Die Kampagnen und Initiativen für eine verbesserte Datenschutzpolitik bei Facebook mehren sich nicht nur, sondern scheinen auch erste Spuren zu hinterlassen – so ernannte Facebook erst kürzlich eine Datenschutzbeauftragte. Dennoch müssen große Datensammler noch weitaus mehr tun, um Vertrauen und Glaubwürdigkeit zu schaffen. Gefragt ist aber auch die Selbstverantwortung der Nutzer.
Facebook hat mit ca. 20 Millionen Nutzern in Deutschland und ca. 750 Millionen weltweit eine Quasi-Monopolstellung unter den sozialen Netzwerken erreicht. Für viele Menschen ist die Nutzung dieses Angebots aus beruflichen oder privaten Gründen zu einem wichtigen Bestandteil ihrer alltäglichen Bewegung im Lebensraum Internet geworden. So erklärt sich auch der vermeintliche Widerspruch, dass rund 90 Prozent der deutschen Internetnutzer laut einer von TNS Emnid im Auftrag von Ketchum Pleon durchgeführten repräsentativen Umfrage den Umgang von Facebook mit persönlichen Daten für bedenklich halten, mehr als jeder Vierte aller Befragten es aber dennoch regelmäßig nutzt.
In immer kürzeren Abständen integriert Facebook neue Funktionen, wie zuletzt die Gesichtserkennung, die häufig auch der Sammlung und Archivierung von Nutzerdaten dienen, ohne umfassend darüber aufzuklären. Neue Funktionen machen teilweise auch Änderungen in den Datenschutzbestimmungen oder den Allgemeinen Geschäftsbestimmungen (AGB) notwendig und sind nach Einführung standardmäßig in den Profilen aktiviert. Das bedeutet: Es sind proaktive Eingriffe der registrierten Nutzer notwendig, um gegebenenfalls unerwünschte Funktionalitäten wie die Frei- oder Weitergabe persönlicher Informationen an Dritte (z.B. Unternehmen) zu unterdrücken. Manche dieser Funktionen, wie die Erfassung von Adressbüchern in Mobiltelefonen, betreffen auch unbeteiligte Dritte, die selbst nicht bei Facebook registriert sein müssen.
Als Konsequenzen dieser Praxis drohen Datenmissbrauch oder die unerwünschte Verknüpfung und Zentralisierung von Nutzerdaten. Außerdem speichert Facebook die Daten von Usern (Fotos, Beiträge etc.) längerfristig – auch wenn diese vom Nutzer vermeintlich gelöscht werden oder er seinen Account kündigt. Diese Form der Vorratsdatenspeicherung ist datenschutzrechtlich problematisch. Kritikwürdig ist ebenfalls, dass Facebook seine Nutzer nicht über Änderungen in den AGB informiert, es sei denn, man „liked“ die „Facebook Site Governance“. Diese Seite, die nur in englischer Sprache existiert, kennen weltweit lediglich zwei Millionen Facebook-Nutzer. Zuletzt hatte schließlich die Ankündigung von Facebook zur Einführung einer Timeline für enormes Aufsehen und Kritik gesorgt. Es scheint, dass diese Praxis nicht zuletzt auch wegen der relevanten Markt- und Marketingmacht von Facebook seitens Politik und Wirtschaft stillschweigend toleriert wird.
Das Facebook-Privatsphären-Einmaleins
Hier klicken, um das Video auf YouTube anzusehen...
(Das Video ist zwar nicht auf aktuellem Stand, aber immer noch empfehlenswert. Tipps zur neuen Timeline gibt es z.B. von CNET-TV.)
