Daten­schutz­be­stim­mun­gen und AGB von Insta­gram vor dem Hin­ter­grund dt. Daten­schutz­ge­set­ze und Ver­brau­cher­rech­te

#pri­va­cy­po­li­cy oder #big­bro­the­ris­watchin­gy­ou: Was Insta­gram mit unse­ren Daten macht

Mit über 300 Mio. Nut­zern gehört Insta­gram zu den größ­ten und schnellst wach­sen­den Online Diens­ten welt­weit, Ten­denz stei­gend. 2012 wur­de der Online Dienst von Face­book Inc. auf­ge­kauft. Dies brach­te auch eini­ge Ände­run­gen bezüg­lich der Daten­schutz­richt­li­ni­en mit sich. Laut ‘Pri­va­cy Poli­cy’ erlaubt es sich Insta­gram, alle gespei­cher­ten Nut­zer Daten mit Mit­glie­der­fir­men der Face­book Inc. zu tei­len. [1] Wel­che Fir­men Teil des Kon­zerns sind wird jedoch nicht näher erläu­tert. Zudem wer­den Daten auch an soge­nann­te ‘Ser­vice Pro­vi­der’ und Wer­be­part­ner wei­ter­ge­lei­tet. Auch hier fin­den Nut­zer kei­ne nähe­ren Erläu­te­run­gen bezie­hungs­wei­se Fir­men­na­men. Laut §4 des Bun­des­da­ten­schutz­ge­set­zes (BDSG) ist dies rechts­wid­rig. Betrof­fe­ne, in die­sem Fall Nut­zer von Insta­gram, sind in jedem Fall zum einen über die „Iden­ti­tät der ver­ant­wort­li­chen Stel­le“, zum ande­ren über „Kate­go­ri­en von Emp­fän­gern“ zu unter­rich­ten. [2] Wie in §4a des BDSG fest­ge­legt, bedarf es zur Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung eine Ein­wil­li­gung des Betrof­fe­nen, die­se muss in Schrift­form statt­fin­den. Regis­triert man sich bei Insta­gram, gleicht das Akzep­tie­ren der AGB und Daten­schutz­be­stim­mun­gen die­ser Ein­wil­li­gung. Es gibt hier kei­ne Mög­lich­keit die­sen Bedin­gun­gen zu wider­spre­chen. Möch­te man dies jedoch, kann man sich nicht regis­trie­ren oder muss sein schon vor­han­de­nes Kon­to löschen.

Als Insta­gram nach der Über­nah­me durch Face­book Inc. am 16. Janu­ar 2013 neue AGB’s und Daten­schutz­be­stim­mun­gen ver­öf­fent­lich­te, gab es gro­ßen Auf­ruhr. In die­sen stand näm­lich eine Klau­sel, wel­che es Insta­gram künf­tig erlau­ben soll­te, unge­fragt Nut­zer­fo­tos zu ver­kau­fen. Die­se lau­te­te wie folgt: „You agree that a busi­ness or other enti­ty may pay us to dis­play your user­na­me, likeness, pho­tos (along with any asso­cia­ted meta­da­ta), and/​or actions you take, in con­nec­tion with paid or spon­so­red con­tent or pro­mo­ti­ons, wit­hout any com­pen­sa­ti­on to you.“ Nach hef­ti­gen Pro­tes­ten sei­tens Nut­zer und Daten­schüt­zer mach­te der Foto­dienst wie­der einen Rück­zie­her und änder­te die Pas­sa­ge. In den aktu­el­len AGB’s und Daten­schutz­be­stim­mun­gen steht zwar nicht mehr wört­lich geschrie­ben, dass Insta­gram durch die Wei­ter­ga­be von Nut­zer­da­ten Geld ver­dient, doch es ist trotz­dem klar, dass Daten an Wer­be­part­ner gege­ben wer­den und die App sich so finan­ziert. Und eben die­se Wei­ter­ga­be von Daten ohne Betrof­fe­ne vor­ab aus­drück­lich zu infor­mie­ren, ist laut deut­schem Ver­brau­cher­recht ver­bo­ten. Um die Nut­zer­schaft mil­de zu stim­men, betont Mit­be­grün­der Kevin Systrom noch­mals auf dem Blog des Foto­diens­tes, dass der Nut­zer die Rech­te an sei­nen Bil­dern behält und es nicht ihre Inten­ti­on sei, mit die­sen Bil­dern Geld zu ver­die­nen. Es folgt eine äußerst miss­ver­ständ­li­che Erklä­rung, wie unse­re Daten letz­ten Endes doch wei­ter­ge­ge­ben und geteilt wer­den. „ […] In order to help make a more rele­vant and use­ful pro­mo­ti­on, it would be hel­pful to see which of the peop­le you fol­low also fol­low this busi­ness. In this way, some of the data you pro­du­ce – like the actions you take (eg, fol­lo­wing the account) and your pro­fi­le pho­to – might show up if you are fol­lo­wing this busi­ness.“[3]

