Daten­schutz­be­stim­mun­gen und AGBs von Face­book vor dem Hin­ter­grund deut­scher Daten­schutz­ge­set­ze

Face­book ist so prak­tisch: man kann unkom­pli­ziert Inhal­te tei­len, Kon­tak­te pfle­gen, sehen, was im Bekann­ten­kreis los ist und der Welt mit­tei­len, was einem gefällt und was für ein span­nen­des Leben man doch hat. Und das Bes­te wird gleich auf der Start­sei­te ver­kün­det: „Face­book ist und bleibt kos­ten­los“. Aber wie konn­te das Unter­neh­men dann im zwei­ten Quar­tal 2015 mehr als 4 Mrd. US-Dol­lar[1] Umsatz machen?

Mit den Daten, die die Nut­zer bewusst oder auch ganz neben­bei preis­ge­ben. Denn auf Face­book sind Wer­be­an­zei­gen zu sehen und die­se wer­den mit­hil­fe der gesam­mel­ten Daten spe­zi­ell auf den jewei­li­gen Nut­zer zuge­schnit­ten[2]. Für sol­che ziel­grup­pen­ge­nau­en Wer­be­plät­ze zah­len wer­be­trei­ben­de Unter­neh­men eine Men­ge Geld an Face­book. Also ana­ly­siert Face­book sei­ne Nut­zer so genau wie mög­lich, und das funk­tio­niert umso bes­ser, je mehr Daten es über sie sam­melt.

Wer wis­sen will, wel­che Daten das sind, der kann dies in der Daten­richt­li­nie[3] Face­books nach­le­sen. Mit sei­ner Regis­trie­rung erklärt jeder Nut­zer, die­se gele­sen zu haben und ihr zuzu­stim­men. Nun ja, wen es wirk­lich ein­mal dort­hin ver­schlägt der fin­det eine anspre­chend gestal­te­te Sei­te, die unter ande­rem über­sicht­lich und ver­ständ­lich erklärt, wel­che Infor­ma­tio­nen Face­book über einen Nut­zer spei­chert.

Das sind zum einen die Daten, die der Nut­zer selbst teilt (wie Pro­fil­in­for­ma­tio­nen, geteil­te Inhal­te, gesen­de­te Nach­rich­ten etc.) aber auch sol­che, die ande­re über ihn tei­len (und man ist schnel­ler in Sta­tus­bei­trä­gen und auf Par­ty­fo­tos mar­kiert als einem lieb ist). Dar­über hin­aus wer­den Gerä­te­in­for­ma­tio­nen gespei­chert wie Hard­ware­ver­si­on, Akkustand, Stand­ort, Mobil­funk­an­bie­ter und IP-Adres­se; wie und mit wel­chen Per­so­nen der Nut­zer inter­agiert; Infor­ma­tio­nen zu Zah­lun­gen, z.B. Kre­dit­kar­ten­in­for­ma­tio­nen wenn man über Face­book etwas kauft; Infor­ma­tio­nen von Unter­neh­men, die Face­book gehö­ren wie Whats­App oder Insta­gram; Infor­ma­tio­nen von Dritt­part­nern und Infor­ma­tio­nen von Web­sei­ten, die Diens­te von Face­book nut­zen, z.B. wenn sie den „Like“-Button ein­set­zen oder Face­book-Log­in nut­zen.

Man kann also sogar ver­folgt wer­den, ohne Mit­glied bei dem Netz­werk zu sein und ohne die Face­book-Web­sei­te geöff­net zu haben. Und das sind nur eini­ge Bei­spie­le. Die­se Infor­ma­tio­nen geben zusam­men viel über einen Men­schen preis: wann er sich wo auf­hält, wel­che Gewohn­hei­ten er hat, was ihm wich­tig ist; und wer Face­book nutzt hat kei­ne Mög­lich­keit, die Erhe­bung oder die Wei­ter­ga­be die­ser Daten zu ver­hin­dern.

Doch das Sam­meln, Ver­ar­bei­ten und Wei­ter­ge­ben per­so­nen­be­zo­ge­ner Daten unter­liegt dem Bun­des­da­ten­schutz­ge­setz (BDSG)[4]– immer­hin hat Face­book das mitt­ler­wei­le akzep­tiert und in die AGB als Son­der­be­din­gung für deut­sche Nut­zer auf­ge­nom­men. Den­noch stand und steht Face­book in der Kri­tik, gegen gesetz­li­che Vor­schrif­ten zu ver­sto­ßen.

Also wer­fen wir doch ein­mal einen genaue­ren Blick auf die ein­schlä­gi­gen Geset­ze. Da ist zum Bei­spiel § 3a des BDSG, der Grund­satz der „Daten­ver­mei­dung und Daten­spar­sam­keit“, nach dem die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten an dem Ziel aus­zu­rich­ten ist, so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, zu ver­ar­bei­ten oder zu nut­zen. Face­book ver­mit­telt dage­gen eher den Ein­druck, so vie­le per­so­nen­be­zo­ge­ne Daten wie mög­lich sam­meln zu wol­len.

Es ist außer­dem vor­ge­schrie­ben, dass der Betrof­fe­ne sei­ne Ein­wil­li­gung zur Erhe­bung, Ver­ar­bei­tung und Nut­zung der per­so­nen­be­zo­ge­nen Daten geben muss[5]. Zudem muss er dar­über infor­miert wer­den, wer sei­ne Daten erhebt und wofür sie genutzt wer­den[6]. Bei Face­book soll­te dies durch die Daten­richt­li­nie gesche­hen, doch hier kann man eini­ge Män­gel fest­stel­len: In der Richt­li­nie wer­den vie­le Bei­spie­le genannt, aber kaum abschlie­ßen­de Auf­zäh­lun­gen gemacht sodass unklar bleibt, was genau Face­book alles spei­chert („Hier sind eini­ge Bei­spie­le für Gerä­te­in­for­ma­tio­nen, die wir sam­meln…“). Auch ist die Zweck­be­stim­mung nicht klar gege­ben: Es wird zwar auf ver­schie­de­ne Berei­che hin­ge­wie­sen, in denen die Daten ver­wen­det wer­den; wel­che Infor­ma­tio­nen aber wie und wofür genau ver­ar­bei­tet wer­den, ist nicht aus­ge­führt.

Prin­zi­pi­ell ist es erlaubt, Daten — wie Face­book das tut — für Wer­be­zwe­cke zu nut­zen. Jedoch muss der Betrof­fe­ne ein­ge­wil­ligt haben[7] und die Nut­zung zu die­sem Zweck ist unzu­läs­sig, wenn der Betrof­fe­ne wider­spricht[8]. Wider­spruch ist über die Kon­to­ein­stel­lun­gen bei Face­book aller­dings nicht mög­lich. Die Ein­wil­li­gung zur Daten­nut­zung für Wer­be­zwe­cke wird — für die meis­ten Ver­brau­cher wohl unbe­wusst- bei der Regis­trie­rung gege­ben, denn da heißt es: „Indem du auf Regis­trie­ren klickst, erklärst du dich mit unse­ren Nut­zungs­be­din­gun­gen ein­ver­stan­den…“. Wer­den die­se geän­dert, muss der Betrof­fe­ne nicht aktiv zustim­men, son­dern ledig­lich sei­nen Account wei­ter nut­zen; das wird als Zustim­mung gewer­tet. Face­book gibt deut­schen Nut­zern zwar 30 Tage Zeit, um die über­ar­bei­te­ten Bedin­gun­gen „zu über­prü­fen und zu kom­men­tie­ren“, doch eine ande­re Mög­lich­keit des Wider­spruchs als den Aus­stieg und das Löschen des Kon­tos gibt es nicht.