Derlei Datensammelwut treibt Datenschützer wie Thilo Weichert vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD) auf die Palme. Der Jurist droht Webseitenbetreibern in Schleswig-Holstein damit, Bußgelder von bis zu 50.000 Euro zu verhängen, wenn diese nicht den „Like-Button“ von Facebook auf ihren Seiten entfernen und ihre Fanseiten löschen. Denn bei der Nutzung der Facebook-Dienste erfolge eine Datenweitergabe von Verkehrs- und Inhaltsdaten in die USA sowie eine qualifizierte Rückmeldung an den Betreiber hinsichtlich der Nutzung des Angebots – die sogenannte Reichweitenanalyse. Dies ist laut Weichert in jetziger Form rechtswidrig.
In einem Interview mit politik-digital.de vom August stellte er fest, dass das „europäische und das deutsche Datenschutzrecht fordern, dass beim Setzen von Cookies zur Profilbildung die Betroffenen hierüber informiert werden und ihnen eine aktive Wahlmöglichkeit gegeben wird, ja dass sie hierfür eine Einwilligung erteilen. Diese Informationen und Optionen werden von Facebook nicht angeboten.“ Weicherts Datenschutz-Kritik mag zwar grundsätzlich richtig sein. Es ist jedoch illusorisch zu denken, Schleswig-Holstein würde durch die von ihm angekündigten Maßnahmen „facebookfrei“ werden.
Befindet er sich also auf dem Holzweg? Unabhängig davon, dass er in erster Linie die Nutzer bestraft und nicht Facebook selbst, greift sein Ansatz jedenfalls viel zu kurz und ist kontraproduktiv – eine solche Insellösung kann nicht funktionieren. Ende vergangener Woche lehnten es gar die Staatskanzlei und das Wirtschaftsministerium von Schleswig-Holstein ab, dem Aufruf Weicherts zu folgen und ihre Facebook-Seiten zu löschen, da diese ein wichtiges Kommunikationsmittel seien. Jede Medaille hat bekanntlich zwei Seiten. Daher sind andere Maßnahmen nötig, um die informationelle Selbstbestimmung der Nutzer im Lebensraum Internet zu stärken. Dazu gehört die Schaffung transparenter Strukturen bei Unternehmen wie Facebook, Google, Apple und Co., aber auch bei staatlichen Stellen (Stichwort: Vorratsdatenspeicherung) sowie eine bestmögliche Kontrolle des Nutzers selbst über die über ihn erhobenen bzw. gespeicherten Daten. In diesem Zusammenhang ist die sogenannte „Post-Privacy“-Bewegung interessant. Deren Vertreter, wie die datenschutzkritische Spackeria, gehen davon aus, dass die klassische Privatsphäre ein Relikt der vordigitalen Ära ist und Datenschutz nicht mehr funktioniert. Auch bei der Piratenpartei gibt es eine aktuelle Debatte im Spannungsfeld zwischen informationeller Selbstbestimmung und Post-Privacy-Position. In ihrem Parteiprogramm spricht sie sich jedoch klar für das Recht auf Wahrung der Privatsphäre und informationelle Selbstbestimmung aus.
Einen gedanklichen und konkreten Schritt weiter als Datenschützer Thilo Weichert sind die Aktivisten der österreichischen Initiative “Europe versus Facebook”, die auf juristischem Wege den Datenschutz von Facebook auf den Prüfstand stellen lassen. Im Interview mit mir hatte der Mitinitiator Max Schrems kürzlich bekannt, dass er selbst gerne Facebook nutze und der Devise „verbessern statt verweigern“ folge. Das scheint ein guter Ansatz zu sein. Die Initiative reichte mittlerweile 22 Beschwerden bei der irischen Datenschutzkommission gegen „Facebook Ireland Ltd“ ein, das seinen Sitz in Dublin hat und mit dem alle Nutzer außerhalb der USA und Kanadas ein Vertragsverhältnis haben. Eine erste Reaktion von Facebook war das Versprechen, an einem System zu arbeiten, das Nutzern eine vollwertige Auskunft über die verwendeten Daten gibt. Zudem gab Facebook Ireland Ltd auf Anfrage Nutzerdaten heraus – jedoch nicht vollständig. Begründet wurde dies damit, dass die restlichen Nutzerdaten „Geschäftsgeheimnisse“ seien.
