Daten­schutz­be­stim­mun­gen und AGBs von Face­book vor dem Hin­ter­grund deut­scher Datenschutzgesetze

Face­book ist so prak­tisch: man kann unkom­pli­ziert Inhal­te tei­len, Kon­tak­te pfle­gen, sehen, was im Bekann­ten­kreis los ist und der Welt mit­tei­len, was einem gefällt und was für ein span­nen­des Leben man doch hat. Und das Bes­te wird gleich auf der Start­sei­te ver­kün­det: „Face­book ist und bleibt kos­ten­los“. Aber wie konn­te das Unter­neh­men dann im zwei­ten Quar­tal 2015 mehr als 4 Mrd. US-Dol­lar[1] Umsatz machen?

Mit den Daten, die die Nut­zer bewusst oder auch ganz neben­bei preis­ge­ben. Denn auf Face­book sind Wer­be­an­zei­gen zu sehen und die­se wer­den mit­hil­fe der gesam­mel­ten Daten spe­zi­ell auf den jewei­li­gen Nut­zer zuge­schnit­ten[2]. Für sol­che ziel­grup­pen­ge­nau­en Wer­be­plät­ze zah­len wer­be­trei­ben­de Unter­neh­men eine Men­ge Geld an Face­book. Also ana­ly­siert Face­book sei­ne Nut­zer so genau wie mög­lich, und das funk­tio­niert umso bes­ser, je mehr Daten es über sie sammelt.

Wer wis­sen will, wel­che Daten das sind, der kann dies in der Daten­richt­li­nie[3] Face­books nach­le­sen. Mit sei­ner Regis­trie­rung erklärt jeder Nut­zer, die­se gele­sen zu haben und ihr zuzu­stim­men. Nun ja, wen es wirk­lich ein­mal dort­hin ver­schlägt der fin­det eine anspre­chend gestal­te­te Sei­te, die unter ande­rem über­sicht­lich und ver­ständ­lich erklärt, wel­che Infor­ma­tio­nen Face­book über einen Nut­zer speichert.

Das sind zum einen die Daten, die der Nut­zer selbst teilt (wie Pro­fil­in­for­ma­tio­nen, geteil­te Inhal­te, gesen­de­te Nach­rich­ten etc.) aber auch sol­che, die ande­re über ihn tei­len (und man ist schnel­ler in Sta­tus­bei­trä­gen und auf Par­ty­fo­tos mar­kiert als einem lieb ist). Dar­über hin­aus wer­den Gerä­te­in­for­ma­tio­nen gespei­chert wie Hard­ware­ver­si­on, Akkustand, Stand­ort, Mobil­funk­an­bie­ter und IP-Adres­se; wie und mit wel­chen Per­so­nen der Nut­zer inter­agiert; Infor­ma­tio­nen zu Zah­lun­gen, z.B. Kre­dit­kar­ten­in­for­ma­tio­nen wenn man über Face­book etwas kauft; Infor­ma­tio­nen von Unter­neh­men, die Face­book gehö­ren wie Whats­App oder Insta­gram; Infor­ma­tio­nen von Dritt­part­nern und Infor­ma­tio­nen von Web­sei­ten, die Diens­te von Face­book nut­zen, z.B. wenn sie den „Like“-Button ein­set­zen oder Face­book-Log­in nutzen.

Man kann also sogar ver­folgt wer­den, ohne Mit­glied bei dem Netz­werk zu sein und ohne die Face­book-Web­sei­te geöff­net zu haben. Und das sind nur eini­ge Bei­spie­le. Die­se Infor­ma­tio­nen geben zusam­men viel über einen Men­schen preis: wann er sich wo auf­hält, wel­che Gewohn­hei­ten er hat, was ihm wich­tig ist; und wer Face­book nutzt hat kei­ne Mög­lich­keit, die Erhe­bung oder die Wei­ter­ga­be die­ser Daten zu verhindern.

Doch das Sam­meln, Ver­ar­bei­ten und Wei­ter­ge­ben per­so­nen­be­zo­ge­ner Daten unter­liegt dem Bun­des­da­ten­schutz­ge­setz (BDSG)[4]– immer­hin hat Face­book das mitt­ler­wei­le akzep­tiert und in die AGB als Son­der­be­din­gung für deut­sche Nut­zer auf­ge­nom­men. Den­noch stand und steht Face­book in der Kri­tik, gegen gesetz­li­che Vor­schrif­ten zu verstoßen.

Also wer­fen wir doch ein­mal einen genaue­ren Blick auf die ein­schlä­gi­gen Geset­ze. Da ist zum Bei­spiel § 3a des BDSG, der Grund­satz der „Daten­ver­mei­dung und Daten­spar­sam­keit“, nach dem die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten an dem Ziel aus­zu­rich­ten ist, so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, zu ver­ar­bei­ten oder zu nut­zen. Face­book ver­mit­telt dage­gen eher den Ein­druck, so vie­le per­so­nen­be­zo­ge­ne Daten wie mög­lich sam­meln zu wollen.

Es ist außer­dem vor­ge­schrie­ben, dass der Betrof­fe­ne sei­ne Ein­wil­li­gung zur Erhe­bung, Ver­ar­bei­tung und Nut­zung der per­so­nen­be­zo­ge­nen Daten geben muss[5]. Zudem muss er dar­über infor­miert wer­den, wer sei­ne Daten erhebt und wofür sie genutzt wer­den[6]. Bei Face­book soll­te dies durch die Daten­richt­li­nie gesche­hen, doch hier kann man eini­ge Män­gel fest­stel­len: In der Richt­li­nie wer­den vie­le Bei­spie­le genannt, aber kaum abschlie­ßen­de Auf­zäh­lun­gen gemacht sodass unklar bleibt, was genau Face­book alles spei­chert („Hier sind eini­ge Bei­spie­le für Gerä­te­in­for­ma­tio­nen, die wir sam­meln…“). Auch ist die Zweck­be­stim­mung nicht klar gege­ben: Es wird zwar auf ver­schie­de­ne Berei­che hin­ge­wie­sen, in denen die Daten ver­wen­det wer­den; wel­che Infor­ma­tio­nen aber wie und wofür genau ver­ar­bei­tet wer­den, ist nicht ausgeführt.

Prin­zi­pi­ell ist es erlaubt, Daten — wie Face­book das tut — für Wer­be­zwe­cke zu nut­zen. Jedoch muss der Betrof­fe­ne ein­ge­wil­ligt haben[7] und die Nut­zung zu die­sem Zweck ist unzu­läs­sig, wenn der Betrof­fe­ne wider­spricht[8]. Wider­spruch ist über die Kon­to­ein­stel­lun­gen bei Face­book aller­dings nicht mög­lich. Die Ein­wil­li­gung zur Daten­nut­zung für Wer­be­zwe­cke wird — für die meis­ten Ver­brau­cher wohl unbe­wusst- bei der Regis­trie­rung gege­ben, denn da heißt es: „Indem du auf Regis­trie­ren klickst, erklärst du dich mit unse­ren Nut­zungs­be­din­gun­gen ein­ver­stan­den…“. Wer­den die­se geän­dert, muss der Betrof­fe­ne nicht aktiv zustim­men, son­dern ledig­lich sei­nen Account wei­ter nut­zen; das wird als Zustim­mung gewer­tet. Face­book gibt deut­schen Nut­zern zwar 30 Tage Zeit, um die über­ar­bei­te­ten Bedin­gun­gen „zu über­prü­fen und zu kom­men­tie­ren“, doch eine ande­re Mög­lich­keit des Wider­spruchs als den Aus­stieg und das Löschen des Kon­tos gibt es nicht.

