Facebook: Deine Daten gehören(!) uns. (Wirklich.)

Der Fall hat inzwischen sehr viel mediale Aufmerksamkeit bekommen: Der Österreicher Max Schrems hat erklärt, wie man Facebook dazu bringt, (alle) über einen gesammelten Daten herauszugeben. Man muss unter diesem Link als Grund für die Anfrage “Section 4 DPA” oder “Art. 12 Directive 95/46/EG” angeben und ein Foto / Scan eines gültigen Ausweisdokuments beifügen.

Sobald Facebook nachgibt, bekommst du eine CD mit deinen Daten und einem Begleitschreiben zugeschickt. Dafür hat Facebook 40 Tage Zeit, ab dem Ausfüllen des Formulars . Diese hat ein PDF mit vielen (meist aber nicht mit allen) Datensätzen, die Facebook von dir gespeichert hat. Dabei kannst du mit über 1.000 Seiten und einem Datenumfang von mehreren hundert MB rechnen.

Beim Betrachten seines Datensatzes fiel Max auf, dass er nicht vollständig war. Es fehlten unter anderem seine Beiträge auf den Seiten anderer Personen, seine „Likes“, oder zum Beispiel Infos zu Videos, die er gepostet hatte.

Dass Facebook über diese Daten verfügt, konnte Max aus der Facebook-Datenschutzrichlinie und Funktionalitäten der Seite entnehmen: Da es die Möglichkeit gibt, anderen Usern zu verbieten, einen auf bestimmten Bildern zu taggen, gehört zu Max‘ vollständigem Datensatz also auch die Liste der Bilder, in denen er nicht getaggt werden möchte. Diese aber fehlte zusammen mit 19 weiteren Punkten.

Er forderte Facebook also auf, die fehlenden Daten nachzuliefern, um der Verpflichtung einer vollständigen Herausgabe der Daten nach europäischem Recht zu entsprechen. Facebook antwortete, diese Daten seien

  1. Geschäftsgeheimnis von Facebook
  2. „schwierig“ zu übermitteln und
  3. geistiges Eigentum von Facebook

Das ist natürlich schon ein starkes Stück, war aber auch nicht anders zu erwarten. Die Facebook-AGBs sagen eindeutig aus „Du bist Eigentümer aller Inhalte und Informationen, die du auf Facebook postest.“ – also nicht der Informationen, die Facebook sonst über dich sammelt – aber genau um diese geht es ja bei der Datenschutz-Anfrage.

Klarstellung: Section 4 DPA lässt genau diese 3 Möglichkeiten offen, einer Anfrage nicht vollständig zu entsprechen. Ich dachte, das wäre offensichtlich, weil Facebook sich ja darauf bezieht, in den Kommentaren offenbart sich aber, dass dem nicht so ist, deshalb sei es an dieser Stelle betont.

Warum aber ist Max‘ Vorgehen so wichtig? Es geht hier nicht nur um Datenschutz, sondern auch grundsätzliche Verbraucherrechte. Wenn Facebook seine Nutzer jetzt dazu bringen möchte, dort ein Online-Lebens-Logbuch zu führen, dann wird Facebook nach wenigen Jahren zu einem goldenen Käfig, wenn man nicht die Möglichkeit hat, seine Daten irgendwie dort heraus zu bekommen, um zu einem anderen Anbieter zu wechseln.

Genau das zu verhindern ist aber natürlich in Facebooks Interesse. Nicht durch Zufall werden die Daten in einem für einen Import in andere Dienste denkbar ungeeigneten pdf geliefert, statt in einem maschinenlesbaren Format wie csv.

Wenn wir von „sozialen Netzwerken“ reden wollen und nicht von Webseiten, bei denen wir nicht der Nutzer, sondern selbst das Produkt sind, das verkauft wird, weil wir unsere eigenen Daten zum geistigen Eigentum eines Konzerns werden lassen, dann brauchen wir eine Möglichkeit, die Dienste unkompliziert zu wechseln. Dafür braucht es gesetzliche Regelungen, weil die Konzerne es von sich aus nie ermöglichen würden – siehe z.B. Mobilfunk-, Festnetz- und DSL-Verträge – oder, wie ich es seit langem predige, soziale Netzwerke, die sowohl das Attribut „sozial“, als auch den Namen Netzwerk verdienen, und in Nutzerhand sind. Es ist ja ohnehin ein Unding, unsere gesamte Kommunikation und Lebensgeschichte ausgerechnet in die Hand eines einzelnen Konzerns zu legen, der daraus Milliarden macht.

~~~

Die Initiative Europe vs. Facebook von Max Schrems setzt sich für die Durchsetzung des europäischen Datenschutzrechts bei Facebook ein. Die Ziele sind

  • Transparenz
  • Opt-in statt Opt-out
  • Datensparsamkeit
  • und keine Informationssammlung gegen den Willen einer Person (Freundefinder, Gesichtserkennung, etc.)

Da Facebook einerseits ziemlich offensichtlich den europäischen Datenschutzgesetzen nicht entspricht, und seinen Sitz, vermutlich aus steuerlichen Gründen, in Irland hat, hat Europe-vs-Facebook die Facebook Ireland Ltd. beim irischen Data Protection Comissioner angezeigt.

Und zwar 22 Mal.
Im Interview mit Einslive hat Max viele der Punkte geschildert – dem geneigten netzpolitik.org-Leser sollten sie größtenteils bekannt sein.

Die irischen Datenschützer entschlossen sich recht bald zur Ankündigung einer Betriebsprüfung.

52 Kommentare
      • Deus Figendi 30. Sep 2011 @ 11:20
    • datenpragmatiker 29. Sep 2011 @ 15:03
      • datenpragmatiker 29. Sep 2011 @ 15:56
      • datenpragmatiker 29. Sep 2011 @ 16:32
    • Deus Figendi 30. Sep 2011 @ 12:10
Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden