Anknüpfend an meine Präsentation vom 11. Juni folgt hier der ausführliche Blog-Entry zum Thema Europe vs. Facebook. Die thematischen und rechtlichen Grundlagen findet ihr in Stephanie Wagner-Bergers Blog.

 

Datenschutz - State of the Art

 

Die letzte größere Umfrage zum Thema Social Networks in Österreich liegt bereits einige Jahre zurück. In der Online-Studie Österreich09.digital.leben.lieben.arbeiten wurden 500 Personen im Juli 2009 zu ihren Nutzunsgewohnheiten und Einschätzungen zum Thema Social Networks befragt (vgl. Q1).

 

Brisanz erhält der Schutz persönlicher Daten in Social Networks besonders dadurch, dass die österreichischen Internet-User immer stärker dort vertreten sind. Laut Statistik Austria verwendeten 2011 bereits 44,8 % der mehr als 5 Millionen User Soziale Netzwerke wie Facebook, Twitter u.a. (vgl. Q2). Und besonders eine Plattform hat es den Österreichern angetan - "Facebook ist die bekannteste und meist genutzte Social Network-Plattform in Österreich." (Q1) Dabei kennen 86 % Facebook und 42 % nutzen die Plattform zumindest gelegentlich (vgl. Q1).

 

Im September 2010 betrug die Zahl der österreichischen Facebook-User bereits über zwei Millionen, wobei das Jahreswachstum seit Anfang 2009 stark anstieg (vgl. Q3). Mit 10.6.2012 waren fast 2,8 Millionen Österreicher auf Facebook registriert (vgl. Q4).

Die österreichischen Social-Network-User sind zwar um den Schutz ihrer persönlichen Daten besorgt, die folgende Grafik zeigt aber, dass weniger als 50 Prozent der Befragten sehr große Nachteile im Bezug auf Datenschutz sehen (vgl. Q1):

Die Gefahr, die durch die uneingeschränkte Datenweiterverwendung im Internet und besonders in Social Networks besteht, scheint sich somit noch nicht völlig in den Köpfen der User verankert zu haben.

 

Facebook und seine Nutzungsbedingungen bzw. Datenverwendungsrichtlinien

 

Die Nutzungsbedingungen (vgl. Q5) sowie die sogenannten Datenverwendungsrichtlinien (vgl. Q6) von Facebook sind online für alle Nutzer einsehbar - so weit, so gut! Allerdings sind diese dermaßen komplex aufgebaut und vage formuliert, dass sich die User aktiv damit auseinandersetzen müssen. Und das schreckt viele dann doch ab!

Wenn man angemeldeter Facebook-User ist, kann man seine Einstellungen in folgenden Menüs ändern, wobei sich diese wieder in zahlreiche Unterpunkte aufteilen:

 

Allgemeine Kontoeinstellungen:

Quelle (10.6.2012)

 

Privatssphäreeinstellungen:

Quelle (10.6.2012)

 

Datensammler Facebook

 

Trotz der Möglichkeit der Einschränkung der Datensichtbarkeit für andere Nutzer, hat man keine Möglichkeit, seine Daten vor Facebook selbst zu verbergen. So ist es Facebook möglich, eine Unmenge an Daten zu sammeln (vgl. Q7: 18). Facebook bestätigt auch selbst, dass das Unternehmen "eine Vielzahl an verschiedenen Informationen über dich" erhält (vgl. Q6). Die TAZ hat in Zusammenarbeit mit Max Schrems (dem Initiator von Europe vs. Facebook) ein kleines "Lehrvideo" zum Thema erstellt:

 

Quelle (10.6.2012)

 

Europe vs. Facebook

 

Bereits im Videobeitrag der TAZ erfuhr man, wie es zur Gründung der Initiative Europe vs. Facebook kam (vgl. Q8). Deren Initiator Max Schrems, seineszeichens Jura-Student, ließ sich seine von Facebook gespeicherten Daten zusenden. Überrascht darüber, dass sich viele bereits vor langer Zeit gelöschte Daten in den PDF-Files befanden, entschloss Schrems sich, etwas dagegen zu unternehmen (vgl. TAZ-Video).

