Internes DokumentFacebook hat keine Kontrolle über seine Daten

Ein geleaktes Facebook-Dokument zeigt, dass der Konzern selbst kaum einen Überblick darüber hat, wohin die Daten seiner Nutzer:innen fließen. Datenschutzexperten sehen einen Widerspruch zur Datenschutzgrundverordnung.

Ein weißer Mann mit weißem Hemd hat eine Taschenlampe in der Hand und leuchtet in das Dunkel.
Den Datenströmen auf der Spur: Facebooks interne Expert:innen (Symbolbild) Gemeinfrei-ähnlich freigegeben durch unsplash.com William Carlson

Der Techgigant Facebook sammelt und verarbeitet riesige Mengen personenbezogener Daten von seinen Nutzer:innen. In Europa reguliert die Datenschutzgrundverordnung (DSGVO) diese Praxis: Nutzer:innendaten dürfen nur für spezifische Zwecke benutzt und nicht anderweitig verwendet werden. Ein internes Dokument zeigt allerdings, dass Facebook nur bedingt Kontrolle über den eigenen Datenstrom hat.

Die Tech-Nachrichtenseite Motherboard von VICE hat diese Woche ein geleaktes 15-seitiges Dokument von Facebook veröffentlicht, das von Datenschutzexpert:innen des „Ad and Business Product Teams“ stammt. Das Dokument selbst ist aus dem vergangenen Jahr. Die Autor:innen sind für das Werbesystem von Facebook verantwortlich. Das Geschäft mit personalisierter Werbung ist für das Unternehmen die mit Abstand größte Einnahmequelle. Facebook nutzt dazu Daten von Nutzer:innen, etwa Alter, Beruf oder Interessen. Facebook erfasst auch Standortdaten der Nutzer:innen. In dem Dokument warnen die Fachkräfte, dass Facebooks Umgang mit Nutzerdaten weltweit zu Konflikten mit Datenschutzauflagen führen könne – auch mit der europäischen DSGVO.

Undurchsichtiger Datenfluss

Das Unternehmen arbeitet demnach mit offenen Systemen. Das bedeutet, Facebook operiert mit einem Mix aus ganz verschiedenen Datentypen, der neben Daten von Erstanbietern und Daten von Drittanbietern auch sensible Daten umfasst. Dieser gemischter Datenstrom fließe dann überall hin – und sei dabei nur schwer kontrollierbar, so das Dokument. Facebooks Datenschutzteam hat also nach eigene Angaben selbst Schwierigkeiten nachzuvollziehen, was mit den erhobenen Daten passiere. Daraus lässt sich schließen, dass auch Nutzer:innen nur bedingt steuern können, wofür ihre Daten genutzt werden.

Innerhalb der Tech-Branche wird die Frage nach dem Datenweg als „Data Lineage“ bezeichnet – also als „Datenstammbaum“. Ein Datenstammbaum kann zum Beispiel zeigen, wann und auf welche Weise Daten verändert oder genutzt worden sind. Diese Angaben sind auch im Rahmen von europäischen Datenschutzgesetzen relevant. Schließlich regelt die „Zweckbindung“ unter Artikel 5 der DSGVO, dass Daten nur für „festgelegte, eindeutige und legitime Zwecke erhoben werden“ müssen und nicht für anderweitige Zwecke weiterverarbeitet werden dürfen.

Kurz gesagt: Der Konzern Facebook benötigt für jede Verwendung von personenbezogenen Daten eine Rechtsgrundlage. Facebook muss also angeben können, aus welchem Grund es die Daten sammelt und was es damit macht.

Das geleakte interne Dokument stellt nun infrage, ob Facebook überhaupt die Bestimmungen der DSGVO einhalten kann. Schließlich hat das Unternehmen nach eigenen Angaben kein „angemessenes Maß an Kontrolle und Erklärbarkeit“ darüber, wie ihre Systeme mit Daten arbeiten. Die Datenschutz-Expert:innen vermerken in dem Dokument:

Wir können keine kontrollierten Änderungen der Richtlinien oder externe Verpflichtungen wie „wir werden X Daten nicht für Y Zwecke verwende“‚ eingehen. Und doch ist es genau das, was die Regulierungsbehörden von uns erwarten.

