Themenüberblick

Zahlreiche Mängel entdeckt

22 Anzeigen hat eine Gruppe um den Wiener Jusstudenten Max Schrems im August und September 2011 bei der irischen Datenschutzbehörde gestellt. Die Iren klopften daraufhin das Soziale Netzwerk auf seine Mängel im Umgang mit Nutzerdaten ab und förderten zahlreiche Probleme zutage. Facebook hat bis Mitte 2012 Zeit, diese zu beheben.

Die Wiener Studenten mussten die Anzeigen bei der irischen Datenschutzbehörde stellen, weil die Dubliner Niederlassung des Sozialen Netzwerks für alle Facebook-Nutzer außerhalb der USA und Kanadas zuständig ist. Facebook Irland muss sich daher an das dortige Datenschutzrecht halten, das aus dem der EU abgeleitet ist.

Schrems und seine Freunde wollten beispielsweise wissen, wie Facebook mit gelöschten Postings umgeht, auf welche Weise das Soziale Netzwerk seine Nutzer im Web nachverfolgt und warum die automatische Gesichtserkennung auf hochgeladenen Fotos ohne Zustimmung der User aktiviert wurde.

Datenschutzpraktiken durchleuchtet

Die irische Datenschutzbehörde hat Facebooks Praktiken von Oktober bis Dezember durchleuchtet, zwei Lokaltermine bei dem Unternehmen durchgeführt und einen Bericht mit 150 Seiten Umfang erstellt. Dieser wurde Ende Dezember 2011 veröffentlicht. Im Vorwort lobt die Behörde Facebooks volle Kooperationsbereitschaft und kündigt an, die Praktiken des Unternehmens im Juli 2012 erneut prüfen zu wollen.

„Die Entwicklung dieser Website, die einem beinahe darwinistischen Ausleseprozess folgt, legt nahe, dass man solide Kontrollinstrumente zur Hand haben sollte, die mit dem schnellen Innovationsprozess Schritt halten können“, hieß es dazu in der Pressemitteilung der Behörde Ende Dezember.

Die Behörde hat sich mit Facebook beispielsweise darüber geeinigt, dass die Datenschutzerklärung für den Endverbraucher knapper und besser verständlich formuliert werden soll. Bis Ende des ersten Quartals 2012 will das Netzwerk auch hinsichtlich seines Umgangs mit Nutzerdaten für die Personalisierung von Werbung „volle Transparenz“ schaffen. Auch das Datensammeln durch Plug-ins von Drittanbietern soll beschränkt und Löschfristen unterworfen werden. Besonders erfreulich: Auch das Verfolgen von Usern durch das Netzwerk von „Like“-Buttons auf fremden Websites darf Facebook nicht mehr betreiben. Die letzte Zahlengruppe von IP-Adressen, die über Social Plug-ins gesammelt werden, muss gelöscht werden.

Großzügige Speicherfristen

Als „nicht akzeptabel“ bezeichneten die Datenschützer, dass Facebook die Anzeigen-Klickprofile seiner Nutzer auf unbestimmte Zeit speichere. Das Unternehmen will hier nun eine Speicherfrist einführen, diese beträgt aber immerhin noch volle zwei Jahre. Nachdem Facebook im Konflikt mit Schrems einige Daten - beispielsweise Details zur Verwendung der Daten aus der Gesichtserkennung - nicht oder teilweise nur mit großer Verzögerung herausgeben wollte, haben die Datenschützer den Konzern nun dazu verpflichtet, die personenbezogenen Daten auf Anfrage des Users innerhalb von 40 Tagen herauszugeben.

Schrems hat bei seinen Recherchen zu seiner Verblüffung herausgefunden, dass Facebook auch von ihm verfasste Beiträge behalten hatte, die er selbst längst gelöscht hatte. Nun muss der Konzern die von den Nutzern entfernten Daten auch tatsächlich löschen, nicht mehr nur „unsichtbar“ machen wie bisher. Nutzer dürfen nun auch nicht mehr ohne ihre Zustimmung zu Gruppen hinzugefügt werden. Facebook hat sich auch dazu verpflichtet, alle Nutzer erneut zu fragen, ob sie an der Gesichtserkennung teilnehmen wollen.

Zugriffsrichtlinien für Mitarbeiter

Auch für die Mitarbeiter des Sozialen Netzwerks soll es Änderungen geben. Bisher, so Schrems, habe jeder Mitarbeiter auf alle Daten zugreifen können. Nun sollen die Facebook-Angestellten nur noch jene Daten sehen dürfen, die sie zur Erfüllung ihrer Aufgaben dringend brauchen.

Einige der getroffenen Abmachungen mit Facebook sind noch vage, es ist noch nicht klar, wie das Unternehmen die Vorgaben der Datenschützer genau umsetzen will. „Facebook Irland wird dieser Empfehlung im Rahmen eines Updates seiner Datenschutzrichtlinien folgen“, heißt es an zahlreichen Stellen in der Übersicht des Berichts. Die irischen Datenschützer haben also noch viel zu tun.

Facebook begrüßt Bericht

Das gilt auch für Facebook, will es alle Änderungen fristgerecht umsetzen. Vor dem für heuer geplanten Börsengang kann das Unternehmen keinen Ärger mit den Behörden gebrauchen. Bereits am 29. November 2011 hat sich das Unternehmen der Kontrolle der US-Handelsbehörde FTC unterworfen und auch in den Vereinigten Staaten eine Verbesserung seiner Datenschutzpraktiken versprochen.

Facebook-Sprecherin Tina Kulow begrüßte in einer Stellungnahme anlässlich der Veröffentlichung des Berichts die gute Zusammenarbeit mit den irischen Datenschützern. Man habe sich gemeinsam dazu entschlossen, den Bericht der Öffentlichkeit zugänglich zu machen. Kulow: „Wir arbeiten täglich mit Entscheidungsträgern in der ganzen Welt zusammen und wir schätzen die Zeit und den Aufwand, den die DPC (die irische Datenschutzbehörde, Anm.) und ihre Führung der Verbesserung der Facebook-Erfahrung für die Nutzer gewidmet hat.“

Günter Hack, ORF.at

Links: