wobei sich diese wieder in zahlreiche Unterpunkte aufteilen:

 

Allgemeine Kontoeinstellungen:

Quelle (10.6.2012)

 

Privatssphäreeinstellungen:

Quelle (10.6.2012)

 

Datensammler Facebook

 

Trotz der Möglichkeit der Einschränkung der Datensichtbarkeit für andere Nutzer, hat man keine Möglichkeit, seine Daten vor Facebook selbst zu verbergen. So ist es Facebook möglich, eine Unmenge an Daten zu sammeln (vgl. Q7: 18). Facebook bestätigt auch selbst, dass das Unternehmen "eine Vielzahl an verschiedenen Informationen über dich" erhält (vgl. Q6). Die TAZ hat in Zusammenarbeit mit Max Schrems (dem Initiator von Europe vs. Facebook) ein kleines "Lehrvideo" zum Thema erstellt:

 

Quelle (10.6.2012)

 

Europe vs. Facebook

 

Bereits im Videobeitrag der TAZ erfuhr man, wie es zur Gründung der Initiative Europe vs. Facebook kam (vgl. Q8). Deren Initiator Max Schrems, seineszeichens Jura-Student, ließ sich seine von Facebook gespeicherten Daten zusenden. Überrascht darüber, dass sich viele bereits vor langer Zeit gelöschte Daten in den PDF-Files befanden, entschloss Schrems sich, etwas dagegen zu unternehmen (vgl. TAZ-Video).

 

Um einen Überblick über die Vorgänge rund um Europe vs. Facebook zu bekommen, empfehle ich folgendes Video:

 

Quelle (10.6.2012)

 

Die Ziele von Europe vs. Facebook lassen sich folgendermaßen definieren:

• Transparenz! Facebook soll klar und einfach erklären, was mit den gesammelten Daten passiert.

• Opt-In statt Opt-Out! Anstatt von vorneherein alle Daten für die Öffentlichkeit preis zu geben, soll der Nutzer die Möglichkeit haben, sich bewusst dafür zu entscheiden.

• Selbst entscheiden!

• Datensparsamkeit! Facebook muss eine effiziente Möglichkeit bereitstellen, um alten Datenmüll entsorgen zu können. Außerdem soll das Unternehmen zur Löschung bestimmter Daten verpflichtet sein.

• Ein offenes Netzwerk! Man soll zwischen verschiedenen Anbietern wählen und quasi "grenzüberschreitend" kommunizieren können. Facebook hat defacto derzeit eine Monopolstellung am Markt  (vgl. Q9).

 

Das Verfahren

 

Die 22 von Europe vs. Facebook eingebrachten Anzeigen beziehen sich sowohl auf irisches als auch europäisches Recht (vgl. Q10). Die Zuständigkeiten ergeben sich aus den Angaben, die Facebook selbst in seinen Nutzungsrichtlinien formuliert:

Wenn du in den USA oder Kanada ortsansässig bist oder dort deinen Hauptgeschäftssitz hast, stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook, Inc. dar. Anderenfalls stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook Ireland Limited dar. (Q5)

Konkret beziehen sich die Anzeigen auf Paragraph 10 des irische Datenschutzgesetzes (Irish DPA, 1988/2003) und die Richtlinie 95/46/EG des europäischen Datenschutzgesetzes (1995) (vgl. Q10; PDFs der Anzeigen).

 

Die Richtlinie 95/46/EG (vgl. Q11) stellt den Bezugstext im Zusammenhang mit dem Schutz personenbezogener Daten auf europäischer Ebene dar. Sie ist der Regelungsrahmen, "der darauf abzielt, ein Gleichgewicht zwischen einem hohen Schutz der Privatsphäre und dem freien Verkehr personenbezogener Daten innerhalb der Europäischen Union (EU) zu schaffen." (Q12) Diese Richtlinie "zielt darauf ab, die Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten durch die Festlegung von Grundprinzipien für die Rechtmäßigkeit dieser Verarbeitungen zu schützen." (Q12) An diesem Statement wird deutlich, dass besonders die (Weiter-)verarbeitung personenbezogener Daten im Vordergrund steht. Weitere Informationen zur Weiterentwicklung dieser Richtlinie findet ihr auf Stephanies Blog.

