Daten­schutz­be­stim­mun­gen und AGBs von Face­book vor dem Hin­ter­grund deut­scher Daten­schutz­ge­set­ze

Face­book ist so prak­tisch: man kann unkom­pli­ziert Inhal­te tei­len, Kon­tak­te pfle­gen, sehen, was im Bekann­ten­kreis los ist und der Welt mit­tei­len, was einem gefällt und was für ein span­nen­des Leben man doch hat. Und das Bes­te wird gleich auf der Start­sei­te ver­kün­det: „Face­book ist und bleibt kos­ten­los“. Aber wie konn­te das Unter­neh­men dann im zwei­ten Quar­tal 2015 mehr als 4 Mrd. US-Dol­lar[1] Umsatz machen?

Mit den Daten, die die Nut­zer bewusst oder auch ganz neben­bei preis­ge­ben. Denn auf Face­book sind Wer­be­an­zei­gen zu sehen und die­se wer­den mit­hil­fe der gesam­mel­ten Daten spe­zi­ell auf den jewei­li­gen Nut­zer zuge­schnit­ten[2]. Für sol­che ziel­grup­pen­ge­nau­en Wer­be­plät­ze zah­len wer­be­trei­ben­de Unter­neh­men eine Men­ge Geld an Face­book. Also ana­ly­siert Face­book sei­ne Nut­zer so genau wie mög­lich, und das funk­tio­niert umso bes­ser, je mehr Daten es über sie sam­melt.

Wer wis­sen will, wel­che Daten das sind, der kann dies in der Daten­richt­li­nie[3] Face­books nach­le­sen. Mit sei­ner Regis­trie­rung erklärt jeder Nut­zer, die­se gele­sen zu haben und ihr zuzu­stim­men. Nun ja, wen es wirk­lich ein­mal dort­hin ver­schlägt der fin­det eine anspre­chend gestal­te­te Sei­te, die unter ande­rem über­sicht­lich und ver­ständ­lich erklärt, wel­che Infor­ma­tio­nen Face­book über einen Nut­zer spei­chert.

Das sind zum einen die Daten, die der Nut­zer selbst teilt (wie Pro­fil­in­for­ma­tio­nen, geteil­te Inhal­te, gesen­de­te Nach­rich­ten etc.) aber auch sol­che, die ande­re über ihn tei­len (und man ist schnel­ler in Sta­tus­bei­trä­gen und auf Par­ty­fo­tos mar­kiert als einem lieb ist). Dar­über hin­aus wer­den Gerä­te­in­for­ma­tio­nen gespei­chert wie Hard­ware­ver­si­on, Akkustand, Stand­ort, Mobil­funk­an­bie­ter und IP-Adres­se; wie und mit wel­chen Per­so­nen der Nut­zer inter­agiert; Infor­ma­tio­nen zu Zah­lun­gen, z.B. Kre­dit­kar­ten­in­for­ma­tio­nen wenn man über Face­book etwas kauft; Infor­ma­tio­nen von Unter­neh­men, die Face­book gehö­ren wie Whats­App oder Insta­gram; Infor­ma­tio­nen von Dritt­part­nern und Infor­ma­tio­nen von Web­sei­ten, die Diens­te von Face­book nut­zen, z.B. wenn sie den „Like“-Button ein­set­zen oder Face­book-Log­in nut­zen.

Man kann also sogar ver­folgt wer­den, ohne Mit­glied bei dem Netz­werk zu sein und ohne die Face­book-Web­sei­te geöff­net zu haben. Und das sind nur eini­ge Bei­spie­le. Die­se Infor­ma­tio­nen geben zusam­men viel über einen Men­schen preis: wann er sich wo auf­hält, wel­che Gewohn­hei­ten er hat, was ihm wich­tig ist; und wer Face­book nutzt hat kei­ne Mög­lich­keit, die Erhe­bung oder die Wei­ter­ga­be die­ser Daten zu ver­hin­dern.

Doch das Sam­meln, Ver­ar­bei­ten und Wei­ter­ge­ben per­so­nen­be­zo­ge­ner Daten unter­liegt dem Bun­des­da­ten­schutz­ge­setz (BDSG)[4]– immer­hin hat Face­book das mitt­ler­wei­le akzep­tiert und in die AGB als Son­der­be­din­gung für deut­sche Nut­zer auf­ge­nom­men. Den­noch stand und steht Face­book in der Kri­tik, gegen gesetz­li­che Vor­schrif­ten zu ver­sto­ßen.

