Daten­schutz­be­stim­mun­gen und AGB von Insta­gram vor dem Hin­ter­grund dt. Daten­schutz­ge­set­ze und Ver­brau­cher­rech­te

#pri­va­cy­po­li­cy oder #big­bro­the­ris­watchin­gy­ou: Was Insta­gram mit unse­ren Daten macht

Mit über 300 Mio. Nut­zern gehört Insta­gram zu den größ­ten und schnellst wach­sen­den Online Diens­ten welt­weit, Ten­denz stei­gend. 2012 wur­de der Online Dienst von Face­book Inc. auf­ge­kauft. Dies brach­te auch eini­ge Ände­run­gen bezüg­lich der Daten­schutz­richt­li­ni­en mit sich. Laut ‘Pri­va­cy Poli­cy’ erlaubt es sich Insta­gram, alle gespei­cher­ten Nut­zer Daten mit Mit­glie­der­fir­men der Face­book Inc. zu tei­len. [1] Wel­che Fir­men Teil des Kon­zerns sind wird jedoch nicht näher erläu­tert. Zudem wer­den Daten auch an soge­nann­te ‘Ser­vice Pro­vi­der’ und Wer­be­part­ner wei­ter­ge­lei­tet. Auch hier fin­den Nut­zer kei­ne nähe­ren Erläu­te­run­gen bezie­hungs­wei­se Fir­men­na­men. Laut §4 des Bun­des­da­ten­schutz­ge­set­zes (BDSG) ist dies rechts­wid­rig. Betrof­fe­ne, in die­sem Fall Nut­zer von Insta­gram, sind in jedem Fall zum einen über die „Iden­ti­tät der ver­ant­wort­li­chen Stel­le“, zum ande­ren über „Kate­go­ri­en von Emp­fän­gern“ zu unter­rich­ten. [2] Wie in §4a des BDSG fest­ge­legt, bedarf es zur Daten­er­he­bung, -ver­ar­bei­tung und -nut­zung eine Ein­wil­li­gung des Betrof­fe­nen, die­se muss in Schrift­form statt­fin­den. Regis­triert man sich bei Insta­gram, gleicht das Akzep­tie­ren der AGB und Daten­schutz­be­stim­mun­gen die­ser Ein­wil­li­gung. Es gibt hier kei­ne Mög­lich­keit die­sen Bedin­gun­gen zu wider­spre­chen. Möch­te man dies jedoch, kann man sich nicht regis­trie­ren oder muss sein schon vor­han­de­nes Kon­to löschen.

Als Insta­gram nach der Über­nah­me durch Face­book Inc. am 16. Janu­ar 2013 neue AGB’s und Daten­schutz­be­stim­mun­gen ver­öf­fent­lich­te, gab es gro­ßen Auf­ruhr. In die­sen stand näm­lich eine Klau­sel, wel­che es Insta­gram künf­tig erlau­ben soll­te, unge­fragt Nut­zer­fo­tos zu ver­kau­fen. Die­se lau­te­te wie folgt: „You agree that a busi­ness or other enti­ty may pay us to dis­play your user­na­me, likeness, pho­tos (along with any asso­cia­ted meta­da­ta), and/​or actions you take, in con­nec­tion with paid or spon­so­red con­tent or pro­mo­ti­ons, wit­hout any com­pen­sa­ti­on to you.“ Nach hef­ti­gen Pro­tes­ten sei­tens Nut­zer und Daten­schüt­zer mach­te der Foto­dienst wie­der einen Rück­zie­her und änder­te die Pas­sa­ge. In den aktu­el­len AGB’s und Daten­schutz­be­stim­mun­gen steht zwar nicht mehr wört­lich geschrie­ben, dass Insta­gram durch die Wei­ter­ga­be von Nut­zer­da­ten Geld ver­dient, doch es ist trotz­dem klar, dass Daten an Wer­be­part­ner gege­ben wer­den und die App sich so finan­ziert. Und eben die­se Wei­ter­ga­be von Daten ohne Betrof­fe­ne vor­ab aus­drück­lich zu infor­mie­ren, ist laut deut­schem Ver­brau­cher­recht ver­bo­ten. Um die Nut­zer­schaft mil­de zu stim­men, betont Mit­be­grün­der Kevin Systrom noch­mals auf dem Blog des Foto­diens­tes, dass der Nut­zer die Rech­te an sei­nen Bil­dern behält und es nicht ihre Inten­ti­on sei, mit die­sen Bil­dern Geld zu ver­die­nen. Es folgt eine äußerst miss­ver­ständ­li­che Erklä­rung, wie unse­re Daten letz­ten Endes doch wei­ter­ge­ge­ben und geteilt wer­den. „ […] In order to help make a more rele­vant and use­ful pro­mo­ti­on, it would be hel­pful to see which of the peop­le you fol­low also fol­low this busi­ness. In this way, some of the data you pro­du­ce – like the actions you take (eg, fol­lo­wing the account) and your pro­fi­le pho­to – might show up if you are fol­lo­wing this busi­ness.“[3]