Zudem seien weitere Daten „überproportional schwierig“ zu übermitteln und „geistiges Eigentum“ von Facebook: Zu diesen Informationen gehören beispielsweise Daten aus dem Gesichtserkennungsprogramm wie auch die auf externen Webseiten mittels „Like-Button“ gesammelten Daten.
Video von extra 3: Willkommen bei Facebook:
Hier klicken, um das Video auf YouTube anzusehen...
Doch trotz des Mauerns von Facebook verstärkt sich der Druck durch öffentlichkeitswirksame Aktionen wie “Europe versus Facebook”. Die jüngste Ernennung der Anwältin Erin Egan zur Datenschutzbeauftragten des Internetriesen ist ein kleiner Schritt in die richtige Richtung – der jedoch bei weitem nicht ausreicht. Sicherlich ist es kein Zufall, dass Facebook kurze Zeit nach dem Start von Google+ einige Features überarbeitet hat. Doch auch Google ist ein ungezähmter Datensammler und kein vertrauensvollerer Makler.
Grundsätzlich ist nichts gegen staatliches Handeln einzuwenden, das hilft, den Datenschutz bei Facebook und anderen „Datenkraken“ zu verbessern, wenn dieses nicht den Charakter von Zensur und unverhältnismäßiger Überwachung in sich trägt. Solch ein politisches Engagement verpufft jedoch, wenn es nur auf Länderebene erfolgt. Vielmehr sollte es den Erfordernissen einer global vernetzten Welt entsprechend auf internationalem Terrain geschehen. Schließlich lassen sich Konzerne wie Facebook, Google und Co., die sowohl offline als auch online transnational agieren, weniger von auf einzelne Staaten oder Regionen beschränkte politische Maßnahmen beeindrucken.
Dies scheint die EU-Justizkommissarin Viviane Reding ähnlich zu sehen. Sie spricht sich für eine Novellierung der europäischen Datenschutzrichtlinie aus, um Bürgern mehr Mittel an die Hand zu geben, ihre Rechte in puncto Datenschutz in der Praxis durchsetzen zu können. Hier Übereinkünfte zu erzielen, ist kurzfristig betrachtet zwar realistischer, doch auch weltweite Vereinbarungen müssen längerfristig zusätzlich erwogen werden.
Für den Nutzer muss transparent und nachvollziehbar sein, wie und wofür Internetkonzerne bestimmte Daten verwenden. Es muss dafür Sorge getragen werden, dass mit deren Erhebung kein Missbrauch betrieben wird und diese zuvorderst im Sinne der Nutzer verwendet werden – z.B. zur Optimierung von Kommunikationsprozessen. Mindestens ebenso wichtig ist jedoch ein aufgeklärter und selbstverantwortlich handelnder Bürger, der sich der Konsequenzen der Preisgabe seiner Daten im Internet bewusst ist. Es müssen also sowohl die informationelle Selbstbestimmung als auch der bewusste Umgang mit dem Internet (Stichwort: Medienkompetenz) gefördert werden – und keinesfalls die staatliche Bevormundung!
Informationsdiensten wie Facebook könnten mittel- bis längerfristig staatliche Eingriffe auf internationaler Ebene drohen, wenn sie ihre Geschäftsmodelle mit Blick auf die Datenverarbeitung nicht transparenter und datenschutzfreundlicher gestalten und der Unmut dagegen weiter wächst: So hat der US-amerikanische IT-Sicherheitsexperte Jon Callas kürzlich die These aufgestellt, dass große Datensammler als „Grundversorgungsunternehmen der Informationsbeschaffung und des Gedankenaustauschs“ eines Tages „unter staatliche Aufsicht gestellt oder gar vom Staat betrieben“ werden könnten. Letzteres dürfte weder im Interesse dieser Unternehmen, noch im Interesse derjenigen sein, die für ein freies Netz einstehen.
Dieser Beitrag wurde von mir auf politik-digital.de am 10.10.2011 erstveröffentlicht.