Experten-Analyse Hier provoziert Facebook Datenschutzärger (Spiegel Online, 7.5.2010)

Experten-Analyse

Hier provoziert Facebook Datenschutzärger

E-Mail-Datenbanken, Veröffentlichung von Kommentaren bei Drittanbietern, öffentliche Kontaktlisten – was darf Facebook eigentlich in Deutschland? Manche Datenschutzvorschriften sind härter als entsprechende US-Regeln. SPIEGEL ONLINE fragt Rechtsexperten, welche Facebook-Dienste heikel sind.

Spiegel Online, 7.5.2010

{jumi [*3]}

In den Vereinigten Staaten ist Facebook unter Druck: Politiker fordern mehr Datenschutz und Facebooks ehemaliger Datenschutz-Chef Chris Kelly warnt in seinem Wahlkampf um das Amt des kalifornischen Generalstaatsanwalts den alten Arbeitgeber: Facebook solle Nutzern mehr Kontrolle geben. Er werde im Amt mit aller Macht gegen Unternehmen vorgehen, sollten sie das Gesetz brechen – „einschließlich Facebook“.

{jumi [*4]}

US-Politiker streiten darüber, was Facebook nach US-Recht darf – aber wie sieht das eigentlich in Deutschland aus? Facebook bietet eine auf deutsche Nutzer zugeschnittene Seite an, muss sie deshalb nach deutschen Datenschutzregeln gestalten. Die sind in einigen Punkten strenger als US-Regeln.

Das Bundesdatenschutzgesetz verlangt von Anbietern wie Facebook neben vielen interpretationsbedürftigen Details vor allem diese Prinzipien bei der Datenspeicherung:

  • Transparenz. Anbieter müssen den Betroffenen verständlich erklären, welche Daten wofür gespeichert werden. Der Nutzer muss konkret erfahren, was mit seinen Daten geschieht.
  • Kontrolle. Der Nutzer muss steuern können, was mit seinen Daten passiert – und welche davon wo veröffentlicht werden.
  • Löschung. Nutzer müssen ihre Einwilligung in die Bestimmungen von Facebook jederzeit widerrufen können. Wenn sie das tun, muss Facebook alle betroffenen Daten endgültig löschen.

Transparenz, Kontrollmöglichkeiten, Löschung der Daten bei Widerruf: SPIEGEL ONLINE prüft, welche Datenschutzauflagen Facebook erfüllt – und welche Facebook-Funktionen in Deutschland heikel sind.

Was darf Facebook nach deutschem Recht?

Jeder Anbieter, der in Deutschland Daten erhebt und verarbeitet, braucht eine Erlaubnis. Das kann eine ausdrückliche Einwilligung der betroffenen Personen sein oder aber eine gesetzliche Erlaubnis. Wer sich bei Facebook anmeldet, erlaubt dem Unternehmen die Nutzung und Veröffentlichung einiger Daten. Juristen zweifeln, ob Facebook da in allen Punkten die Mitglieder so informiert und einwilligen lässt, wie es deutsches Recht verlangt (mehr dazu im folgenden Abschnitt „Ist Facebook transparent genug?“).

Grundsätzlich gilt, so Jurist Jürgen Taeger: „Weil die Nutzer ja ihre Daten selbst bei Facebook einstellen, ist der Betrieb eines sozialen Netzwerkes in seiner Grundform datenschutzrechtlich zulässig.“

Es gibt aber einige Einschränkungen und Vorgaben. Zwei sogenannte Erlaubnisvorschriften im Bundesdatenschutzgesetz könnten auf Facebook zutreffen. Abgesehen von den grundsätzlichen Regeln, die das Datenschutzgesetz aufstellt, sind das konkret diese Paragrafen:

  • § 28 im Bundesdatenschutzgesetz (BDSG) erlaubt Unternehmen unter bestimmten Voraussetzungen die Erhebung, Speicherung, Nutzung und Übermittlung personenbezogener Daten für die Erfüllung eigener Geschäftszwecke.
  • § 29 erlaubt es Adresshändlern und Auskunfteien, Daten zu erheben, zu speichern und an Dritte zu übermitteln. Das Gesetz nennt Voraussetzungen und Auflagen dafür: Es darf kein Grund zu der Annahme bestehen, dass ein schutzwürdiges Interesse der Betroffenen verletzt wird und die Daten müssen aus allgemein zugänglichen Quellen stammen.