Um her­aus­zu­fin­den, von wel­chen Daten hier über­haupt gespro­chen wird, soll­te man sich damit ver­traut machen, wel­che Daten Insta­gram denn genau sam­melt. Dies ist im ers­ten Abschnitt der Daten­schutz­er­klä­run­gen zu fin­den. Infor­ma­tio­nen, die wir direkt an die App geben sind zum Bei­spiel unser User­na­me, Pass­wort und Pro­fil­bild sowie alle per­sön­li­chen Infor­ma­tio­nen die wir auf unse­rem Pro­fil spei­chern z.B. Geburts­da­tum, Tele­fon­num­mer und natür­lich all unse­re Bil­der. Es wird aber noch viel mehr gespei­chert. Mit­hil­fe soge­nann­ter ‘Log Files’ wird jeder Zugriff auf die App pro­to­kol­liert inklu­si­ve der IP-Adres­se, Art des Web Brow­sers und die Inter­ak­ti­on mit Links bezie­hungs­wei­se ande­re geöff­ne­te Sei­ten im Brow­ser. Zudem erken­nen ‘Device Iden­ti­fiers’ immer genau, mit wel­chem mobi­len Gerät (Tablet, Smart­pho­ne) wir auf die App zugrei­fen. Das Spei­chern und Ver­wen­den einer soll enor­men Daten­men­ge ver­stößt gegen §3a des BDSG. Hier heißt es, dass so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, ver­ar­bei­ten oder zu nut­zen sind. Außer­dem sei­en per­so­nen­be­zo­ge­ne Daten zu anony­mi­sie­ren oder zu pseud­ony­mi­sie­ren.[4] Dies ist bei Insta­gram kei­nes­wegs der Fall, denn hier wird für jeden Nut­zer gar ein voll­stän­di­ges Per­sön­lich­keits­pro­fil erstellt. Doch dem Foto­dienst sind die unter­schied­li­chen Daten­schutz­ge­set­ze sehr wohl bekannt und er hat sich daher mit einer wei­te­ren Klau­sel recht­lich abge­si­chert. Im vier­ten Abschnitt heißt es näm­lich „If you are loca­ted in the European Uni­on or other regi­ons with laws gover­ning data collec­tion and use that may dif­fer from U.S. law, plea­se note that we may trans­fer infor­ma­ti­on, inclu­ding per­so­nal infor­ma­ti­on, to a coun­try and juris­dic­tion that does not have the same data pro­tec­tion laws as your juris­dic­tion.“ Somit stimmt also jeder deut­sche Nut­zer der Spei­che­rung und Ver­wen­dung sei­ner Daten in den USA zu und begibt sich in eine recht­lich mehr oder weni­ger aus­sichts­lo­se Lage.

Man kann natür­lich auch argu­men­tie­ren, dass der deut­sche Grund­satz der Daten­spar­sam­keit im Zeit­al­ter von ‘Big Data’ und all­ge­gen­wär­ti­ger Über­wa­chung etwas über­holt ist und schwer ein­zu­hal­ten ist. Es ist nahe­zu unmög­lich für unse­ren deut­schen Rechts­staat zu kon­trol­lie­ren, auf wel­chen Ser­vern, Smart­pho­nes und ande­ren Gerä­ten wel­che per­so­nen­be­zo­ge­nen Daten wie lan­ge und zu wel­chem Zweck gespei­chert wer­den.