 

Um einen Überblick über die Vorgänge rund um Europe vs. Facebook zu bekommen, empfehle ich folgendes Video:

 

Quelle (10.6.2012)

 

Die Ziele von Europe vs. Facebook lassen sich folgendermaßen definieren:

• Transparenz! Facebook soll klar und einfach erklären, was mit den gesammelten Daten passiert.

• Opt-In statt Opt-Out! Anstatt von vorneherein alle Daten für die Öffentlichkeit preis zu geben, soll der Nutzer die Möglichkeit haben, sich bewusst dafür zu entscheiden.

• Selbst entscheiden!

• Datensparsamkeit! Facebook muss eine effiziente Möglichkeit bereitstellen, um alten Datenmüll entsorgen zu können. Außerdem soll das Unternehmen zur Löschung bestimmter Daten verpflichtet sein.

• Ein offenes Netzwerk! Man soll zwischen verschiedenen Anbietern wählen und quasi "grenzüberschreitend" kommunizieren können. Facebook hat defacto derzeit eine Monopolstellung am Markt  (vgl. Q9).

 

Das Verfahren

 

Die 22 von Europe vs. Facebook eingebrachten Anzeigen beziehen sich sowohl auf irisches als auch europäisches Recht (vgl. Q10). Die Zuständigkeiten ergeben sich aus den Angaben, die Facebook selbst in seinen Nutzungsrichtlinien formuliert:

Wenn du in den USA oder Kanada ortsansässig bist oder dort deinen Hauptgeschäftssitz hast, stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook, Inc. dar. Anderenfalls stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook Ireland Limited dar. (Q5)

Konkret beziehen sich die Anzeigen auf Paragraph 10 des irische Datenschutzgesetzes (Irish DPA, 1988/2003) und die Richtlinie 95/46/EG des europäischen Datenschutzgesetzes (1995) (vgl. Q10; PDFs der Anzeigen).

 

Die Richtlinie 95/46/EG (vgl. Q11) stellt den Bezugstext im Zusammenhang mit dem Schutz personenbezogener Daten auf europäischer Ebene dar. Sie ist der Regelungsrahmen, "der darauf abzielt, ein Gleichgewicht zwischen einem hohen Schutz der Privatsphäre und dem freien Verkehr personenbezogener Daten innerhalb der Europäischen Union (EU) zu schaffen." (Q12) Diese Richtlinie "zielt darauf ab, die Rechte und Freiheiten von Personen bei der Verarbeitung personenbezogener Daten durch die Festlegung von Grundprinzipien für die Rechtmäßigkeit dieser Verarbeitungen zu schützen." (Q12) An diesem Statement wird deutlich, dass besonders die (Weiter-)verarbeitung personenbezogener Daten im Vordergrund steht. Weitere Informationen zur Weiterentwicklung dieser Richtlinie findet ihr auf Stephanies Blog.

 

Der Schutz persönlicher Daten auf irischer Ebene wird durch den Irisch Data Protection Act - Section 10 geregelt (vgl. Q13). Zusätzlich gibt es seit 2003 eine Zusatzklausel (vgl. Q14). Sie berechtigen den Data Protection Commissioner dazu, eine Untersuchung einzuleiten, wenn Verletzungen im Bezug auf den DPA vorliegen:

The Commissioner may investigate, or cause to be investigated, whether any of the provisions of this Act have been, are being or are likely to be contravened by a data controller or a data processor, in relation to an individual either where the individual complains to him of a contravention of any of those provisions or he is otherwise of opinion that there may be such a contravention. (Q13)

Max Schrems nahm sich dieses Recht heraus und der Commissioner leitete insgesamt zwei Verfahren gegen Facebook ein: Einerseits ein Betriebsprüfungsverfahren, welches im Dezember 2011 abgeschlossen wurde, andererseits ein Beschwerdeverfahren, das noch anhängig ist (vgl. Q15)

 

Die Anzeigen

 

Europe vs. Facebook hat insgesamt 22 Anzeigen gegen Facebook eingebracht (vgl. Q10). Hier folgt ein kurzer Überblick über die einzelnen Punkte.

