Daten­schutz­be­stim­mun­gen und AGB von Insta­gram vor dem Hin­ter­grund dt. Daten­schutz­ge­set­ze und Ver­brau­cher­rech­te

#pri­va­cy­po­li­cy oder #big­bro­the­ris­watchin­gy­ou: Was Insta­gram mit unse­ren Daten macht

Mit über 300 Mio. Nut­zern gehört Insta­gram zu den größ­ten und schnellst wach­sen­den Online Diens­ten welt­weit, Ten­denz stei­gend. 2012 wur­de der Online Dienst von Face­book Inc. auf­ge­kauft. Dies brach­te auch eini­ge Ände­run­gen bezüg­lich der Daten­schutz­richt­li­ni­en mit sich. Laut ‘Pri­va­cy Poli­cy’ erlaubt es sich Insta­gram, alle gespei­cher­ten Nut­zer Daten mit Mit­glie­der­fir­men der Face­book Inc. zu tei­len. [1] Wel­che Fir­men Teil des Kon­zerns sind wird jedoch nicht näher erläu­tert. Zudem wer­den Daten auch an soge­nann­te ‘Ser­vice Pro­vi­der’ und Wer­be­part­ner wei­ter­ge­lei­tet. Auch hier fin­den Nut­zer kei­ne nähe­ren Erläu­te­run­gen bezie­hungs­wei­se Fir­men­na­men. Laut §4 des Bun­des­da­ten­schutz­ge­set­zes (BDSG) ist dies rechts­wid­rig. Betrof­fe­ne, in die­sem Fall Nut­zer von Insta­gram, sind in jedem Fall zum einen über die „Iden­ti­tät der ver­ant­wort­li­chen Stel­le“, zum ande­ren über „Kate­go­ri­en von Emp­fän­gern“ zu unter­rich­ten. [2] Wie in §4a des BDSG fest­ge­legt, bedarf es zur Daten­er­he­bung, ‑ver­ar­bei­tung und ‑nut­zung eine Ein­wil­li­gung des Betrof­fe­nen, die­se muss in Schrift­form statt­fin­den. Regis­triert man sich bei Insta­gram, gleicht das Akzep­tie­ren der AGB und Daten­schutz­be­stim­mun­gen die­ser Ein­wil­li­gung. Es gibt hier kei­ne Mög­lich­keit die­sen Bedin­gun­gen zu wider­spre­chen. Möch­te man dies jedoch, kann man sich nicht regis­trie­ren oder muss sein schon vor­han­de­nes Kon­to löschen.

Als Insta­gram nach der Über­nah­me durch Face­book Inc. am 16. Janu­ar 2013 neue AGB’s und Daten­schutz­be­stim­mun­gen ver­öf­fent­lich­te, gab es gro­ßen Auf­ruhr. In die­sen stand näm­lich eine Klau­sel, wel­che es Insta­gram künf­tig erlau­ben soll­te, unge­fragt Nut­zer­fo­tos zu ver­kau­fen. Die­se lau­te­te wie folgt: „You agree that a busi­ness or other enti­ty may pay us to dis­play your user­na­me, likeness, pho­tos (along with any asso­cia­ted meta­da­ta), and/​or actions you take, in con­nec­tion with paid or spon­so­red con­tent or pro­mo­ti­ons, wit­hout any com­pen­sa­ti­on to you.“ Nach hef­ti­gen Pro­tes­ten sei­tens Nut­zer und Daten­schüt­zer mach­te der Foto­dienst wie­der einen Rück­zie­her und änder­te die Pas­sa­ge. In den aktu­el­len AGB’s und Daten­schutz­be­stim­mun­gen steht zwar nicht mehr wört­lich geschrie­ben, dass Insta­gram durch die Wei­ter­ga­be von Nut­zer­da­ten Geld ver­dient, doch es ist trotz­dem klar, dass Daten an Wer­be­part­ner gege­ben wer­den und die App sich so finan­ziert. Und eben die­se Wei­ter­ga­be von Daten ohne Betrof­fe­ne vor­ab aus­drück­lich zu infor­mie­ren, ist laut deut­schem Ver­brau­cher­recht ver­bo­ten. Um die Nut­zer­schaft mil­de zu stim­men, betont Mit­be­grün­der Kevin Systrom noch­mals auf dem Blog des Foto­diens­tes, dass der Nut­zer die Rech­te an sei­nen Bil­dern behält und es nicht ihre Inten­ti­on sei, mit die­sen Bil­dern Geld zu ver­die­nen. Es folgt eine äußerst miss­ver­ständ­li­che Erklä­rung, wie unse­re Daten letz­ten Endes doch wei­ter­ge­ge­ben und geteilt wer­den. „ […] In order to help make a more rele­vant and use­ful pro­mo­ti­on, it would be hel­pful to see which of the peop­le you fol­low also fol­low this busi­ness. In this way, some of the data you pro­du­ce – like the actions you take (eg, fol­lo­wing the account) and your pro­fi­le pho­to – might show up if you are fol­lo­wing this busi­ness.“[3]