 

Der Schutz persönlicher Daten auf irischer Ebene wird durch den Irisch Data Protection Act - Section 10 geregelt (vgl. Q13). Zusätzlich gibt es seit 2003 eine Zusatzklausel (vgl. Q14). Sie berechtigen den Data Protection Commissioner dazu, eine Untersuchung einzuleiten, wenn Verletzungen im Bezug auf den DPA vorliegen:

The Commissioner may investigate, or cause to be investigated, whether any of the provisions of this Act have been, are being or are likely to be contravened by a data controller or a data processor, in relation to an individual either where the individual complains to him of a contravention of any of those provisions or he is otherwise of opinion that there may be such a contravention. (Q13)

Max Schrems nahm sich dieses Recht heraus und der Commissioner leitete insgesamt zwei Verfahren gegen Facebook ein: Einerseits ein Betriebsprüfungsverfahren, welches im Dezember 2011 abgeschlossen wurde, andererseits ein Beschwerdeverfahren, das noch anhängig ist (vgl. Q15)

 

Die Anzeigen

 

Europe vs. Facebook hat insgesamt 22 Anzeigen gegen Facebook eingebracht (vgl. Q10). Hier folgt ein kurzer Überblick über die einzelnen Punkte.

 

• Pokes (Anstupsen): Die Daten werden auch nach dem „Entfernen“ nicht gelöscht.

• Schattenprofile: Facebook sammelt Daten, ohne dass Betroffene es bemerken oder dem Ganzen zustimmen. Das betrifft auch Personen, die Facebook NICHT nutzen.

• Markieren: Das Markieren in Beiträgen oder Fotos erfolgt per Opt-In ohne aktive Zustimmung des Nutzers. Nur durch das Entfernen über Opt-Out bzw. generelle Änderungen der Privatsphäreeinstellungen ist eine Änderung möglich.

• Synchronisieren: Durch das Synchronisieren mit Endgeräten, z.B. via Handy-App, werden persönliche Daten ohne Zustimmung des Nutzers "heruntergesaugt".
  

• Gelöschte Postings: Sie bleiben auch nach dem "Entfernen" weiterhin auf Facebook gespeichert.

• Postings auf fremden Seiten: Der User kann nicht herausfinden, wer seine Postings auf fremden Profilseiten sehen kann. Diese Info ist dem Besitzer der Profilseite vorbehalten. Er kann bestimmen, ob "alle" oder nur bestimmte Personen den Beitrag sehen können.

• Messages: Die gesamte direkte Kommunikation wird dauerhaft unlöschbar. Besonders problematisch ist das im Zusammenhang mit Chat-Nachrichten, da es sich hier quasi um "Real-Time-Kommunikation" handelt, bei der man nicht viel darüber nachdenkt, worüber man eigentlich gerade schreibt.

• Datenschutzbestimmungen und Zustimmung: Die Datenschutzbestimmungen sind unklar und vage formuliert. Zum Teil sind sie sogar widersprüchlich. Nach europäischen Standards ist die Zustimmung, die man Facebook bei der Anmeldung zu der Plattform gibt, ungültig. Auch der Fakt, dass die Datenschutzrichtlinien ständig verändert werden und der User meist nicht darüber informiert und um seine Zustimmung gebeten wird, fällt unter diesen Punkt.

• Gesichtserkennung: Die Gesichtserkennung funktioniert mittels Sammlung und Abgleichung biometrischer Daten der User. Das stellt einen unrechtmäßigen Eingriff in die Privatsphäre der User dar. Hinweise und Zustimmung zur Gesichtserkennung fehlen komplett.

• Auskunft mangelhaft: Obwohl Facebook dazu gesetzlich verpflichtet wäre, fehlen viele Daten und Informationen für die User. Auch Max Schrems wurden einige seiner persönlichen Daten verweigert, weil sie unter das Firmengeheimnis fallen würden (vgl. Video: What Facebook knows about you).

• Löschen von Markierungen: Markierungen werden, wie die meisten anderen Daten, nicht gelöscht, sondern nur deaktiviert.

• Datensicherheit: Facebook garantiert in seinen Datenverwendungsrichtlinien NICHT für Datensicherheit. Das kommt einem Freikaufen von jeglicher Verantwortung gegenüber den Usern gleich.

