Österreichische Studenten zwingen Facebook in die Knie

21. Dezember 2011, 16:53
3 Postings

Erster Bericht der irischen Datenschutzbehörde zeigt Facebook Grenzen bei der Nutzung persönlicher Daten auf

Im Fall der österreichischen Studenten, die 22 Anzeigen gegen das Online-Netzwerk Facebook in Irland eingebracht haben, gibt es neue Entwicklungen. Die irische Datenschutzbehörde hat am Mittwoch einen ersten Bericht zur Causa vorgelegt und ihn an die Initiative "Europe versus Facebook" weitergeleitet.

"Sehr beeinflussend"

Der 150-seitige Bericht ist das Ergebnis der Betriebsprüfungen, die als Reaktion auf die Anzeigen eingeleitet wurden und Anfang November 2011 abgeschlossen wurden. Nach Angaben der irischen Behörde waren diese 22 Anzeigen "sehr beeinflussend" und laufen parallel zum "Europe-versus-Facebook"-Verfahren.

Irischer Bumerang

Vermutlich aus Steuergründen hat Facebook eine irische Tochtergesellschaft ("Facebook Ireland Limited", mit Sitz in Dublin) gegründet. Den Nutzungsbedingungen von facebook.com zufolge haben alle NutzerInnen außerhalb der USA und Kanada, was etwa 70 Prozent der weltweit registrierten Mitglieder ausmacht, ausschließlich einen Vertrag mit Facebook Ireland.

Europäisches Datenschutzrecht gilt

Diese Konstruktion führt nicht nur zu erheblichen Steuerersparnissen für Facebook in den USA, sondern auch dazu, dass auf Facebook europäisches Datenschutz- und auch Konsumentenschutzrecht anwendbar ist. In Europa gibt es nationale Gesetze zum Datenschutz (in Irland: "Data Protection Act"). Diese nationalen Gesetze beruhen aber alle auf einer EU Richtlinie aus 1995 (95/46/EG). Diesen Regelungen unterliegt nun auch Facebook Ireland Limited.

Erster Erfolg

Die Ergebnisse des Berichts decken sich über weite Strecken mit den von der Initiative angezeigten Vergehen gegen den Europäischen Datenschutz. "Wir sind überaus glücklich über diesen ersten Schritt", schreiben die Studenten in einer Aussendung.

Darin heißt es:

Facebook muss über 40.000 Nutzern, die eine Kopie der Datensätze verlangt haben, alle Daten herausgeben. Inklusive z.B. den Gesichtserkennungsdaten und allen anderen im Hintergrund gespeicherten Daten. Facebook muss seine Datenschutzrichtlinien in vielen Punkten ändern und verbessern. Facebook darf Nutzerdaten nur noch beschränkt für gezielte Werbung verwenden. Die Datennutzung von "Social Plug-Ins" wie zB. der "Like-Button" darf nur mehr sehr eingeschränkt vorgenommen werden. "Tracking" von Nutzern mittels des „Like-Buttons" darf nicht (mehr) vorgenommen werden.

Werbung

Die Nutzerbilder dürfen nicht mehr für die Werbung gewisser Produkte eingesetzt werden, wenn der Nutzer nicht ausdrücklich zustimmt. Die Nutzer müssen eine Möglichkeit erhalten, Daten wirklich zu "löschen". Bisher wurden gelöschte Daten weiter von Facebook behalten. Nutzer dürfen nicht mehr ohne deren Zustimmung zu Gruppen hinzugefügt werden. Inaktive oder deaktivierte Profile müssen gelöscht werden wenn der Nutzer lange Zeit nicht mehr online war. Von IP-Adressen, welche via Social-Plug-Ins gesammelt werden, müssen die letzten die Zahlen gelöscht werden. Eingaben in der Suchleiste auf Facebook müssen nach maximal sechs Monaten gelöscht werden. Wenn Nutzer die Werbungen anklicken, darf diese Information nicht länger als zwei Jahre gespeichert werden.

Zustimmung für Gesichtserkennung

Nutzerdaten müssen gelöscht werden, wenn die Registrierung auf facebook.com nicht zu Ende geführt wurde. Bei Anwendungen ("Applications") dürfen Nutzer Daten von Dritten (z.B. Freunden) nur noch limitiert an die Anwendung weiterleiten. Bei Anwendungen muss Facebook die Datenschutzbedingungen des Anbieters überprüfen. Die Gesichtserkennung auf Facebook wurde illegal aktiviert. Alle Nutzer müssen nun erneut zustimmen. Facebook muss sicherstellen, dass Mitarbeiter nur die Daten zu Gesicht bekommen, die für ihre Arbeit unbedingt notwendig sind. Bisher gibt es kein solches System bei Facebook.

Bericht gemeinsam mit Facebook verfasst

Der Bericht wurde auch in Zusammenarbeit mit Facebook verfasst und ist daher nicht als unparteiisch zu betrachten, heißt es weiter. In den vergangenen Tagen hat es massive Verhandlungen gegeben, um sich auf einen gemeinsamen Bericht der Behörde und Facebook zu einigen. Berichte der irischen Behörde werden generell nicht veröffentlicht. Facebook hat einer Veröffentlichung jedoch aus unbekannten Gründen zugestimmt.

Strafzahlung als Konsequenz

Die irische Datenschutzkommission ist die einzige europäische Behörde, die gegebenenfalls auch die europäischen Datenschutzgesetze gegen Facebook durchsetzen kann. Der Bericht zeigt Facebook sehr deutliche Grenzen bei der Nutzung von persönlichen Daten in Europa auf. Folgt Facebook den im Bericht vorgeschlagenen Maßnahmen nicht, so kann die irische Behörde auch Strafen von bis zu 100.000 Euro verhängen. Facebook kann dann nur noch vor einem Gericht gegen die irische Datenschutzbehörde klagen, falls man der Meinung ist, dass die Maßnahmen rechtswidrig sind.

"Großer Erfolg"

"Der Bericht limitiert massiv die Möglichkeiten von Facebook und kann als großer Erfolg gewertet werden", heißt es in einer ersten Aussendung der Initiative. Die Beschwerden von "Europe versus Facebook" seien demnach die Basis des Berichts und würden "permanent zitiert".

US-Kongress

Inzwischen befassen sich auch einige Abgeordnete des US-Kongresses mit den Datenauskünften der Studenten. Sie haben eine Anfrage, die unter anderem die Anzeigen der Initiative enthält, an Facebook geschickt. 

Europe vs Facebook

Hinter "europe-v-facebook.org" steht eine kleine Gruppe von Facebook-Nutzern. Ausgangspunkt war eine Seminararbeit von Max Schrems (Student der Rechtswissenschaften, Universität Wien), während eines Auslandsaufenthalts an einer kalifornischen Universität. (red, derStandard.at, 21.12.2011)

  • Bild nicht mehr verfügbar

    Dass die irische Datenschutzbehörde so rasch Ermittlungen einleiten würde, überraschte die österreichischen Studenten am meisten. Jetzt liegt der erste Bericht der Betriebsprüfungen vor.

Share if you care.