Um her­aus­zu­fin­den, von wel­chen Daten hier über­haupt gespro­chen wird, soll­te man sich damit ver­traut machen, wel­che Daten Insta­gram denn genau sam­melt. Dies ist im ers­ten Abschnitt der Daten­schutz­er­klä­run­gen zu fin­den. Infor­ma­tio­nen, die wir direkt an die App geben sind zum Bei­spiel unser User­na­me, Pass­wort und Pro­fil­bild sowie alle per­sön­li­chen Infor­ma­tio­nen die wir auf unse­rem Pro­fil spei­chern z.B. Geburts­da­tum, Tele­fon­num­mer und natür­lich all unse­re Bil­der. Es wird aber noch viel mehr gespei­chert. Mit­hil­fe soge­nann­ter ‘Log Files’ wird jeder Zugriff auf die App pro­to­kol­liert inklu­si­ve der IP-Adres­se, Art des Web Brow­sers und die Inter­ak­ti­on mit Links bezie­hungs­wei­se ande­re geöff­ne­te Sei­ten im Brow­ser. Zudem erken­nen ‘Device Iden­ti­fiers’ immer genau, mit wel­chem mobi­len Gerät (Tablet, Smart­pho­ne) wir auf die App zugrei­fen. Das Spei­chern und Ver­wen­den einer soll enor­men Daten­men­ge ver­stößt gegen §3a des BDSG. Hier heißt es, dass so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, ver­ar­bei­ten oder zu nut­zen sind. Außer­dem sei­en per­so­nen­be­zo­ge­ne Daten zu anony­mi­sie­ren oder zu pseud­ony­mi­sie­ren.[4] Dies ist bei Insta­gram kei­nes­wegs der Fall, denn hier wird für jeden Nut­zer gar ein voll­stän­di­ges Per­sön­lich­keits­pro­fil erstellt. Doch dem Foto­dienst sind die unter­schied­li­chen Daten­schutz­ge­set­ze sehr wohl bekannt und er hat sich daher mit einer wei­te­ren Klau­sel recht­lich abge­si­chert. Im vier­ten Abschnitt heißt es näm­lich „If you are loca­ted in the European Uni­on or other regi­ons with laws gover­ning data collec­tion and use that may dif­fer from U.S. law, plea­se note that we may trans­fer infor­ma­ti­on, inclu­ding per­so­nal infor­ma­ti­on, to a coun­try and juris­dic­tion that does not have the same data pro­tec­tion laws as your juris­dic­tion.“ Somit stimmt also jeder deut­sche Nut­zer der Spei­che­rung und Ver­wen­dung sei­ner Daten in den USA zu und begibt sich in eine recht­lich mehr oder weni­ger aus­sichts­lo­se Lage.

Man kann natür­lich auch argu­men­tie­ren, dass der deut­sche Grund­satz der Daten­spar­sam­keit im Zeit­al­ter von ‘Big Data’ und all­ge­gen­wär­ti­ger Über­wa­chung etwas über­holt ist und schwer ein­zu­hal­ten ist. Es ist nahe­zu unmög­lich für unse­ren deut­schen Rechts­staat zu kon­trol­lie­ren, auf wel­chen Ser­vern, Smart­pho­nes und ande­ren Gerä­ten wel­che per­so­nen­be­zo­ge­nen Daten wie lan­ge und zu wel­chem Zweck gespei­chert wer­den.

