Datenschutzbericht zu Facebook veröffentlicht

Billy Hawkes, der irische Data Protection Commissioner (DPC), hat heute seinen 148-Seiten starken Bericht zum Zustand des Datenschutzes bei Facebook veröffentlicht. Da Facebook Ireland für die Nutzer außerhalb Nordamerikas zuständig ist, wurde dem Dokument seit einiger Zeit mit besonderer Spannung entgegen gesehen. Ein Blick in den Bericht lohnt sich übrigens auch für den, der vom Umfang abgeschreckt ist: Die Forderungen des DPC sind auch beim Überfliegen schnell gefunden und in Tabellen mitsamt dem jeweiligen Zugeständnis durch Facebook aufbereitet (siehe S. 5-20).

Ein erstes Ergebnis: Zum einen hat Facebook im Zuge des Verfahrens bereits einige Punkte verbessert. Beispielsweise wurde die Forderung nach einem Manual für das Direkt-Marketing umgehend erfüllt, nachdem der Data Protection Commissioner festgestellt hatte, dass es einigen Mitarbeitern in dieser Sparte an Verständnis für die Datenschutz-Vorschriften fehlt.

Zu noch offenen Kritikpunkten hat sich die Firma verpflichtet, innerhalb der nächsten sechs Monate Verbesserungen durchzuführen, die dann im Juli 2012 überprüft werden sollen. Unter anderem wird der Prozess des Datenzugriffs durch die Nutzer vereinfacht; im Januar 2012 soll zudem die Einwilligung in die Gesichtserkennung nachgefragt werden. Nutzerdaten – sowohl von Facebook-Mitgliedern als auch von Nicht-Mitgliedern, die über die „Social Plugins“ auf anderen Websites trotzdem Daten an Facebook übermittelt haben – werden schneller als bisher gelöscht, anonymisiert und/oder aggregiert.

Der Bericht hat zu einem ersten Jubelschrei auf Seiten von Europe vs Facebook geführt; eine Zusammenfassung der Ergebnisse ist hier zu finden. Herzlichen Glückwunsch an dieser Stelle, denn der Prozess wurde insbesondere durch die dort koordinierten Anfragen an Facebook und Anzeigen beim DPC in Gang gesetzt.

Als wesentliche Punkte sieht EvF (neben den bereits genannten) folgendes:

Facebook has to change and improve its privacy policy in many points.
Facebook will be restricted in its use of user data for targeted advertisement purposes.
Facebook will not be allowed to use user pictures for promotion of certain products without the user’s prior consent.
Users will have to be given a possibility to permanently and definitely delete data. Up until now, deleted data has been stored by Facebook for an indefinite time.
It will not be possible anymore to add a user to a group without their prior consent.
Inactive and deactivated profiles will have to be deleted if the user has not logged on for a certain longer time.
The last digits of IP-addresses stored from “Social plug-ins” will have to be deleted.
Things entered in the “search” field on Facebook will have to be deleted after 6 months.
If users click on advertisements, this data will have to be deleted after 2 years.
Data of users who did not complete the registration process on facebook.com will have to be deleted.
Users will only be able to provide applications with limited access to their friends’ data.
Facebook will have to check if the privacy policy of applications is compliant with the laws.
Facebook will have to ensure that its employees only have access to the data required for their specific task. No such system has been in place so far.

Das Statement von Facebook selbst kann man hier nachlesen.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

11 Ergänzungen

  1. Nachdem ich mir die Berichte jetzt einige Stunden lang angesehen habe, komme ich zu einem anderen Schluss als „Europe versus Facebook“:

    Die Änderungen, die Facebook verspricht, sind erstens größtenteils kosmetisch und zweitens freiwillig. Auf Seite vier des Hauptberichts steht, dass Facebook nach Ansicht der DPC nicht gegen irisches Datenschutzrecht verstößt. Also eher kein Grund zu Jubeln.

    http://bit.ly/sOObnN

    1. Im Zusammenhang mit dem Statement von Facebook wirkt das mMn wie ein Deal. Die Formulierung ist ja auch vorsichtig genug, um auch nicht ausdrücklich auszusagen, dass Facebook nicht gegen Datenschutzrecht verstößt. Und ein paar der Verbesserungen wirken auf mich schon substantiell, z.B. die Löschung der Social-Plugin-Daten. Die konkreten Forderungen sind außerdem ziemlich deutlich formuliert.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.