Ein „offenes Geständnis“ von Facebook

Der Datenschutz-Experte und Programmierer Wolfie Christl bezeichnet das interne Dokument als „offenes Geständnis“ von Facebook. Das Unternehmen gestehe damit, dass sein gesamtes Geschäftsmodell fundamental gegen die DSGVO verstoße. Er sagte gegenüber netzpolitik.org:

Die Zweckbindung ist ein zentrales Prinzip in der DSGVO. Wenn ein Unternehmen nicht genau sagen kann, für welchen Zweck personenbezogene Daten am Ende genutzt werden, dürfen sie schlicht nicht verarbeitet werden.

Johnny Ryan vom Irish Council for Civil Liberties sieht in Facebooks Umgang mit Daten einen Verstoß gegen europäische Gesetze. Er sagt gegenüber Motherboard: „Alles, was mit unseren Daten passiert, ist illegal“.

Ein Sprecher von Facebook bestreitet hingegen, dass das Unternehmen Daten Datenschutzbestimmungen verletze. Trotz der Angaben in dem Dokument sei „unzutreffend, daraus zu schließen, dass es eine Nichteinhaltung darstelle“, so der Sprecher gegenüber VICE. „Dieses Dokument spiegelt die technischen Lösungen wider, die wir entwickeln, um unsere derzeitigen Maßnahmen zur Datenverwaltung zu erweitern und unsere Verpflichtungen zu erfüllen.“

In dem Dokument sind mehrere technische Möglichkeiten vermerkt. Eine kurzfristige Lösung soll das neue Produkt „Basic Ads“ darstellen, dessen europäischer Launch laut dem von Vice veröffentlichten Dokument im Januar 2022 geplant war. Facebook-Nutzer:innen sollen mit dem Produkt fast alle ihrer Drittanbieter- und Erstanbieter-Daten ablehnen können, so das Dokument. Allerdings hat der Launch bisher noch nicht stattgefunden.

Appell an die irische Datenschutzbehörde

Da Facebook seinen Europasitz in Dublin hat, ist die irische Datenschutzbehörde zuständig für alle grenzüberschreitenden Datenschutzbeschwerden gegen Facebook. Der stellvertretende Behördenchef Graham Doyle sagte gegenüber TechCrunch, dass die Behörde erst durch die Veröffentlichung durch Vice auf das Dokument aufmerksam geworden sei. Die irische Datenschutzbehörde steht schon länger in der Kritik, Facebook in seiner umstrittenen Datenpolitik gewähren zu lassen.

Laut Datenschützer Christl sollte die irische Behörde schleunigst handeln. „Wenn Facebook nicht klarmachen kann, wie die erfassten Daten genutzt werden, muss ein Verarbeitungsverbot verhängt werden.“ Er verweist dabei auch auf die Verantwortung Europas. „Die EU muss hier Druck ausüben.“

Mehr Zeit für kritische Berichterstattung

Ihr kennt es: Zum Jahresende stehen wir traditionell vor einer sehr großen Finanzierungslücke und auch wenn die Planung und Umsetzung unseres Spendenendspurts viel Spaß macht, bindet es doch sehr viele Ressourcen; Ressourcen, die an anderer Stelle für unsere wichtige Arbeit fehlen. Um Euch also weniger mit Spendenaufrufen auf die Nerven zu gehen und mehr Recherchen und Hintergründe bieten zu können, brauchen wir Eure regelmäßige Unterstützung.

Jährlich eine Stunde netzpolitik.org finanzieren

Das Jahr hat 8.760 Stunden. Das sind 8.760 Stunden freier Zugang zu kritischer Berichterstattung und wichtigen Fragestellungen rund um Internet, Gesellschaft und Politik bei netzpolitik.org.

Werde Teil unserer Unterstützungs-Community und finanziere jährlich eine von 8.760 Stunden netzpolitik.org oder eben fünf Minuten im Monat.

Jetzt spenden


Jetzt spenden

13 Ergänzungen

  1. Wer das geleakte und dankenswerterweise Verlinkte Dokument liest, versteht auf Anhieb die Timelines und warum die systematische Zögerlichkeit der irischen Datenschutzbehörde so sehr wichtig für Meta Inc. (Facebook) ist. Es geht um sehr sehr viel Geld.

    Die irische Regierung hat mit dem damaligen Facebook Inc. Konzern sittenwidrig niedrige Steuern vereinbart (V.a. Korruption). Das bedeutet, Irland hat Steuereinnahmen wenn Facebook, jetzt Meta, unverschämt profitabel ist. Fallen die Einnahmen von Facebook, werden die irischen Steuereinnahmen zur realen Lachnummer, möglicherweise muss Irland sogar Steuern erstatten, wenn Verrechnung mit Vorjahren erfolgt.