Um her­aus­zu­fin­den, von wel­chen Daten hier über­haupt gespro­chen wird, soll­te man sich damit ver­traut machen, wel­che Daten Insta­gram denn genau sam­melt. Dies ist im ers­ten Abschnitt der Daten­schutz­er­klä­run­gen zu fin­den. Infor­ma­tio­nen, die wir direkt an die App geben sind zum Bei­spiel unser User­na­me, Pass­wort und Pro­fil­bild sowie alle per­sön­li­chen Infor­ma­tio­nen die wir auf unse­rem Pro­fil spei­chern z.B. Geburts­da­tum, Tele­fon­num­mer und natür­lich all unse­re Bil­der. Es wird aber noch viel mehr gespei­chert. Mit­hil­fe soge­nann­ter ‘Log Files’ wird jeder Zugriff auf die App pro­to­kol­liert inklu­si­ve der IP-Adres­se, Art des Web Brow­sers und die Inter­ak­ti­on mit Links bezie­hungs­wei­se ande­re geöff­ne­te Sei­ten im Brow­ser. Zudem erken­nen ‘Device Iden­ti­fiers’ immer genau, mit wel­chem mobi­len Gerät (Tablet, Smart­pho­ne) wir auf die App zugrei­fen. Das Spei­chern und Ver­wen­den einer soll enor­men Daten­men­ge ver­stößt gegen §3a des BDSG. Hier heißt es, dass so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, ver­ar­bei­ten oder zu nut­zen sind. Außer­dem sei­en per­so­nen­be­zo­ge­ne Daten zu anony­mi­sie­ren oder zu pseud­ony­mi­sie­ren.[4] Dies ist bei Insta­gram kei­nes­wegs der Fall, denn hier wird für jeden Nut­zer gar ein voll­stän­di­ges Per­sön­lich­keits­pro­fil erstellt. Doch dem Foto­dienst sind die unter­schied­li­chen Daten­schutz­ge­set­ze sehr wohl bekannt und er hat sich daher mit einer wei­te­ren Klau­sel recht­lich abge­si­chert. Im vier­ten Abschnitt heißt es näm­lich „If you are loca­ted in the European Uni­on or other regi­ons with laws gover­ning data collec­tion and use that may dif­fer from U.S. law, plea­se note that we may trans­fer infor­ma­ti­on, inclu­ding per­so­nal infor­ma­ti­on, to a coun­try and juris­dic­tion that does not have the same data pro­tec­tion laws as your juris­dic­tion.“ Somit stimmt also jeder deut­sche Nut­zer der Spei­che­rung und Ver­wen­dung sei­ner Daten in den USA zu und begibt sich in eine recht­lich mehr oder weni­ger aus­sichts­lo­se Lage.

Man kann natür­lich auch argu­men­tie­ren, dass der deut­sche Grund­satz der Daten­spar­sam­keit im Zeit­al­ter von ‘Big Data’ und all­ge­gen­wär­ti­ger Über­wa­chung etwas über­holt ist und schwer ein­zu­hal­ten ist. Es ist nahe­zu unmög­lich für unse­ren deut­schen Rechts­staat zu kon­trol­lie­ren, auf wel­chen Ser­vern, Smart­pho­nes und ande­ren Gerä­ten wel­che per­so­nen­be­zo­ge­nen Daten wie lan­ge und zu wel­chem Zweck gespei­chert wer­den.