 

• Pokes (Anstupsen): Die Daten werden auch nach dem „Entfernen“ nicht gelöscht.

• Schattenprofile: Facebook sammelt Daten, ohne dass Betroffene es bemerken oder dem Ganzen zustimmen. Das betrifft auch Personen, die Facebook NICHT nutzen.

• Markieren: Das Markieren in Beiträgen oder Fotos erfolgt per Opt-In ohne aktive Zustimmung des Nutzers. Nur durch das Entfernen über Opt-Out bzw. generelle Änderungen der Privatsphäreeinstellungen ist eine Änderung möglich.

• Synchronisieren: Durch das Synchronisieren mit Endgeräten, z.B. via Handy-App, werden persönliche Daten ohne Zustimmung des Nutzers "heruntergesaugt".
  

• Gelöschte Postings: Sie bleiben auch nach dem "Entfernen" weiterhin auf Facebook gespeichert.

• Postings auf fremden Seiten: Der User kann nicht herausfinden, wer seine Postings auf fremden Profilseiten sehen kann. Diese Info ist dem Besitzer der Profilseite vorbehalten. Er kann bestimmen, ob "alle" oder nur bestimmte Personen den Beitrag sehen können.

• Messages: Die gesamte direkte Kommunikation wird dauerhaft unlöschbar. Besonders problematisch ist das im Zusammenhang mit Chat-Nachrichten, da es sich hier quasi um "Real-Time-Kommunikation" handelt, bei der man nicht viel darüber nachdenkt, worüber man eigentlich gerade schreibt.

• Datenschutzbestimmungen und Zustimmung: Die Datenschutzbestimmungen sind unklar und vage formuliert. Zum Teil sind sie sogar widersprüchlich. Nach europäischen Standards ist die Zustimmung, die man Facebook bei der Anmeldung zu der Plattform gibt, ungültig. Auch der Fakt, dass die Datenschutzrichtlinien ständig verändert werden und der User meist nicht darüber informiert und um seine Zustimmung gebeten wird, fällt unter diesen Punkt.

• Gesichtserkennung: Die Gesichtserkennung funktioniert mittels Sammlung und Abgleichung biometrischer Daten der User. Das stellt einen unrechtmäßigen Eingriff in die Privatsphäre der User dar. Hinweise und Zustimmung zur Gesichtserkennung fehlen komplett.

• Auskunft mangelhaft: Obwohl Facebook dazu gesetzlich verpflichtet wäre, fehlen viele Daten und Informationen für die User. Auch Max Schrems wurden einige seiner persönlichen Daten verweigert, weil sie unter das Firmengeheimnis fallen würden (vgl. Video: What Facebook knows about you).

• Löschen von Markierungen: Markierungen werden, wie die meisten anderen Daten, nicht gelöscht, sondern nur deaktiviert.

• Datensicherheit: Facebook garantiert in seinen Datenverwendungsrichtlinien NICHT für Datensicherheit. Das kommt einem Freikaufen von jeglicher Verantwortung gegenüber den Usern gleich.

• Gelöschte Freunde: Auch sie bleiben weiterhin auf Facebook gespeichert.