Nach §34 BDSG hat jeder das Recht auf unent­gelt­li­che Aus­kunft über die zu sei­ner Per­son gespei­cher­ten Daten. Face­book bie­tet die Funk­ti­on an, eine Kopie aller auf Face­book geteil­ten Infor­ma­tio­nen her­un­ter­zu­la­den. Das Doku­ment beinhal­tet Bil­der, Nach­rich­ten, Namen der Freun­de (auch der gelösch­ten), wann man sich mit wel­chem Brow­ser und wel­cher IP-Adres­se ange­mel­det hat, wann man auf wel­che Wer­be­an­zei­gen geklickt hat, zuge­ord­ne­te „Ad topics“ und vie­les mehr. Das sind eine Men­ge Infor­ma­tio­nen, jedoch nicht alle, die Face­book über einen Nut­zer hat. Die in der Daten­richt­li­nie genann­ten Infor­ma­tio­nen von ande­ren Face­book-Unter­neh­men oder von Drit­ten sind bei­spiels­wei­se nicht ent­hal­ten, genau­so wie ein­ge­ge­be­ne Such­be­grif­fe und vie­les weitere.

Neben der Daten­richt­li­nie hat Face­book auch noch all­ge­mei­ne Nut­zungs­be­din­gun­gen[9], auf die es sich eben­falls lohnt, einen genaue­ren Blick zu wer­fen. Ein­wil­li­gung und Zustim­mung bei Ände­run­gen gesche­hen ana­log zur Daten­richt­li­nie und sind also mit der glei­chen Kri­tik behaftet.

In den Nut­zungs­be­din­gun­gen sichert sich Face­book umfang­rei­che Rech­te an den hoch­ge­la­de­nen Inhal­ten der Nut­zer zu. Die­ses als „nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te“ Lizenz bezeich­ne­te Nut­zungs­recht ist sehr weit gefasst, es ist unent­gelt­lich, nicht regio­nal begrenzt, Face­book kann es an Drit­te über­tra­gen und eine genaue Nut­zungs­art ist nicht ange­ge­ben. Und wie immer gibt es kei­ne Mög­lich­keit zu wider­spre­chen, ohne das Kon­to zu löschen.

Außer­dem ver­langt Face­book, dass Nut­zer sich mit ihrem wah­ren Namen anmel­den. Doch das Tele­me­di­en­ge­setz (TMG), das für alle elek­tro­ni­schen Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­diens­te gilt[10], schreibt vor, der Anbie­ter habe die Nut­zung anonym oder unter Pseud­onym zu ermög­li­chen[11]; dem trägt Face­book kei­ne Rechnung.

Kri­tisch sind zudem zahl­rei­che Vor­ein­stel­lun­gen des Kon­tos. Sie geben Face­book zahl­rei­che Berech­ti­gun­gen wie z.B. das Nut­zen von Likes in Ver­bin­dung mit Namen und Pro­fil­bild eines Nut­zers für Wer­bung. Die Nut­zer wil­li­gen nicht bewusst ein, son­dern müs­sen die Ein­stel­lung aktiv ändern, falls sie nicht ein­ver­stan­den sind. Eben­so ist vor­ein­ge­stellt, dass das Pro­fil und zahl­rei­che Inhal­te öffent­lich sicht­bar sind und ein Pro­fil mit exter­nen Such­ma­schi­nen gefun­den wer­den kann.

Den­noch bie­tet Face­book – jeden­falls in Bezug auf ande­re Nut­zer — gute Mög­lich­kei­ten, Infor­ma­tio­nen pri­vat zu hal­ten: bei jeder geteil­ten Infor­ma­ti­on wie Sta­tus­bei­trä­gen oder Fotos kann unkom­pli­ziert ein­ge­stellt wer­den, für wen die­se sicht­bar sein soll. Es kann auch ein­ge­stellt wer­den, dass Mar­kie­run­gen des eige­nen Pro­fils erst nach Zustim­mung sicht­bar wer­den. Man kann zudem Bei­trä­ge auf der eige­nen Pinn­wand für ande­re Nut­zer unsicht­bar machen oder sie kom­plett sper­ren, sodass kei­ne Bei­trä­ge ande­rer Nut­zer mehr in der Chro­nik ange­zeigt wer­den. Im soge­nann­ten Akti­vi­tä­ten­pro­to­koll kann der Nut­zer die eige­nen Akti­vi­tä­ten nach­ver­fol­gen und in der Chro­nik ausblenden.