  2. Gut wäre, wenn ihr Quellen wie Christl und Ryan mit Zitaten richtig kennzeichnet, ein Link zum „about“ bringt da relativ wenig um die Validität nachzuprüfen. Ich hätte gerne einen Link auf die Aussage. Vielleicht könnt ihr das nachtragen?
    LG
    krutor

    1. Hallo, die zitierten Aussagen im Text hat Wolfie Christl direkt gegenüber uns geäußert und sind deswegen nicht verlinkbar. Das Zitat von Johnny Ryan haben wir aus der genannten Motherboard-Recherche, die wir bereits am Anfang des Artikels verlinkt haben.

  3. Alle diese Schilderungen von Intern Erfaßten Daten deren Weg man nicht verfolgen könne klingen so Phantastisch wie ein Dschungel in dem ein Chef einer Affenhorde dem anderen Bananen an den Kopf wirft und beide nicht wollen das Paviane verfolgen könnten wo die ganzen Bananen her kommen und wo sie hin verteilt werden. Kurz: Kann es sein das die Datenschutzleute intern behindert werden dadurch das andere Abteilungen sie nicht in ihre Daten und Prozesse rein schauen lassen? Scheint mir die einzig Logische Erklärung. Die andere wäre das aus dem System Facebook ein überwuchertes Konglomerat an Systemen wurde das nie mit hinreichender Planung aufgestellt wurde – und damit mehr einem verfilzten Dschungel gleich kommt. :-)

    Interessante Frage wäre jetzt, wenn FB in der Tat den Weg der Daten nicht nachvollziehen kann, nicht erklären kann warum es Datum X erfasst und an wen es sonst noch geht und damit ein Verarbeitungsverbot für alles nicht erklärbarer erteilt würde…. wie lange müßte Facebook wohl abgeschaltet und reorganisiert (Von Grund auf neu Planend) werden? Wochen? Monate? Jahre? Nie wieder??? :-)

    Das man so einen Dschungel im Regelbetrieb durchforstet und Datenschutzkonform neu aufsetzt kann man wohl ausschließen. Einzig andere Möglichkeit wäre dann noch ein Zweites Facebook daneben hoch zu ziehen das diese Fehler vermeidet. Da der Fehler aber im Geschäftsmodell liegt kann man es auch gleich lassen. Generell Verbieten wäre für alle Billiger, Besser und Sicherer. Niemand braucht ein Asoziales Netzwerk außer den Leuten denen sie es erfolgreich einreden konnten. Für Süchtige gibt es aber nur den Entzug! :-)

  4. Das Pendant zum Basic Ads (der „Alles Ablehnen“-Button) wird dann gewiss Extended Ads (der „Alles Annehmen“-Button) sein. Um es den Datenvoyeuren etwas einfacher zu machen, wird die Schnittstelle um einen Auftragsdatenverarbeitungsvertrags-REST-Endpoint erweitert. Die Datenschutzerklärung kann so automatisch aktualisiert werden. Datensubjekte bekommen bei jeder Änderung einen erneuten Akzeptieren/Ablehnen-Button präsentiert. Aufgrund der Riesenhaftigkeit der Plattform werden die Änderungen so oft vorkommen, dass schließlich eine Crypto-Währung draus gemacht wird.

    1. Hallo Renate! Gut, dass du den Account gemeldet hast. Wenn du im Netz grenzverletzendes Verhalten wie dieses erlebst und mehr tun möchtest/ weitere Fragen hast, dann findest du kostenlos Rat und Expertise bei Hilfsorganisationen wie Hate Aid und „Frauen gegen Gewalt e.V.“

      https://www.frauen-gegen-gewalt.de/de/hilfe-beratung.html
      https://hateaid.org/meldeformular/

      Wir haben deinen Kommentar gekürzt, da diese Kommentarspalte eigentlich Ergänzungen zum Text gewidmet ist.
      Viel Kraft und alles Gute!

  5. Rechtschreibfehler im letzten Abschnitt „Lauit Datenschützer Christl…“, „LAUIT“ sollte vermutlich „LAUT“ sein.
    LG :)

  6. Wer stellt eigentlich sicher, dass FB nicht auch alle verfügbaren Daten von nicht FB Mitgliedern sammelt, aufbereitet und vermarktet?

    1. Der Nutzer oder die Nutzerin: Durch Sperren aller Domains, die mit F.c.book zu tun haben. Für das Heimnetz in Router (die Fritzboxen können das) oder mit einem lokalen DNS wie PiHole. Im Browser für unterwegs mit NoScript und CookieAutoDelete. Von mir weiß F.c.book fast gar nichts.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.