Also wer­fen wir doch ein­mal einen genaue­ren Blick auf die ein­schlä­gi­gen Geset­ze. Da ist zum Bei­spiel § 3a des BDSG, der Grund­satz der „Daten­ver­mei­dung und Daten­spar­sam­keit“, nach dem die Erhe­bung, Ver­ar­bei­tung und Nut­zung per­so­nen­be­zo­ge­ner Daten an dem Ziel aus­zu­rich­ten ist, so wenig per­so­nen­be­zo­ge­ne Daten wie mög­lich zu erhe­ben, zu ver­ar­bei­ten oder zu nut­zen. Face­book ver­mit­telt dage­gen eher den Ein­druck, so vie­le per­so­nen­be­zo­ge­ne Daten wie mög­lich sam­meln zu wol­len.

Es ist außer­dem vor­ge­schrie­ben, dass der Betrof­fe­ne sei­ne Ein­wil­li­gung zur Erhe­bung, Ver­ar­bei­tung und Nut­zung der per­so­nen­be­zo­ge­nen Daten geben muss[5]. Zudem muss er dar­über infor­miert wer­den, wer sei­ne Daten erhebt und wofür sie genutzt wer­den[6]. Bei Face­book soll­te dies durch die Daten­richt­li­nie gesche­hen, doch hier kann man eini­ge Män­gel fest­stel­len: In der Richt­li­nie wer­den vie­le Bei­spie­le genannt, aber kaum abschlie­ßen­de Auf­zäh­lun­gen gemacht sodass unklar bleibt, was genau Face­book alles spei­chert („Hier sind eini­ge Bei­spie­le für Gerä­te­in­for­ma­tio­nen, die wir sam­meln…“). Auch ist die Zweck­be­stim­mung nicht klar gege­ben: Es wird zwar auf ver­schie­de­ne Berei­che hin­ge­wie­sen, in denen die Daten ver­wen­det wer­den; wel­che Infor­ma­tio­nen aber wie und wofür genau ver­ar­bei­tet wer­den, ist nicht aus­ge­führt.

Prin­zi­pi­ell ist es erlaubt, Daten — wie Face­book das tut — für Wer­be­zwe­cke zu nut­zen. Jedoch muss der Betrof­fe­ne ein­ge­wil­ligt haben[7] und die Nut­zung zu die­sem Zweck ist unzu­läs­sig, wenn der Betrof­fe­ne wider­spricht[8]. Wider­spruch ist über die Kon­to­ein­stel­lun­gen bei Face­book aller­dings nicht mög­lich. Die Ein­wil­li­gung zur Daten­nut­zung für Wer­be­zwe­cke wird — für die meis­ten Ver­brau­cher wohl unbe­wusst- bei der Regis­trie­rung gege­ben, denn da heißt es: „Indem du auf Regis­trie­ren klickst, erklärst du dich mit unse­ren Nut­zungs­be­din­gun­gen ein­ver­stan­den…“. Wer­den die­se geän­dert, muss der Betrof­fe­ne nicht aktiv zustim­men, son­dern ledig­lich sei­nen Account wei­ter nut­zen; das wird als Zustim­mung gewer­tet. Face­book gibt deut­schen Nut­zern zwar 30 Tage Zeit, um die über­ar­bei­te­ten Bedin­gun­gen „zu über­prü­fen und zu kom­men­tie­ren“, doch eine ande­re Mög­lich­keit des Wider­spruchs als den Aus­stieg und das Löschen des Kon­tos gibt es nicht.

Nach §34 BDSG hat jeder das Recht auf unent­gelt­li­che Aus­kunft über die zu sei­ner Per­son gespei­cher­ten Daten. Face­book bie­tet die Funk­ti­on an, eine Kopie aller auf Face­book geteil­ten Infor­ma­tio­nen her­un­ter­zu­la­den. Das Doku­ment beinhal­tet Bil­der, Nach­rich­ten, Namen der Freun­de (auch der gelösch­ten), wann man sich mit wel­chem Brow­ser und wel­cher IP-Adres­se ange­mel­det hat, wann man auf wel­che Wer­be­an­zei­gen geklickt hat, zuge­ord­ne­te „Ad topics“ und vie­les mehr. Das sind eine Men­ge Infor­ma­tio­nen, jedoch nicht alle, die Face­book über einen Nut­zer hat. Die in der Daten­richt­li­nie genann­ten Infor­ma­tio­nen von ande­ren Face­book-Unter­neh­men oder von Drit­ten sind bei­spiels­wei­se nicht ent­hal­ten, genau­so wie ein­ge­ge­be­ne Such­be­grif­fe und vie­les wei­te­re.