Doch es soll­te klar gewor­den sein: wer Wert auf Kon­trol­le und Schutz sei­ner Daten legt, soll­te die­se nicht bei Face­book teilen.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Face­book Bör­sen­be­richt vom 29. Juli 2015 (Face­book Inves­tor Rela­ti­ons QII 2015; abge­ru­fen am 14.08.2015)
[2] Sie­he Info­gra­fik der Ver­brau­cher­zen­tra­le Bun­des­ver­band So macht Face­book Daten zu Geld; abge­ru­fen am 14.08.2015
[3] Ver­si­on vom 30.01.2015, abruf­bar unter Face­book Datenrichtlinie
[4] Bun­des­da­ten­schutz­ge­setz BDSG
[5] §4 Abs. 1 BDSG
[6] §4 Abs. 3 BDSG
[7] §28 Abs. 3 BDSG
[8] §28 Abs. 4 BDSG
[9] Ver­si­on vom 30. Janu­ar 2015, abruf­bar unter Unter­neh­mens­in­for­ma­tio­nen Facebook
[10] §1 Abs. 1 TMG
[11] § 13 Abs. 6 TMG

Ande­re inter­es­san­te Beiträge:
Bring Your Own Device (BYOD) — Mit Sicher­heit wird zu die­sem The­ma mehr Wer­bung als Fach­wis­sen ver­brei­tet!
Gera­de über­flie­ge ich einen News­let­ter der funk­schau, einer Zei­tung, die mir bis­her nicht durch beson­ders inter­es­san­te Bei­trä­ge zum The­ma Mobi­li­ty auf­ge­fal­len ist. Ich lese: Lie­be Leser, sicher ist Ihnen das Kür­zel BYOD inzwi­schen ein Begriff. Es steht für „Bring Your Own Device”, den Einsat…
datomo MDM — Neue Updates für wei­te­re Opti­mie­rung bei iOS und Android ver­öf­fent­licht
Mitt­ler­wei­le ist die Ver­si­on datomo MDM 3.28 her­aus­ge­kom­men und wie immer gibt es zahl­rei­che Opti­mie­run­gen. Mit den vor­an­ge­gan­ge­nen Updates der Ver­sio­nen 3.26 bis 3.27 kam u.a. die Unter­stüt­zung von iOS 11 sowie von Apple TV hin­zu. Damit kön­nen Unter­neh­men ab sofort Apple TV z.B. in Konferenzräumen…
Wirt­schafts­wo­che — Bring Your Own Device ist nie sicher, auch nicht mit Mobi­le Device Manage­ment (MDM)
Die Wirt­schaft­wo­che setzt in Ihrer aktu­el­len Aus­ga­be 0313 auf dem Titel mit der Schlag­zei­le ‘Fal­sche Freun­de — 88 Smart­pho­ne-Apps im Sicher­heits­Check: die fie­sen Tricks der popu­lärs­ten Hel­fer­lein’ ein Aus­ru­fe­zei­chen! Das­sel­be sagen wir bei Pre­tio­so ja schon lan­ge. Der Arti­kel in der Zei­tung trägt d…
MDM-Essen­ti­als — Mobi­le Device Manage­ment (MDM) und App-Sicher­heit
Täg­lich errei­chen uns Anfra­gen zur Sicher­heit von Apps auf mobi­len End­ge­rä­ten, was zeigt, dass das The­ma die Köp­fe der Anwen­der erreicht hat. Das ist gut so. Im Kern han­delt es sich bei der Durch­set­zung siche­rer Apps auf den Gerä­ten der Anwen­der um kein schwie­ri­ges The­ma, denn die­se Auf­ga­be ist per …
Mobi­le Device Manage­ment (MDM) und Sicher­heit — Die LBS-Funk­ti­on (Ortung)
Ich schrieb vor eini­gen Tagen, dass ich der­zeit in den USA bin, um unse­re MDM-Geschäf­te hier wei­ter­zu­ent­wi­ckeln. Wie immer gewinnt man auf einer sol­chen Rei­se vie­le Ein­drü­cke, man­che ste­chen aber oft deut­lich her­vor. Mir war schon immer klar, dass es in den USA eine grund­sätz­lich sehr posi­ti­ve Einst…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.