Die Gesetzestexte kennen Soziale Netzwerke nicht

Man merkt dem Gesetzestext an, dass er in einer Zeit formuliert wurde, als soziale Netzwerke noch die Kumpel in der Eckkneipe waren. Paragraf 28 sieht zum Beispiel gar nicht vor, dass die Daten veröffentlicht oder weitergegeben werden. Er passt eher auf Internetshops, die die Daten ihrer Kunden benötigen, um ihnen Waren zustellen und den Zahlungseingang kontrollieren zu können.

Jürgen Taeger, Jura-Professor an der Universität Oldenburg, sieht hier Bedarf an präziseren Gesetzen: „Man merkt hier ganz deutlich, dass das Bundesdatenschutzgesetz auf derartige neue Geschäftsmodelle gar nicht zugeschnitten ist. Obwohl immer neue und speziellere Datenschutzvorschriften das Gesetz immer undurchschaubarer machen, wäre eine klarere gesetzliche Regelung des Datenschutzes für soziale Netzwerke, Bewertungsportale und andere Web-2.0-Portale zur Beschränkung des Umgangs mit Daten sinnvoll.“

Beim bisherigen Datenschutzgesetz könnte für Facebook – wenn es denn einmal zu Gerichtsverfahren kommt – Paragraf 29 gelten. Der Bundesgerichtshof hat bei seinem Urteil zum Lehrerbewertungsportal Spickmich entschieden, dass dieser Paragraf als mögliche Erlaubnisvorschrift zu prüfen ist. Sprich: Wenn das auch auf Facebook zutrifft, muss die Firma sich an alle Regeln, Einschränkungen und Auflagen dieses Paragrafen halten („schutzwürdige Interesse der Betroffenen achten“), auch wenn die Nutzer selbst ihre Daten auf der Plattform veröffentlichen.

Fazit: Es fehlen klare Gesetzestexte, die soziale Netzwerke regeln. Der Bundesgerichtshof hat in Sachen Facebook und StudiVZ auch noch nicht entschieden, daher fehlen verbindliche Auslegungen der Gesetzestexte für die neuen Dienste. Aber der Tenor der deutschen Datenschutzgesetze ist klar: Anbieter müssen Betroffenen verständlich erklären, was mit ihren Daten passiert, Widerspruch muss möglich sein und bei der Nutzung öffentlich zugänglicher Daten sind „schutzwürdige Interessen der Betroffenen“ zu beachten. Wie das im Netz konkret aussehen muss, werden erst Urteile zu konkreten Fällen zeigen. Was soziale Netzwerke in Deutschland dürfen, wird im Detail gerade erst durchdekliniert.

Ist Facebook transparent genug?

Die deutsche „Erklärung der Rechte und Pflichten“ bei Facebook hat etwa 30.600 Zeichen Text, die Datenschutzrichtlinie umfasst noch einmal 46.100 Zeichen – so viel Text steht auf ungefähr 25 Seiten im SPIEGEL.

Das ist viel. Zu viel? Facebook stützt die Zulässigkeit der Datenverarbeitung offenbar auf die Einwilligung der Nutzer. Wer Mitglied wird, nimmt diese Regeln an. Damit so eine Einwilligung in Deutschland aber überhaupt gilt, muss sie einigen Ansprüchen gerecht werden, die im Telemediengesetz (§ 13) und im Bundesdatenschutzgesetz (§ 4a) stehen. Jurist Nikolaus Forgó, Professor für IT-Recht an der Universität Hannover, fasst die Grundsätze so zusammen: „Die Einwilligung muss freiwillig, informiert und vorab erfolgen. Wichtig ist also insbesondere, dass der Nutzer informiert ist, also weiß, worauf er sich einlässt.“

Ob das bei Facebooks Mammuttexten der Fall ist? Forgó: „Es ist schon zweifelhaft, ob es einem Nutzer zumutbar ist, eine etwa 50.000 Zeichen umfassende Datenschutzerklärung, der er zustimmen soll und die natürlich rechtlich wie technisch kompliziert ist, zur Kenntnis zu nehmen und dazu wirksam einzuwilligen.“ Fazit des Juristen: Schon deshalb könnte es bei Facebook an der Einwilligung fehlen – „weil deren Bedeutung und Folge nicht hinreichend erläutert wurde“.