Neben der Daten­richt­li­nie hat Face­book auch noch all­ge­mei­ne Nut­zungs­be­din­gun­gen[9], auf die es sich eben­falls lohnt, einen genaue­ren Blick zu wer­fen. Ein­wil­li­gung und Zustim­mung bei Ände­run­gen gesche­hen ana­log zur Daten­richt­li­nie und sind also mit der glei­chen Kri­tik behaf­tet.

In den Nut­zungs­be­din­gun­gen sichert sich Face­book umfang­rei­che Rech­te an den hoch­ge­la­de­nen Inhal­ten der Nut­zer zu. Die­ses als „nicht-exklu­si­ve, über­trag­ba­re, unter­li­zen­sier­ba­re, gebüh­ren­freie, welt­wei­te“ Lizenz bezeich­ne­te Nut­zungs­recht ist sehr weit gefasst, es ist unent­gelt­lich, nicht regio­nal begrenzt, Face­book kann es an Drit­te über­tra­gen und eine genaue Nut­zungs­art ist nicht ange­ge­ben. Und wie immer gibt es kei­ne Mög­lich­keit zu wider­spre­chen, ohne das Kon­to zu löschen.

Außer­dem ver­langt Face­book, dass Nut­zer sich mit ihrem wah­ren Namen anmel­den. Doch das Tele­me­di­en­ge­setz (TMG), das für alle elek­tro­ni­schen Infor­ma­ti­ons- und Kom­mu­ni­ka­ti­ons­diens­te gilt[10], schreibt vor, der Anbie­ter habe die Nut­zung anonym oder unter Pseud­onym zu ermög­li­chen[11]; dem trägt Face­book kei­ne Rech­nung.

Kri­tisch sind zudem zahl­rei­che Vor­ein­stel­lun­gen des Kon­tos. Sie geben Face­book zahl­rei­che Berech­ti­gun­gen wie z.B. das Nut­zen von Likes in Ver­bin­dung mit Namen und Pro­fil­bild eines Nut­zers für Wer­bung. Die Nut­zer wil­li­gen nicht bewusst ein, son­dern müs­sen die Ein­stel­lung aktiv ändern, falls sie nicht ein­ver­stan­den sind. Eben­so ist vor­ein­ge­stellt, dass das Pro­fil und zahl­rei­che Inhal­te öffent­lich sicht­bar sind und ein Pro­fil mit exter­nen Such­ma­schi­nen gefun­den wer­den kann.

Den­noch bie­tet Face­book – jeden­falls in Bezug auf ande­re Nut­zer — gute Mög­lich­kei­ten, Infor­ma­tio­nen pri­vat zu hal­ten: bei jeder geteil­ten Infor­ma­ti­on wie Sta­tus­bei­trä­gen oder Fotos kann unkom­pli­ziert ein­ge­stellt wer­den, für wen die­se sicht­bar sein soll. Es kann auch ein­ge­stellt wer­den, dass Mar­kie­run­gen des eige­nen Pro­fils erst nach Zustim­mung sicht­bar wer­den. Man kann zudem Bei­trä­ge auf der eige­nen Pinn­wand für ande­re Nut­zer unsicht­bar machen oder sie kom­plett sper­ren, sodass kei­ne Bei­trä­ge ande­rer Nut­zer mehr in der Chro­nik ange­zeigt wer­den. Im soge­nann­ten Akti­vi­tä­ten­pro­to­koll kann der Nut­zer die eige­nen Akti­vi­tä­ten nach­ver­fol­gen und in der Chro­nik aus­blen­den.

Doch es soll­te klar gewor­den sein: wer Wert auf Kon­trol­le und Schutz sei­ner Daten legt, soll­te die­se nicht bei Face­book tei­len.