Nach §34 BDSG hat jeder das Recht auf unent­gelt­li­che Aus­kunft über die zu sei­ner Per­son gespei­cher­ten Daten. Face­book bie­tet die Funk­ti­on an, eine Kopie aller auf Face­book geteil­ten Infor­ma­tio­nen her­un­ter­zu­la­den. Das Doku­ment beinhal­tet Bil­der, Nach­rich­ten, Namen der Freun­de (auch der gelösch­ten), wann man sich mit wel­chem Brow­ser und wel­cher IP-Adres­se ange­mel­det hat, wann man auf wel­che Wer­be­an­zei­gen geklickt hat, zuge­ord­ne­te „Ad topics“ und vie­les mehr. Das sind eine Men­ge Infor­ma­tio­nen, jedoch nicht alle, die Face­book über einen Nut­zer hat. Die in der Daten­richt­li­nie genann­ten Infor­ma­tio­nen von ande­ren Face­book-Unter­neh­men oder von Drit­ten sind bei­spiels­wei­se nicht ent­hal­ten, genau­so wie ein­ge­ge­be­ne Such­be­grif­fe und vie­les wei­te­re.

Neben der Daten­richt­li­nie hat Face­book auch noch all­ge­mei­ne Nut­zungs­be­din­gun­gen[9], auf die es sich eben­falls lohnt, einen genaue­ren Blick zu wer­fen. Ein­wil­li­gung und Zustim­mung bei Ände­run­gen gesche­hen ana­log zur Daten­richt­li­nie und sind also mit der glei­chen Kri­tik behaf­tet.

In den Nut­zungs­be­din­gun­gen sichert sich Face­book umfang­rei­che Rech­te an den hoch­ge­la­de­nen Inhal­ten der Nut­zer zu. Die­ses als „nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te“ Lizenz bezeich­ne­te Nut­zungs­recht ist sehr weit gefasst, es ist unent­gelt­lich, nicht regio­nal begrenzt, Face­book kann es an Drit­te über­tra­gen und eine genaue Nut­zungs­art ist nicht ange­ge­ben. Und wie immer gibt es kei­ne Mög­lich­keit zu wider­spre­chen, ohne das Kon­to zu löschen.

Außer­dem ver­langt Face­book, dass Nut­zer sich mit ihrem wah­ren Namen anmel­den. Doch das Tele­me­di­en­ge­setz (TMG), das für alle elek­tro­ni­schen Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­diens­te gilt[10], schreibt vor, der Anbie­ter habe die Nut­zung anonym oder unter Pseud­onym zu ermög­li­chen[11]; dem trägt Face­book kei­ne Rech­nung.

Kri­tisch sind zudem zahl­rei­che Vor­ein­stel­lun­gen des Kon­tos. Sie geben Face­book zahl­rei­che Berech­ti­gun­gen wie z.B. das Nut­zen von Likes in Ver­bin­dung mit Namen und Pro­fil­bild eines Nut­zers für Wer­bung. Die Nut­zer wil­li­gen nicht bewusst ein, son­dern müs­sen die Ein­stel­lung aktiv ändern, falls sie nicht ein­ver­stan­den sind. Eben­so ist vor­ein­ge­stellt, dass das Pro­fil und zahl­rei­che Inhal­te öffent­lich sicht­bar sind und ein Pro­fil mit exter­nen Such­ma­schi­nen gefun­den wer­den kann.

Den­noch bie­tet Face­book – jeden­falls in Bezug auf ande­re Nut­zer — gute Mög­lich­kei­ten, Infor­ma­tio­nen pri­vat zu hal­ten: bei jeder geteil­ten Infor­ma­ti­on wie Sta­tus­bei­trä­gen oder Fotos kann unkom­pli­ziert ein­ge­stellt wer­den, für wen die­se sicht­bar sein soll. Es kann auch ein­ge­stellt wer­den, dass Mar­kie­run­gen des eige­nen Pro­fils erst nach Zustim­mung sicht­bar wer­den. Man kann zudem Bei­trä­ge auf der eige­nen Pinn­wand für ande­re Nut­zer unsicht­bar machen oder sie kom­plett sper­ren, sodass kei­ne Bei­trä­ge ande­rer Nut­zer mehr in der Chro­nik ange­zeigt wer­den. Im soge­nann­ten Akti­vi­tä­ten­pro­to­koll kann der Nut­zer die eige­nen Akti­vi­tä­ten nach­ver­fol­gen und in der Chro­nik aus­blen­den.

