Daten­schutz­be­stim­mun­gen und AGBs von Face­book vor dem Hin­ter­grund deut­scher Datenschutzgesetze

Face­book ist so prak­tisch: man kann unkom­pli­ziert Inhal­te tei­len, Kon­tak­te pfle­gen, sehen, was im Bekann­ten­kreis los ist und der Welt mit­tei­len, was einem gefällt und was für ein span­nen­des Leben man doch hat. Und das Bes­te wird gleich auf der Start­sei­te ver­kün­det: „Face­book ist und bleibt kos­ten­los“. Aber wie konn­te das Unter­neh­men dann im zwei­ten Quar­tal 2015 mehr als 4 Mrd. US-Dol­lar[1] Umsatz machen?

Mit den Daten, die die Nut­zer bewusst oder auch ganz neben­bei preis­ge­ben. Denn auf Face­book sind Wer­be­an­zei­gen zu sehen und die­se wer­den mit­hil­fe der gesam­mel­ten Daten spe­zi­ell auf den jewei­li­gen Nut­zer zuge­schnit­ten[2]. Für sol­che ziel­grup­pen­ge­nau­en Wer­be­plät­ze zah­len wer­be­trei­ben­de Unter­neh­men eine Men­ge Geld an Face­book. Also ana­ly­siert Face­book sei­ne Nut­zer so genau wie mög­lich, und das funk­tio­niert umso bes­ser, je mehr Daten es über sie sammelt.

Wer wis­sen will, wel­che Daten das sind, der kann dies in der Daten­richt­li­nie[3] Face­books nach­le­sen. Mit sei­ner Regis­trie­rung erklärt jeder Nut­zer, die­se gele­sen zu haben und ihr zuzu­stim­men. Nun ja, wen es wirk­lich ein­mal dort­hin ver­schlägt der fin­det eine anspre­chend gestal­te­te Sei­te, die unter ande­rem über­sicht­lich und ver­ständ­lich erklärt, wel­che Infor­ma­tio­nen Face­book über einen Nut­zer speichert.

Das sind zum einen die Daten, die der Nut­zer selbst teilt (wie Pro­fil­in­for­ma­tio­nen, geteil­te Inhal­te, gesen­de­te Nach­rich­ten etc.) aber auch sol­che, die ande­re über ihn tei­len (und man ist schnel­ler in Sta­tus­bei­trä­gen und auf Par­ty­fo­tos mar­kiert als einem lieb ist). Dar­über hin­aus wer­den Gerä­te­in­for­ma­tio­nen gespei­chert wie Hard­ware­ver­si­on, Akkustand, Stand­ort, Mobil­funk­an­bie­ter und IP-Adres­se; wie und mit wel­chen Per­so­nen der Nut­zer inter­agiert; Infor­ma­tio­nen zu Zah­lun­gen, z.B. Kre­dit­kar­ten­in­for­ma­tio­nen wenn man über Face­book etwas kauft; Infor­ma­tio­nen von Unter­neh­men, die Face­book gehö­ren wie Whats­App oder Insta­gram; Infor­ma­tio­nen von Dritt­part­nern und Infor­ma­tio­nen von Web­sei­ten, die Diens­te von Face­book nut­zen, z.B. wenn sie den „Like“-Button ein­set­zen oder Face­book-Log­in nutzen.

Man kann also sogar ver­folgt wer­den, ohne Mit­glied bei dem Netz­werk zu sein und ohne die Face­book-Web­sei­te geöff­net zu haben. Und das sind nur eini­ge Bei­spie­le. Die­se Infor­ma­tio­nen geben zusam­men viel über einen Men­schen preis: wann er sich wo auf­hält, wel­che Gewohn­hei­ten er hat, was ihm wich­tig ist; und wer Face­book nutzt hat kei­ne Mög­lich­keit, die Erhe­bung oder die Wei­ter­ga­be die­ser Daten zu verhindern.

Doch das Sam­meln, Ver­ar­bei­ten und Wei­ter­ge­ben per­so­nen­be­zo­ge­ner Daten unter­liegt dem Bun­des­da­ten­schutz­ge­setz (BDSG)[4]– immer­hin hat Face­book das mitt­ler­wei­le akzep­tiert und in die AGB als Son­der­be­din­gung für deut­sche Nut­zer auf­ge­nom­men. Den­noch stand und steht Face­book in der Kri­tik, gegen gesetz­li­che Vor­schrif­ten zu verstoßen.

Also wer­fen wir doch ein­mal einen genaue­ren Blick auf die ein­schlä­gi­gen Geset­ze. Da ist zum Bei­spiel § 3a des BDSG, der Grund­satz der „Daten­ver­mei­dung und Daten­spar­sam­keit“, nach dem die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten an dem Ziel aus­zu­rich­ten ist, so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, zu ver­ar­bei­ten oder zu nut­zen. Face­book ver­mit­telt dage­gen eher den Ein­druck, so vie­le per­so­nen­be­zo­ge­ne Daten wie mög­lich sam­meln zu wollen.

Es ist außer­dem vor­ge­schrie­ben, dass der Betrof­fe­ne sei­ne Ein­wil­li­gung zur Erhe­bung, Ver­ar­bei­tung und Nut­zung der per­so­nen­be­zo­ge­nen Daten geben muss[5]. Zudem muss er dar­über infor­miert wer­den, wer sei­ne Daten erhebt und wofür sie genutzt wer­den[6]. Bei Face­book soll­te dies durch die Daten­richt­li­nie gesche­hen, doch hier kann man eini­ge Män­gel fest­stel­len: In der Richt­li­nie wer­den vie­le Bei­spie­le genannt, aber kaum abschlie­ßen­de Auf­zäh­lun­gen gemacht sodass unklar bleibt, was genau Face­book alles spei­chert („Hier sind eini­ge Bei­spie­le für Gerä­te­in­for­ma­tio­nen, die wir sam­meln…“). Auch ist die Zweck­be­stim­mung nicht klar gege­ben: Es wird zwar auf ver­schie­de­ne Berei­che hin­ge­wie­sen, in denen die Daten ver­wen­det wer­den; wel­che Infor­ma­tio­nen aber wie und wofür genau ver­ar­bei­tet wer­den, ist nicht ausgeführt.

Prin­zi­pi­ell ist es erlaubt, Daten — wie Face­book das tut — für Wer­be­zwe­cke zu nut­zen. Jedoch muss der Betrof­fe­ne ein­ge­wil­ligt haben[7] und die Nut­zung zu die­sem Zweck ist unzu­läs­sig, wenn der Betrof­fe­ne wider­spricht[8]. Wider­spruch ist über die Kon­to­ein­stel­lun­gen bei Face­book aller­dings nicht mög­lich. Die Ein­wil­li­gung zur Daten­nut­zung für Wer­be­zwe­cke wird — für die meis­ten Ver­brau­cher wohl unbe­wusst- bei der Regis­trie­rung gege­ben, denn da heißt es: „Indem du auf Regis­trie­ren klickst, erklärst du dich mit unse­ren Nut­zungs­be­din­gun­gen ein­ver­stan­den…“. Wer­den die­se geän­dert, muss der Betrof­fe­ne nicht aktiv zustim­men, son­dern ledig­lich sei­nen Account wei­ter nut­zen; das wird als Zustim­mung gewer­tet. Face­book gibt deut­schen Nut­zern zwar 30 Tage Zeit, um die über­ar­bei­te­ten Bedin­gun­gen „zu über­prü­fen und zu kom­men­tie­ren“, doch eine ande­re Mög­lich­keit des Wider­spruchs als den Aus­stieg und das Löschen des Kon­tos gibt es nicht.

Nach §34 BDSG hat jeder das Recht auf unent­gelt­li­che Aus­kunft über die zu sei­ner Per­son gespei­cher­ten Daten. Face­book bie­tet die Funk­ti­on an, eine Kopie aller auf Face­book geteil­ten Infor­ma­tio­nen her­un­ter­zu­la­den. Das Doku­ment beinhal­tet Bil­der, Nach­rich­ten, Namen der Freun­de (auch der gelösch­ten), wann man sich mit wel­chem Brow­ser und wel­cher IP-Adres­se ange­mel­det hat, wann man auf wel­che Wer­be­an­zei­gen geklickt hat, zuge­ord­ne­te „Ad topics“ und vie­les mehr. Das sind eine Men­ge Infor­ma­tio­nen, jedoch nicht alle, die Face­book über einen Nut­zer hat. Die in der Daten­richt­li­nie genann­ten Infor­ma­tio­nen von ande­ren Face­book-Unter­neh­men oder von Drit­ten sind bei­spiels­wei­se nicht ent­hal­ten, genau­so wie ein­ge­ge­be­ne Such­be­grif­fe und vie­les weitere.

Neben der Daten­richt­li­nie hat Face­book auch noch all­ge­mei­ne Nut­zungs­be­din­gun­gen[9], auf die es sich eben­falls lohnt, einen genaue­ren Blick zu wer­fen. Ein­wil­li­gung und Zustim­mung bei Ände­run­gen gesche­hen ana­log zur Daten­richt­li­nie und sind also mit der glei­chen Kri­tik behaftet.

In den Nut­zungs­be­din­gun­gen sichert sich Face­book umfang­rei­che Rech­te an den hoch­ge­la­de­nen Inhal­ten der Nut­zer zu. Die­ses als „nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te“ Lizenz bezeich­ne­te Nut­zungs­recht ist sehr weit gefasst, es ist unent­gelt­lich, nicht regio­nal begrenzt, Face­book kann es an Drit­te über­tra­gen und eine genaue Nut­zungs­art ist nicht ange­ge­ben. Und wie immer gibt es kei­ne Mög­lich­keit zu wider­spre­chen, ohne das Kon­to zu löschen.

Außer­dem ver­langt Face­book, dass Nut­zer sich mit ihrem wah­ren Namen anmel­den. Doch das Tele­me­di­en­ge­setz (TMG), das für alle elek­tro­ni­schen Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­diens­te gilt[10], schreibt vor, der Anbie­ter habe die Nut­zung anonym oder unter Pseud­onym zu ermög­li­chen[11]; dem trägt Face­book kei­ne Rechnung.

Kri­tisch sind zudem zahl­rei­che Vor­ein­stel­lun­gen des Kon­tos. Sie geben Face­book zahl­rei­che Berech­ti­gun­gen wie z.B. das Nut­zen von Likes in Ver­bin­dung mit Namen und Pro­fil­bild eines Nut­zers für Wer­bung. Die Nut­zer wil­li­gen nicht bewusst ein, son­dern müs­sen die Ein­stel­lung aktiv ändern, falls sie nicht ein­ver­stan­den sind. Eben­so ist vor­ein­ge­stellt, dass das Pro­fil und zahl­rei­che Inhal­te öffent­lich sicht­bar sind und ein Pro­fil mit exter­nen Such­ma­schi­nen gefun­den wer­den kann.

Den­noch bie­tet Face­book – jeden­falls in Bezug auf ande­re Nut­zer — gute Mög­lich­kei­ten, Infor­ma­tio­nen pri­vat zu hal­ten: bei jeder geteil­ten Infor­ma­ti­on wie Sta­tus­bei­trä­gen oder Fotos kann unkom­pli­ziert ein­ge­stellt wer­den, für wen die­se sicht­bar sein soll. Es kann auch ein­ge­stellt wer­den, dass Mar­kie­run­gen des eige­nen Pro­fils erst nach Zustim­mung sicht­bar wer­den. Man kann zudem Bei­trä­ge auf der eige­nen Pinn­wand für ande­re Nut­zer unsicht­bar machen oder sie kom­plett sper­ren, sodass kei­ne Bei­trä­ge ande­rer Nut­zer mehr in der Chro­nik ange­zeigt wer­den. Im soge­nann­ten Akti­vi­tä­ten­pro­to­koll kann der Nut­zer die eige­nen Akti­vi­tä­ten nach­ver­fol­gen und in der Chro­nik ausblenden.