• Anwendungen: Anwendungen stellen ein Dienstleistungsangebot Dritter dar. Facebook weist darauf explizit in seinen Nutzungrichtlinien hin. Die Anbieter von Anwendungen schließen eine Vereinbarung mit Facebook ab, in der sie sich dazu verpflichten, eigene Datenschutzrichtlinien zu erstellen und dem User bereitzustellen sowie nicht gegen Facebooks eigene Datenschutzrichtlinien zu verstoßen (vgl. Q5). Trotzdem entsprechen einige Anwenungen nicht dem europäischen Datenschutzrecht. Bedenklich ist auch, dass Anwendungen von Freunden auf die Daten des Users zugreifen können - obwohl dieser die Anwendung gar nicht selbst verwendet.

• Exzessive Datennutzung: Facebook sammelt unglaubliche Datenmengen als "Host". Die eigene Nutzung dieser Daten ist unbegrenzt und man weiß in vielen Fällen nicht, was mit den Daten passiert.

• Opt-Out: Die Daten werden auf Grundlage von Opt-Out verwendet, und nicht unter "Opt-In", was europäischem Recht entsprechen würde.

• Like Button: Dieser ist nicht datenschutzkonform, da er einem "Ausspionieren" der Nutzer gleichkommt. Die dadurch gewonnenen Daten werden an die werbetreibende Wirtschaft verkauft.

• Plichten als Auftragsverarbeiter: Facebook verletzt seine Pflichten als Auftragsverarbeiter. Nutzerdaten dürfen eigentlich nicht für eigene Zwecke missbraucht werden.

• Privatspähreeinstellungen Bilder: Die User können nur einschränken, wer den Link zu einem Bild sieht. Das Bild ist aber grundsätzlich für jeden abrufbar, der den Link kennt.

• Gelöschte Bilder: Sie bleiben, wie alle anderen Daten, weiterhin gespeichert. Lediglich der Link zum Bild wird gelöscht (und das oft auch erst mit großer Verzögerung).

• Gruppenmitgliedschaft: User können ohne Zustimmung zu Gruppen hinzugefügt werden. Sie müssen, wenn sie nicht bei der Gruppe dabei sein möchten, aktiv austreten.

• Änderung der Datenschutzrichtlinien: Wie bereits erwähnt werden regelmäßig Änderungen vorgenommen, ohne die User darüber zu informieren oder ihre Zustimmung einzuholen (vgl. Q10).

 

Vorläufige Ergebnisse

 

Auf Grundlage des Betriebsprüfungsverfahrens hat die irische Behörde einen Bericht vorgelegt (vgl. Q16). Dieser Bericht sah einige Verbesserungsvorschläge vor, war aber trotzdem besonders unternehmensfreundlich formuliert (was mit ökonomischen Interessen zusammenhängen dürfte). Das hielt Facebook allerdings nicht davon ab, die gesetzten Fristen für die vorgeschlagenen Änderungen zu ignorieren. Europe vs. Facebook hat deshalb eine Anleitung für User eingerichtet, damit sie sich direkt bei der Europäischen Kommission beschweren können (vgl. Q17).

 

Ein (unkonventioneller) Lösungsweg?

 

Ein Ende des "Kampfes" scheint also noch lange nicht in Sicht. Dazu bedarf es meiner Meinung nach einer Änderung der gesetzlichen Bestimmungen und ein wesentlich härteres Durchgreifen gegen große Global Player wie Facebook.

Einen recht unkonventionellen Vorschlag unterbreitete Lori Andrews in ihrem Buch "I Know Who You Are And I Saw What You Did." (vgl. Q18). Sie plädiert dafür, Facebook als eine Art Nation zu sehen. Das klingt im ersten Moment sehr weit her geholt. Wenn man sich aber Folgendes verdeutlicht, ergibt ihre Theorie durchaus Sinn:

Facebook has the power and reach of a nation. With more than 750 million members, Facebook’s population would make it the third largest nation in the world. (Q7: 3)