• Gelöschte Freunde: Auch sie bleiben weiterhin auf Facebook gespeichert.

• Anwendungen: Anwendungen stellen ein Dienstleistungsangebot Dritter dar. Facebook weist darauf explizit in seinen Nutzungrichtlinien hin. Die Anbieter von Anwendungen schließen eine Vereinbarung mit Facebook ab, in der sie sich dazu verpflichten, eigene Datenschutzrichtlinien zu erstellen und dem User bereitzustellen sowie nicht gegen Facebooks eigene Datenschutzrichtlinien zu verstoßen (vgl. Q5). Trotzdem entsprechen einige Anwenungen nicht dem europäischen Datenschutzrecht. Bedenklich ist auch, dass Anwendungen von Freunden auf die Daten des Users zugreifen können - obwohl dieser die Anwendung gar nicht selbst verwendet.

• Exzessive Datennutzung: Facebook sammelt unglaubliche Datenmengen als "Host". Die eigene Nutzung dieser Daten ist unbegrenzt und man weiß in vielen Fällen nicht, was mit den Daten passiert.

• Opt-Out: Die Daten werden auf Grundlage von Opt-Out verwendet, und nicht unter "Opt-In", was europäischem Recht entsprechen würde.

• Like Button: Dieser ist nicht datenschutzkonform, da er einem "Ausspionieren" der Nutzer gleichkommt. Die dadurch gewonnenen Daten werden an die werbetreibende Wirtschaft verkauft.

• Plichten als Auftragsverarbeiter: Facebook verletzt seine Pflichten als Auftragsverarbeiter. Nutzerdaten dürfen eigentlich nicht für eigene Zwecke missbraucht werden.

• Privatspähreeinstellungen Bilder: Die User können nur einschränken, wer den Link zu einem Bild sieht. Das Bild ist aber grundsätzlich für jeden abrufbar, der den Link kennt.

• Gelöschte Bilder: Sie bleiben, wie alle anderen Daten, weiterhin gespeichert. Lediglich der Link zum Bild wird gelöscht (und das oft auch erst mit großer Verzögerung).

• Gruppenmitgliedschaft: User können ohne Zustimmung zu Gruppen hinzugefügt werden. Sie müssen, wenn sie nicht bei der Gruppe dabei sein möchten, aktiv austreten.

• Änderung der Datenschutzrichtlinien: Wie bereits erwähnt werden regelmäßig Änderungen vorgenommen, ohne die User darüber zu informieren oder ihre Zustimmung einzuholen (vgl. Q10).

 

Vorläufige Ergebnisse

 

Auf Grundlage des Betriebsprüfungsverfahrens hat die irische Behörde einen Bericht vorgelegt (vgl. Q16). Dieser Bericht sah einige Verbesserungsvorschläge vor, war aber trotzdem besonders unternehmensfreundlich formuliert (was mit ökonomischen Interessen zusammenhängen dürfte). Das hielt Facebook allerdings nicht davon ab, die gesetzten Fristen für die vorgeschlagenen Änderungen zu ignorieren. Europe vs. Facebook hat deshalb eine Anleitung für User eingerichtet, damit sie sich direkt bei der Europäischen Kommission beschweren können (vgl. Q17).

 

Ein (unkonventioneller) Lösungsweg?

 

Ein Ende des "Kampfes" scheint also noch lange nicht in Sicht. Dazu bedarf es meiner Meinung nach einer Änderung der gesetzlichen Bestimmungen und ein wesentlich härteres Durchgreifen gegen große Global Player wie Facebook.

Einen recht unkonventionellen Vorschlag unterbreitete Lori Andrews in ihrem Buch "I Know Who You Are And I Saw What You Did." (vgl. Q18). Sie plädiert dafür, Facebook als eine Art Nation zu sehen. Das klingt im ersten Moment sehr weit her geholt. Wenn man sich aber Folgendes verdeutlicht, ergibt ihre Theorie durchaus Sinn:

Facebook has the power and reach of a nation. With more than 750 million members, Facebook’s population would make it the third largest nation in the world. (Q7: 3)