Doch es soll­te klar gewor­den sein: wer Wert auf Kon­trol­le und Schutz sei­ner Daten legt, soll­te die­se nicht bei Face­book teilen.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Face­book Bör­sen­be­richt vom 29. Juli 2015 (Face­book Inves­tor Rela­ti­ons QII 2015; abge­ru­fen am 14.08.2015)
[2] Sie­he Info­gra­fik der Ver­brau­cher­zen­tra­le Bun­des­ver­band So macht Face­book Daten zu Geld; abge­ru­fen am 14.08.2015
[3] Ver­si­on vom 30.01.2015, abruf­bar unter Face­book Datenrichtlinie
[4] Bun­des­da­ten­schutz­ge­setz BDSG
[5] §4 Abs. 1 BDSG
[6] §4 Abs. 3 BDSG
[7] §28 Abs. 3 BDSG
[8] §28 Abs. 4 BDSG
[9] Ver­si­on vom 30. Janu­ar 2015, abruf­bar unter Unter­neh­mens­in­for­ma­tio­nen Facebook
[10] §1 Abs. 1 TMG
[11] § 13 Abs. 6 TMG

Ande­re inter­es­san­te Beiträge:
MDM Essen­ti­als — War­um Con­tai­ner-Apps der fal­sche Weg sind — auch aus der Sicher­heits­per­spek­ti­ve
Im Zusam­men­hang mit der Dis­kus­si­on um Bring-Your-Own-Device-The­men (BYOD) ist die Dis­kus­si­on um Con­tai­ner zum The­ma gewor­den, die in den USA, ange­führt von Gart­ner, als Con­tai­ne­ri­sa­ti­on dis­ku­tiert wird. Grund­idee ist, dass man einen Daten­be­reich in einem Con­tai­ner kap­selt, in den meis­ten Fäl­len soll…
CeBIT 2016 Vor­trags­prä­sen­ta­ti­on (4) als Down­load: Wir hos­ten Mobi­le Device Manage­ment (MDM) in Europa!
Wir ver­öf­fent­li­chen hier im Pre­t­i­so­so-Blog die Vor­trags­prä­sen­ta­tio­nen, die unser Geschäfts­füh­rer Klaus Düll, Exper­te für MDM und Mobi­le Secu­ri­ty auch in die­sem Jahr auf der CeBIT 2016 – auf dem Vor­trags­fo­rum des Han­no­ver Stan­des — hielt. Täg­lich gab es zwei Vor­trä­ge mit wech­seln­den Schwer­punk­ten ü…
Wei­te­rer Funk­ti­ons­aus­bau für Win­dows 8.1 mit den neu­en Relea­ses datomo MDM 3.19.1 und 3.19.2
Kurz nach der Ver­öf­fent­li­chung des Major Release 3.19 fol­gen schon wie­der 2 klei­ne­re Updates, die Opti­mie­run­gen bezüg­lich Win­dows 8.1 sowie den Ver­brauchs­da­ten­mo­ni­tor (nur Android) betref­fen. Dem Ver­brauchs­da­ten­mo­ni­tor sind die lizenz­pflich­ti­gen Zusatz­funk­tio­nen Anwen­dungs­nut­zung und die Brow…
MDM-Essen­ti­als – Daten­schutz: Wozu braucht man ein App­Au­dit? Was ist das?
Wer sich inten­si­ver mit dem The­ma der Sicher­heit mobi­ler End­ge­rä­te beschäf­tigt stellt sich zwangs­läu­fig die Fra­ge wie ver­hin­dert wer­den kann, dass mobi­le Apps Scha­den auf den Gerä­ten anrich­ten kön­nen oder dass Scha­den in Bezug auf (kri­ti­sche) Unter­neh­mens­da­ten genom­men wird. Wie kann ein Unternehmen…
MDM-Essen­ti­als — Mobi­le Device Manage­ment soll­te immer direkt vom Her­stel­ler bezo­gen wer­den – Fin­ger weg von Ange­bo­ten der Car­ri­er!
Wo kauft man ein MDM-Sys­tem? Die­se Fra­ge beschäf­tigt der­zeit immer mehr Unter­neh­men, die sich und ihre Daten auf mobi­len End­ge­rä­ten ver­wal­ten und schüt­zen wol­len bzw. müs­sen. Vie­le Wege füh­ren bekannt­lich nach Rom und in die­sem Fall führt einer auch über die Car­ri­er, bei­spiel­haft sei­en hier Vodafon…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.