Doch es soll­te klar gewor­den sein: wer Wert auf Kon­trol­le und Schutz sei­ner Daten legt, soll­te die­se nicht bei Face­book tei­len.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Face­book Bör­sen­be­richt vom 29. Juli 2015 (Face­book Inves­tor Rela­ti­ons QII 2015; abge­ru­fen am 14.08.2015)
[2] Sie­he Info­gra­fik der Ver­brau­cher­zen­tra­le Bun­des­ver­band So macht Face­book Daten zu Geld; abge­ru­fen am 14.08.2015
[3] Ver­si­on vom 30.01.2015, abruf­bar unter Face­book Daten­richt­li­nie
[4] Bun­des­da­ten­schutz­ge­setz BDSG
[5] §4 Abs. 1 BDSG
[6] §4 Abs. 3 BDSG
[7] §28 Abs. 3 BDSG
[8] §28 Abs. 4 BDSG
[9] Ver­si­on vom 30. Janu­ar 2015, abruf­bar unter Unter­neh­mens­in­for­ma­tio­nen Face­book
[10] §1 Abs. 1 TMG
[11] § 13 Abs. 6 TMG

Ande­re inter­es­san­te Bei­trä­ge:
Bring Your Own Device (BYOD) — Der nor­ma­le Mit­ar­bei­ter ist skep­tisch oder lehnt es ab
Das Bring Your Own Device (BYOD) von mir als nicht umsetz­ba­res, nicht nach­hal­ti­ges und nicht seriö­ses Kon­zept abge­lehnt wird, weiss der regel­mä­ßi­ge Leser. Wer die Grün­de hier­für nach­le­sen möch­te, kann dies tun, wenn er den Bereich ‘Alles zu BYOD’ besucht. Ich weiss aus vie­len Gesprä­chen mit Mit­ar­be…
MDM Essen­ti­als — Was unter­schei­det Mobi­le Device Manage­ment von Mobi­le Iden­ti­ty Manage­ment?
Die häu­figs­te Fra­ge, die uns auf der it-sa 2012 gestellt wur­de, war, was Mobi­le Iden­ti­ty Manage­ment (MIM) von Mobi­le Device Manage­ment (MDM) unter­schei­det. Die Ant­wort könn­te von Radio Eri­wan kom­men: „Im Prin­zip nichts, aber …” datomo Mobi­le Device Manage­ment (MDM) und datomo Mobi­le Iden­ti­ty Mana…
Mobi­le Device Manage­ment (MDM) — Frau­en sind ver­nünf­ti­ger und brau­chen kein Bring Your Own Device (BYOD)
Wir erle­ben tag­täg­lich den Umgang mit Mobi­li­ty in den Unter­neh­men und stau­nen hier­bei auch fast jeden Tag auf’s Neue. Wir erle­ben im Kern zwei Grup­pen von Unter­neh­men und deren Umgang mit Mobi­li­ty. Grup­pe 1 sind häu­fig die Unter­neh­men, die bis auf den heu­ti­gen Tag den Umgang mit Mobi­li­ty eng umriss…
datomo Mobi­le Device Manage­ment — Die Unter­schie­de und Allein­stel­lun­gen
Immer mehr Anwen­der wis­sen, dass datomo Mobi­le Device Manage­ment die leis­tungs­fä­higs­te unein­ge­schränkt deut­schem Daten­schutz ent­spre­chen­de MDM-Lösung am Markt ist. Fast täg­lich wird uns die Fra­ge gestellt, wor­in datomo Mobi­le Device Manage­ment sich von den Markt­be­glei­tern unter­schei­det. Das ist nic…
datomo MDM — Klei­ne Ein­füh­rung in die Anwen­dungs­ver­wal­tung
Heu­te wol­len wir den Lesern unse­res Blogs die Anwen­dungs­ver­wal­tung in datomo MDM vor­stel­len und die­se in den nächs­ten Arti­keln dann auch ver­tie­fend erläu­tern. In prak­ti­schen Tipps zu datomo MDM infor­mie­ren wir in unre­gel­mä­ßi­ger Fol­ge über wie­der­keh­ren­de Fra­gen unse­rer Anwen­der, die in Bezug auf die…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Ich akzeptiere

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.