Andrews ist Einwohnerin der USA und tritt für ein Pendant der amerikanischen Verfassung für Social Networks ein. Ihre Social Network Constitution beginnt dann auch etwas pathetisch mit den Worten "We The People of the Facebook Nation..." (vgl. Q7: 189-191) Weniger hochgestochen definiert sie 10 Rechte, die uns als Facebook-Nutzern garantiert sein müssen:

1. The Right to Connect.

2. The Right to Free Speech and Freedom of Expression.

3. The Right to Privacy of Place and Information.

4. The Right to Privacy of Thougths, Emotions and Sentiments.

5. The Right to Control One's Image.

6. The Right to Fair Trial.

7. The Right to an Untainted Jury.

8. The Right to Due Process of Law and the Right to Notice.

9. Freedom from Discrimination.

10. Freedom of Associaton. (Q7)

 

Vielleicht bietet dieser idealistische Ansatz das Modell der Zukunft, um die Gefahr des Datenmissbrauchs in Sozialen Netzwerken zu bewältigen.

 

Fazit

 

Beim Kampf David vs. Goliath - also Jura-Student vs. Facebook - scheint derzeit noch kein Ende in Sicht. Bis sich die rechtliche Basis für Facebook ändert, lege ich allen Usern des Netzwerkes besondere Vorsicht in der Freigabe ihrer persönlichen Daten ans Herz. Um sich über die aktuellen Vorgänge bezüglich Datenschutz und Nutzungsbedingungen auf dem Laufenden zu halten, empfehle ich Facebooks eigene Governance-Site zu dem Thema (vgl. Q19). Anders ist es kaum noch möglich, den vielen kurzfristigen und unangekündigten Änderungen auf der Social-Networking-Plattform zu folgen. Daneben ist ein Besuch der Europe vs. Facebook-Homepage ein Muss, da dort auf neue Missstände und Möglichkeiten des Protests hingewiesen wird (vgl. Q8).

 

Weiterführende Links

EFF: Facebooks Eroding Privacy Policy

FAZ: Facebook führ neue Nutzungsbedingungen ein

Die Presse: Irische Behörde kritisiert neue Facebook-Richtlinie

Wikipedia: Facebook

 

Quellen

 

Q1: Mobilkom/marketmind: Onlinestudie Österreich09.digital.leben.lieben.arbeiten

Q2: Statistik Austria: Tabelle - Private Zwecke der Internetnutzung

Q3: Thomas Hutter: Infografik Facebook per September 2010

Q4: Digital Affairs: Facebook Userzahlen

Q5: Facebook: Nutzungsbedingungen

Q6: Facebook: Datenverwendungsrichtlinien

Q7: Andrews, Lori (2012): I Know Who You Are And I Saw What You Did. Social Networks and the Death of Privacy. New York: Free Press.

Q8: Europe vs. Facebook

Q9: Europe vs. Facebook: Ziele

Q10: Europe vs. Facebook: Verfahren

Q11: EUR-Lex: Richtlinie 95/46/EG

Q12: EU: Schutz von personenbezogenen Daten

Q13: Irish Statute Book: Data Protection Act 1988

Q14: Irish Statute Book: Data Protection (Amendment) Act 2003

Q15: Futurezone: Bericht zum Verfahren

Q16: Irisch Data Commission: Bericht Betriebsprüfungsverfahren

Q17: Europe vs. Facebook: Anleitung zur Beschwerde bei der EU

Q18: Lori Andrews: Blog zum Buch "I Know Who You Are And I Saw What You Did"

Q19: Facebook: Facebook Site Governance

 

Alle Links wurden zuletzt am 16. Juni 2012 aufgerufen.

Hier findet ihr meine Präsentation zum Thema "Datenschutz in Sozialen Netzwerken"! Ein ausführlicher Blog-Entry folgt in den nächsten Tagen.

 

Als kleiner Tipp: Die Videos könnt ihr aufrufen, indem ihr auf die Bilder in der Präsentation klickt - ihr werdet dann auf YouTube weitergeleitet.