Andrews ist Einwohnerin der USA und tritt für ein Pendant der amerikanischen Verfassung für Social Networks ein. Ihre Social Network Constitution beginnt dann auch etwas pathetisch mit den Worten "We The People of the Facebook Nation..." (vgl. Q7: 189-191) Weniger hochgestochen definiert sie 10 Rechte, die uns als Facebook-Nutzern garantiert sein müssen:

1. The Right to Connect.

2. The Right to Free Speech and Freedom of Expression.

3. The Right to Privacy of Place and Information.

4. The Right to Privacy of Thougths, Emotions and Sentiments.

5. The Right to Control One's Image.

6. The Right to Fair Trial.

7. The Right to an Untainted Jury.

8. The Right to Due Process of Law and the Right to Notice.

9. Freedom from Discrimination.

10. Freedom of Associaton. (Q7)

 

Vielleicht bietet dieser idealistische Ansatz das Modell der Zukunft, um die Gefahr des Datenmissbrauchs in Sozialen Netzwerken zu bewältigen.

 

Fazit

 

Beim Kampf David vs. Goliath - also Jura-Student vs. Facebook - scheint derzeit noch kein Ende in Sicht. Bis sich die rechtliche Basis für Facebook ändert, lege ich allen Usern des Netzwerkes besondere Vorsicht in der Freigabe ihrer persönlichen Daten ans Herz. Um sich über die aktuellen Vorgänge bezüglich Datenschutz und Nutzungsbedingungen auf dem Laufenden zu halten, empfehle ich Facebooks eigene Governance-Site zu dem Thema (vgl. Q19). Anders ist es kaum noch möglich, den vielen kurzfristigen und unangekündigten Änderungen auf der Social-Networking-Plattform zu folgen. Daneben ist ein Besuch der Europe vs. Facebook-Homepage ein Muss, da dort auf neue Missstände und Möglichkeiten des Protests hingewiesen wird (vgl. Q8).

 

Weiterführende Links

EFF: Facebooks Eroding Privacy Policy

FAZ: Facebook führ neue Nutzungsbedingungen ein

Die Presse: Irische Behörde kritisiert neue Facebook-Richtlinie

Wikipedia: Facebook

 

Quellen

 

Q1: Mobilkom/marketmind: Onlinestudie Österreich09.digital.leben.lieben.arbeiten

Q2: Statistik Austria: Tabelle - Private Zwecke der Internetnutzung

Q3: Thomas Hutter: Infografik Facebook per September 2010

Q4: Digital Affairs: Facebook Userzahlen

Q5: Facebook: Nutzungsbedingungen

Q6: Facebook: Datenverwendungsrichtlinien

Q7: Andrews, Lori (2012): I Know Who You Are And I Saw What You Did. Social Networks and the Death of Privacy. New York: Free Press.

Q8: Europe vs. Facebook

Q9: Europe vs. Facebook: Ziele

Q10: Europe vs. Facebook: Verfahren

Q11: EUR-Lex: Richtlinie 95/46/EG

Q12: EU: Schutz von personenbezogenen Daten

Q13: Irish Statute Book: Data Protection Act 1988

Q14: Irish Statute Book: Data Protection (Amendment) Act 2003

Q15: Futurezone: Bericht zum Verfahren

Q16: Irisch Data Commission: Bericht Betriebsprüfungsverfahren

Q17: Europe vs. Facebook: Anleitung zur Beschwerde bei der EU

Q18: Lori Andrews: Blog zum Buch "I Know Who You Are And I Saw What You Did"

Q19: Facebook: Facebook Site Governance

 

Alle Links wurden zuletzt am 16. Juni 2012 aufgerufen.

Hier findet ihr meine Präsentation zum Thema "Datenschutz in Sozialen Netzwerken"! Ein ausführlicher Blog-Entry folgt in den nächsten Tagen.

 

Als kleiner Tipp: Die Videos könnt ihr aufrufen, indem ihr auf die Bilder in der Präsentation klickt - ihr werdet dann auf YouTube weitergeleitet.