Was bleibt also uns als Nut­zer ver­schie­dens­ter For­men von Soci­al Media? Wahr­schein­lich nur mehr Sou­ve­rä­ni­tät im Umgang mit unse­ren Daten. Dass Daten mas­sen­haft gespei­chert wer­den soll­te allen bekannt sein. Die Fra­ge ist nur, wer Zugriff dar­auf besitzt und Kon­trol­le dar­über aus­übt. Zu guter Letzt bleibt natür­lich auch noch das Löschen sämt­li­cher Kon­ten und Daten, doch auch hier gilt „What hap­pens in Web stays in the Cloud“. Zumin­dest solan­ge, wie unse­re Daten noch von Nut­zen für das World Wide Web sind.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit“ von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Pri­va­cy poli­cy Insta­gram ; sie­he Punkt 3 „Sharing of Infor­ma­ti­on“

Ande­re inter­es­san­te Bei­trä­ge:
Jail­b­rea­king und Roo­ting — Wie gefähr­lich ist das wirk­lich für Unter­neh­men?
Fast täg­lich wer­den wir auf die The­men Jail­b­rea­king und Roo­ting von Anwen­dern und Inter­es­sen­ten ange­spro­chen. Hier­bei stel­len wir immer wie­der fest, dass zu die­sen The­men kei­ne, wenig oder fal­sche Kennt­nis­se vor­lie­gen. Dies wird auch durch (geziel­te) fal­sche Infor­ma­tio­nen man­cher Con­sul­tants im Umfe…
Bring Your Own Device (BYOD) — Das meint der Betriebs­rat dazu
Bring Your Own Device (BYOD), das von Gart­ner in die Welt gesetz­te Kon­zept, dass Mit­ar­bei­ter einer Fir­ma ihr eige­nes Mobil­te­le­fon für die Arbeit zuguns­ten der Fir­ma benut­zen dür­fen (-> der Fir­ma im kras­ses­ten Fall kos­ten­los zur Ver­fü­gung stel­len), wird natür­lich auch in unse­rem täg­li­chen Bera­tung…
datomo Mobi­le Device Manage­ment – Wel­che Grün­de spre­chen für eine deut­sche MDM-Lösung? Lese­pro­be aus unse­rem neu­en White­pa­per
Aus aktu­el­lem Anlass auf­grund der Dis­kus­sio­nen um Sicher­heit und Daten­schutz im Zuge von Tem­po­ra, PRISM & Co haben wir unser White­pa­per, das sich mit Grün­den für eine deut­sche MDM-Lösung beschäf­tigt, über­ar­bei­tet. Die wesent­li­chen Unter­schie­de, die nach dem Daten­skan­dal für deut­sche Lösun­gen vo…
Gerä­te­ein­bin­dung in datomo MDM per SMS oder E-Mail
In unse­rer Serie über prak­ti­sche Anwen­der­tipps zu datomo Mobi­le Device Manage­ment beschäf­ti­gen wir uns heu­te noch ein­mal detail­lier­ter mit den Mög­lich­kei­ten der Gerä­te­ein­bin­dung in die Lösung. Im letz­ten Arti­kel „Mög­lich­kei­ten der Gerä­te­ein­bin­dung in datomo MDM“ sind wir bereits auf die tech­ni­schen…
Das neue Major Release 3.17.0 von datomo Mobi­le Device Manage­ment (MDM) ist kürz­lich erschie­nen
 Das neue datomo MDM Release 3.17.0 ist ver­öf­fent­licht. Auch die­ses Release bie­tet wie­der ver­schie­den Neue­run­gen und Opti­mie­run­gen der Lösung. Beson­ders her­vor­zu­he­ben ist das neue My Device Por­tal, Sper­rung des Ent­wick­ler­mo­dus für den Sam­sung Base Agent 3.3.0 sowie wei­te­re Optim…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.