Was bleibt also uns als Nut­zer ver­schie­dens­ter For­men von Soci­al Media? Wahr­schein­lich nur mehr Sou­ve­rä­ni­tät im Umgang mit unse­ren Daten. Dass Daten mas­sen­haft gespei­chert wer­den soll­te allen bekannt sein. Die Fra­ge ist nur, wer Zugriff dar­auf besitzt und Kon­trol­le dar­über aus­übt. Zu guter Letzt bleibt natür­lich auch noch das Löschen sämt­li­cher Kon­ten und Daten, doch auch hier gilt „What hap­pens in Web stays in the Cloud“. Zumin­dest solan­ge, wie unse­re Daten noch von Nut­zen für das World Wide Web sind.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit“ von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Pri­va­cy poli­cy Insta­gram ; sie­he Punkt 3 „Sharing of Infor­ma­ti­on“

Ande­re inter­es­san­te Bei­trä­ge:
Mobi­le Device Manage­ment (MDM), Bring Your Own Device (BYOD) und Soci­al Media — wie passt das zusam­men?
Ges­tern habe ich an der Ver­an­stal­tung IuK-Bran­chen­fo­rum — „Mar­ke­ting 2.0 – Ein­satz von Soci­al Media in Unter­neh­men” von Han­no­ve­rIT in Han­no­ver teil­ge­nom­men. Beson­ders gefes­selt haben mich die Vor­trä­ge von Axel All­er­kamp, Chief Secu­ri­ty Infor­ma­ti­on Offi­cer der Axel Sprin­ger AG zum The­ma „Secu­ri­ty Awa…
Die Aus­wahl von Mobi­le Device Manage­ment (MDM) — Wer in der Fir­ma soll’s wie machen?
Dass ein Unter­neh­men sei­ne mobi­le Flot­te von Gerä­ten mana­gen soll und muss ist mitt­ler­wei­le nicht mehr umstrit­ten und aner­kannt. Sehr unter­schied­lich ist aber die Her­an­ge­hens­wei­se an die­ses The­ma im Unter­neh­men. Wir erle­ben tag­täg­lich ver­schie­dens­te Situa­tio­nen und wis­sen mitt­ler­wei­le, was meis­tens …
Neu­es Major Release 3.20 von datomo MDM: Eige­ne Push-Nach­rich­ten, erwei­ter­te Funk­tio­nen für Win­dows 8.1 und wei­te­re Ver­bes­se­run­gen der neu­en…
Mit der Ver­öf­fent­li­chung der Ver­si­on 3.20 erscheint das 3 Major Release von datomo Mobi­le Device Man­ge­ment in die­sem Jahr. Die Ver­bes­se­run­gen lie­gen in der Unter­stüt­zung von Win­dows 8.1 Gerä­ten, frei kon­fi­gu­rier­ba­ren Push Nach­rich­ten und wei­te­ren Funk­tio­nen in der neu­en GUI. Ein beson­de­rer Blick …
HTC Desi­re HD erhält ent­ge­gen Zusa­ge kein Andro­id 4.0 — Kein Sys­tem für’s Busi­ness
Gera­de lese ich auf hei​se​.de ‘HTC streicht Andro­id 4.0 für Desi­re HD’! Wie bit­te? Geht’s noch HTC? Wir reden hier nicht über ein Ein­stei­ger­mo­dell, wir reden über eines der Flagg­schif­fe von HTC, für das HTC das Update auf Andro­id 4.0 ver­spro­chen hat­te. Vie­le Anwen­der haben dies sicher bei ihrer Kau­fe…
Daten­schutz und Bring Your Own Device (BYOD) — Geht das mit Mobi­le Device Manage­ment (MDM)? — Video
Schon mehr­fach haben wir es ange­kün­digt, dut­zen­de User haben gefragt, wann wir end­lich so weit sind und heu­te star­ten wir mit dem ers­ten der 10 Fil­me mei­ner Vor­trä­ge auf der CeBIT 2016, der das The­ma Bring Your Own Device (BYOD) unter dem Aspekt des Daten­schut­zes behan­delt. Wir waren in die­sem Jah…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.