Standardmäßig dürfen Drittanbieter auf Profildaten zugreifen

Problematisch an Facebooks Datenschutztexten ist auch, dass die Mitglieder standardmäßig einer Reihe von Nutzungsarten zustimmen. So lässt Facebook zum Beispiel standardmäßig erlauben, dass personenbezogene Informationen und Aktivitäten, die Mitglieder für „alle“ freigeben, auch an Drittanbieter übermittelt werden dürfen. (mehr dazu im Abschnitt “ Wer veröffentlicht, stimmt der Verbreitung auf Drittseiten zu„).

Das erwarten Internetnutzer nicht unbedingt, wenn sie sich bei Facebook anmelden. Und das ist heikel, urteilt Jurist Taeger von der Universität Oldenburg: „Jede Art der Nutzung, die überraschend ist, muss der Anbieter sich noch einmal ausdrücklich durch eine Einwilligung erlauben lassen. An diesem Grundsatz muss man alle Punkte in den Datenschutz- und Geschäftsbedingungen von Facebook messen.“ Denn nur, wovon der Nutzer standardmäßig ausgeht, kann sich ein Anbieter bei so einer Einwilligung per Vertrag einfach erlauben lassen.

Was Nutzer überrascht, kann nicht Standardvertragsteil sein

Wie solche Einwilligungserklärungen in Form von Allgemeinen Geschäftsbedingungen auszusehen haben, steht im Bürgerlichen Gesetzbuch (§ 305 c): Wenn Details ungewöhnlich oder überraschend sind, werden sie nicht Vertragsinhalt.

Außerdem sind nach dem BGB Bestimmungen in Allgemeinen Geschäftsbedingungen unwirksam, wenn sie den Vertragspartner „unangemessen benachteiligen“ (§ 307 BGB). Eine zweite Hürde für Facebook, wie IT-Rechtsexperte Forgó erklärt: „Selbst wenn bestimmte Punkte Vertragsinhalt würden, wäre zu prüfen, ob sie den Nutzer nicht unangemessen benachteiligen.“

Facebook erklärt dazu, die Texte seien so lang, um „volle Transparenz“ herzustellen. Man habe sich bemüht, sie so verständlich wie es geht zu gestalten, indem man die „Nutzer in die Formulierung eingebunden“ und eine „klare Sprache“ verwendet habe. Auf die Frage von SPIEGEL ONLINE, ob Nutzer im Rahmen einer derart langen Standardformulierung wirksam etwa der Nutzung und Veröffentlichung personenbezogener Daten auf Seiten von Drittanbietern zustimmen können, antwortet Facebook nicht.

Fazit: Wer sich bei Facebook anmeldet, stimmt standardmäßig einer Menge Nutzungsarten seiner Daten zu. Diese Art der Einwilligung könnte bei einigen überraschenden Punkten ungültig sein. Wann genau, müssen aber Gerichte auslegen.

Facebook-Mitglieder müssen ihren echten Namen angeben

In der „Erklärung der Rechte und Pflichten“ für Facebook-Mitglieder heißt es: „Du wirst keine falschen persönlichen Informationen auf Facebook bereitstellen oder ohne Erlaubnis ein Profil für jemand anderes erstellen.“

Darf Facebook das? Im Telemediengesetz (§ 13 Abs. 6) steht, dass Anbieter eine anonyme Nutzung ihrer Dienste oder eine Nutzung unter Pseudonym ermöglichen müssen, soweit dies technisch möglich und zumutbar ist. Das ist der Punkt: Ist es Facebook zumutbar? Der Anbieter könnte argumentieren, dass es ein Kernbestandteil des Netzwerks ist, dass Menschen dort mit wirklichem Namen auftreten.

Ob das so ist, muss in Deutschland noch geklärt werden. Man könnte argumentieren, dass bei Geschäftsnetzwerken wie Xing der Klarname wichtiger ist als bei Freizeitnetzen wie Facebook. So bewertet das zum Beispiel Jurist Forgó. Auf Anfrage von SPIEGEL ONLINE erklärt Facebook, man pflege eine „Klarnamenkultur“. Das würden die Nutzer erwarten, sie wollten mit „echten Menschen, die ihre wahre Identität angeben“ interagieren. Das helfe auch, das Netzwerk sicherer zu machen, weil hier Menschen unter ihrem Klarnamen für ihre Handlungen einstünden. Aber, so Facebook: „Wir verlangen keine Identitätsnachweise, wenn Menschen sich anmelden. Aber wir schließen gemeldete Profile, wenn sie eindeutig nicht eine echte Person widerspiegeln.“

Auf die Frage von SPIEGEL ONLINE, inwiefern diese Regel mit dem deutschen Telemediengesetz (§ 13 Abs. 6) vereinbar ist, antwortet Facebook nicht.