Die­se Arbeit wur­de im Rah­men des BOK-​Kur­ses “Daten­schutz und Daten­si­cher­heit” von Stu­die­ren­den an der Uni­ver­si­tät Frei­burg erstellt.

[1] Face­book Bör­sen­be­richt vom 29. Juli 2015 (Face­book Inves­tor Rela­ti­ons QII 2015; abge­ru­fen am 14.08.2015)
[2] Sie­he Info­gra­fik der Ver­brau­cher­zen­tra­le Bun­des­ver­band So macht Face­book Daten zu Geld; abge­ru­fen am 14.08.2015
[3] Ver­si­on vom 30.01.2015, abruf­bar unter Face­book Daten­richt­li­nie
[4] Bun­des­da­ten­schutz­ge­setz BDSG
[5] §4 Abs. 1 BDSG
[6] §4 Abs. 3 BDSG
[7] §28 Abs. 3 BDSG
[8] §28 Abs. 4 BDSG
[9] Ver­si­on vom 30. Janu­ar 2015, abruf­bar unter Unter­neh­mens­in­for­ma­tio­nen Face­book
[10] §1 Abs. 1 TMG
[11] § 13 Abs. 6 TMG

Ande­re inter­es­san­te Bei­trä­ge:
Bring Your Own Device (BYOD) — Die Wirk­lich­keit in den USA
Ste­phen Cobb hat bei unse­rem Part­ner ESET in sei­nem Arti­kel BYOD Info­gra­phic: For secu­ri­ty it’s not a pret­ty pic­tu­re die Ergeb­nis­se einer von ESET beauf­trag­ten Har­ris Stu­die zusam­men­ge­fasst. Die Stu­die fasst die Ergeb­nis­se einer Befra­gung von rund 1300 berufs­tä­ti­gen US-Bür­gern zusam­men. In der Stu­di…
Coro­na App(s), Daten­schutz und Mobi­le Device Manage­ment
Heu­te ging durch die Pres­se, dass eine kri­ti­sche Sicher­heits­lü­cke bei iOS besteht, angeb­lich seit Sep­tem­ber 2012. Nach­zu­le­sen z.B. auf future​zo​ne​.at. Die Sicher­heits­lü­cke erlaubt angeb­lich Angrif­fe über die Mail-App. Die Sicher­heits­lü­cke wur­de ZecOps fest­ge­stellt, einer in mei­nen Augen eher dubi…
datomo MDM — Major Release 3.25 mit opti­mier­ter iOS Kon­fi­gu­ra­ti­on und neu­en Funk­tio­nen für den Android Base Agent 3.20
Das Major Release datomo MDM 3.25 sowie die Ver­si­on 3.25.1 bie­ten wie immer eini­ge nen­nens­wer­te Neue­run­gen, die­se betref­fen vor allem den Aus­bau der neu­en GUI und wei­te­re Opti­mie­run­gen für die mobi­len Platt­for­men: Beson­ders her­vor­zu­he­ben ist der wei­te­re Aus­bau der neu­en GUI. Es ist jetzt mög­lich,…
Bring Your Own Device (BYOD) hilft nicht spa­ren — beson­ders im Öffent­li­chen Dienst
In die­ser Woche hat­te ich schon drei Gesprä­che mit IT-Ver­ant­wort­li­chen aus dem öffent­li­chen Bereich. Alle waren stark vom The­ma Bring Your Own Device beein­flusst. BYOD wird in man­chen Berei­chen des Öffent­li­chen Diens­tes — lei­der sehr vor­der­grün­dig — als Lösung grund­sätz­li­cher Pro­ble­me gese­hen. Mir …
Mög­lich­kei­ten der Gerä­te­ein­bin­dung in datomo MDM
Wir haben in die­sem Blog mit einer Arti­kel­se­rie begon­nen, in der wir unse­re Leser über Fra­gen unse­rer Anwen­der infor­mie­ren, die uns täg­lich im Zusam­men­hang mit der datomo MDM Lösung gestellt wer­den. Eine die­ser Fra­gen lau­tet zum Bei­spiel: Wel­che Mög­lich­kei­ten der Gerä­te­ein­bin­dung bie­tet…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

I accept that my given data and my IP address is sent to a server in the USA only for the purpose of spam prevention through the Akismet program.More information on Akismet and GDPR.

Geben Sie bitte das Ergebnis ein: * Time limit is exhausted. Please reload CAPTCHA.