Was bleibt also uns als Nut­zer ver­schie­dens­ter For­men von Soci­al Media? Wahr­schein­lich nur mehr Sou­ve­rä­ni­tät im Umgang mit unse­ren Daten. Dass Daten mas­sen­haft gespei­chert wer­den soll­te allen bekannt sein. Die Fra­ge ist nur, wer Zugriff dar­auf besitzt und Kon­trol­le dar­über aus­übt. Zu guter Letzt bleibt natür­lich auch noch das Löschen sämt­li­cher Kon­ten und Daten, doch auch hier gilt „What hap­pens in Web stays in the Cloud“. Zumin­dest solan­ge, wie unse­re Daten noch von Nut­zen für das World Wide Web sind.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit“ von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Pri­va­cy poli­cy Insta­gram ; sie­he Punkt 3 „Sharing of Infor­ma­ti­on“

Ande­re inter­es­san­te Bei­trä­ge:
White­pa­per datomo MDM um neue Fea­tures und EU-DSGVO aktua­li­siert — jetzt anfor­dern!
Wir haben das White­pa­per datomo Mobi­le Device Manage­ment (datomo MDM) aktua­li­siert und um neu­es­te tech­ni­sche Fea­tures und aktu­ells­te The­men zum Daten­schutz wie die im Mai 2018 in Kraft tre­ten­de Euro­päi­sche Daten­schutz­grund­ver­ord­nung (EO-DSGVO) erwei­tert. Lesen Sie in unse­rem aktu­el­len, aus­führ­lic…
Mobi­le Device Manage­ment FAQ – Kom­po­nen­ten der Base Agent Richt­li­nie in datomo MDM
Wir wer­den immer wie­der gefragt, ob wir ein gutes MDM-Wiki oder ein Lexi­kon zu MDM ken­nen und müs­sen das ver­nei­nen. So ent­stand die Idee zu die­sem MDM FAQ. Machen Sie uns ger­ne Vor­schlä­ge wor­über wir schrei­ben sol­len – wir wer­den es tun. Die Kom­po­nen­ten sind ein Teil der Base Agent Richt­li­nie in …
Wirt­schafts­wo­che — Bring Your Own Device ist nie sicher, auch nicht mit Mobi­le Device Manage­ment (MDM)
Die Wirt­schaft­wo­che setzt in Ihrer aktu­el­len Aus­ga­be 0313 auf dem Titel mit der Schlag­zei­le ‘Fal­sche Freun­de — 88 Smart­pho­ne-Apps im Sicher­heits­Check: die fie­sen Tricks der popu­lärs­ten Hel­fer­lein’ ein Aus­ru­fe­zei­chen! Das­sel­be sagen wir bei Pre­tio­so ja schon lan­ge. Der Arti­kel in der Zei­tung trägt d…
datomo MDM 3.31 – Neu­es Update mit inte­grier­ter Goog­le Play Store Ver­wal­tung und Unter­stüt­zung vom Apple Busi­ness Mana­ger
Das neue Release 3.31 von datomo MDM zeich­net u.a. durch die Unter­stüt­zung des Apple Busi­ness Mana­gers sowie des Goog­le Enter­pri­se Device Owner mit ver­wal­te­ten Goog­le Play Store und Goog­le COPE Modell aus. Dar­über hin­aus ermög­licht die neue menü­ge­führ­te Gerä­te­re­gis­trie­rung über Hash­tag, NFC und Q…
Vor­trag auf der voice+ip in Frank­furt: Die Bedeu­tung des Patri­ot Act für Mobi­le Device Manage­ment und euro­päi­sche Anwen­der
Leser, die das Pre­tio­so Blog regel­mä­ßig lesen, wis­sen, dass zu die­sem The­ma vie­le Bei­trä­ge hier im Blog gefun­den wer­den kön­nen, zum Bei­spiel dadurch, dass man „Patri­ot Act” im Such­feld rechts oben ein­gibt. Ich bin vom eco-Ver­band ein­ge­la­den wor­den am 30.10.2012 auf der voice+IP in Frank­furt im Rah­me…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.