 

 

Barcode-Scanner als Mobile Social Commerce Application

 

Mobile Social Commerce hat viele unterschiedliche Ausprägungen (vgl. Q1) - einige davon basieren auf sogenannten Barcode-Scannern. Dabei wird mit dem Handy der Barcode eines Produkts fotografiert und im Anschluss daran z.B. ein Preisvergleich mit anderen Händlern durchgeführt. Ein klassisches Beispiel, das besonderen Wert auf die "soziale" Komponente legt, ist MyShopanion. Hier kann man sich mittels Barcode-Scan Meinungen seiner Freunde zum gescannten Produkt einholen. (vgl. Q1)

 

Einer der bekanntesten Anbieter hierzulande ist "barcoo". Laut deren Homepage erhält man durch die Handy-App "Preisvergleiche, Testberichte, Öko- und Gesundheitsinformationen" - und das alles schnell und einfach. (vgl. Q2)

 

Wo bleibt der Datenschutz?

 

Klingt soweit ganz gut und sinnvoll. Immerhin spart man sich so den ein oder anderen Euro - in Zeiten der Wirtschaftskrise soll es Schlimmeres geben.

Aber leider gibt es auch hier wieder einen Haken: Die Anbieter dieser Services wollen natürlich auch Geld verdienen. Und wie würde das besser gehen, als einfach unsere Daten an die Händler weiterzureichen, die dann unser Einkaufsverhalten bis ins letzte Detail studieren können?

Lori Andrews bringt es in ihrem Buch "I Know Who You Are And I Saw What You Did" (vgl. Q3) auf den Punkt:

But without our knowledge or consent, virtually every entry we make on a social network or other website is surreptitiously being tracked and assessed. The information is just as sensitive [Anm. wie im realen Leben]. The harms are just as real. But the law is not as protective. (vgl. Q4)

 

Ein Beispiel - ShopSavvy und TapMap

 

Wie eine Synergie im Bereich BarcodeScanner und Data Aggregation in der Praxis aussieht, zeigen ShopSavvy und TapMap. Shop Savvy ist ein Barcode Scanner und QR Code (vgl. Q5) Reader für Endverbraucher:

Find the right product at the best price! Now the fastest, most accurate and most comprehensive scanner around. It won’t find everything in the world, but it is close. Now you can be savvy when you shop! (vgl. Q6)

Wenn man genauer recherchiert, landet man schließlich auf der Website von TapMap (vgl. Q7) - ein Unternehmen für Datenaggregation, welches auf die Userdaten von ShopSavvy zurückgreift und sie an Händler weiterverkauft.

As consumers search and scan products, TapMap collects, processes and generates retailer reports for immediate access. Track minute-by-minute, hour-by-hour and day-by-day the buying trends for one product or your entire stock for crucial analysis to manage your inventory, price points and business decisions. Reports and information are available to retailers on their own secure server. (vgl. Q8)

 

Im folgenden Video spricht Philip McNamara (CEO TapMap) über die Funktionsweise von TapMap:

 

Quelle (15.5.2012)

 

Fazit

 

Barcode-Scanner wirken zunächst äußerst praktisch. Man "scannt" das gewünschte Produkt und erhält sofort eine Fülle von Informationen auf dem Handy.

Diese Services sind aber mit Vorsicht zu genießen: Immerhin können sie unser Einkaufsverhalten dokumentieren und die gesammelten Informationen an Händler weiterverkaufen. Der Datenschutz bleibt dabei komplett auf der Strecke - viele Nutzer wissen nicht einmal, dass ihre Informationen weitergegeben werden. Auch in der App-Information von ShopSavvy findet sich kein Hinweis darauf (vgl. Q5). Um das zukünftig zu verhindern, sollten Anbieter verpflichtet werden, Datenweitergabe entweder offenzulegen (und nicht nur als Kleingedrucktes in den AGBs) oder komplett einzustellen.

 

Quellen

 

Q1: Berkowitz, David: The Seven Types of Mobile Social Commerce.

Q2: Barcoo Website

Q3: NY-Times Review zu Lori Andrews "I Know Who You Are and I Saw What You Did. Soial Networks and the Death of Privacy"

Q4: Andrews, Lori (2012): I Know Who You Are and I Saw What You Did. Soial Networks and the Death of Privacy. New York: Free Press.

Q5: TU-Graz: QR-Codes

Q5: ShopSavvy IPhone-App

Q6: Tap Map

Q7: TapMap Funktionsweise 

 

Alle Links wurden zuletzt am 15. Mai 2012 aufgerufen.