Fazit des Juristen Forgó: „Man kann da entgegenhalten, dass offenbar toleriert wird, dass jede Menge Leute mit Fantasienamen auf der Plattform rumlaufen. Ich würde anders als bei professionellen Netzwerken wie etwa Xing eher dazu neigen, dass die Ermöglichung einer Nutzung unter Pseudonym für Facebook zumutbar wäre.“

Wer veröffentlicht, stimmt der Verbreitung auf Drittseiten zu

Einige Nutzerdaten behandelt Facebook als „öffentlich zugängliche Informationen“. Das bedeutet: Man kann Anwendungen von Drittanbietern, Facebook-Mitgliedern und Websites, auf denen man sich mit dem Facebook-Login anmeldet, nicht untersagen, diese Informationen zu verwenden. Außerdem wertet Facebook alle personenbezogenen Informationen und Aktivitäten, die Mitglieder für „Alle“ freigeben, als „öffentlich zugänglich“. Dazu steht in den Facebook-Datenschutzbestimmungen: Der Begriff ‚Allgemeine Informationen‘ umfasst folgende Informationen von dir und deinen Freunden:

  • Name
  • Profilbild
  • Geschlecht
  • Nutzerkennnummer
  • Verbindungen
  • sowie alle Inhalte, die unter Verwendung der Privatsphäreeinstellung „Alle“ mit anderen geteilt werden.

Facebook lässt sich von Mitgliedern standardmäßig erlauben, diese Daten allen Anwendungen oder Webseiten zugänglich zu machen, zu denen das Mitglied eine Verbindung herstellt.

Diese standardmäßig recht weite Zustimmung sehen Rechtsexperten kritisch. Problematisch ist alles, was ein mündiger Nutzer nicht als Standardverfahrensweise annimmt, wenn er sich bei Facebook anmeldet. Gehen Facebook-Neulinge tatsächlich davon aus, dass einige der dort veröffentlichte Informationen auch auf den Seiten von Drittanbietern auftauchen können? Wohl kaum. Deshalb kann das nicht standardmäßig per Anmeldung bei Facebook erlaubt werden.

Jürgen Taeger von der Universität Oldenburg: „Da muss der Nutzer ausdrücklich zustimmen, indem er zum Beispiel nach einer deutlich hervorgehobenen Information über den Verarbeitungszweck in einer Klickbox ein Häkchen setzt, um dieser Übermittlung zuzustimmen.“

Facebook muss sich die Weitergabe ausdrücklich erlauben lassen

Grundsätzlich darf Facebook die erhaltenen Daten auch für andere Zwecke nutzen als sie nur auf den eigenen Seiten im eigenen sozialen Netzwerk zu verarbeiten. Aber das setzt die ausdrückliche Einwilligung des Betroffenen voraus. Fügt ein Facebook-Mitglied eine Anwendung von einem Drittanbieter hinzu, muss er einem Hinweis mit diesem Text zustimmen: „Wenn du – Name der Anwendung – den Zugriff erlaubst, kann diese Anwendung auf deine Profilinformationen, Fotos, Informationen über deine Freunde und weitere Inhalte, die sie benötigt um zu funktionieren, zugreifen.“

Ob das genügt? Juristen zweifeln an, dass Facebook tatsächlich über die Definition des Begriffs „Allgemeine Informationen“ in den Datenschutzbestimmungen eine Zustimmung zur Weitergabe bestimmter Kommentare und Daten an Drittanbieter einholen kann. Jurist Taeger: „Der Facebook-Nutzer muss dazu aktiv seine Zustimmung zum Ausdruck bringen, etwa dadurch, dass er in einer Klickbox nach erfolgter Belehrung sein Häkchen setzt.“

Facebook sieht die Integration dieser Einwilligung in die Standardbedingungen als unproblematisch. Transparenz sei dem Unternehmen sehr wichtig, daher habe man die Datenschutzbestimmungen unter Einbeziehung der Nutzer formuliert: „Wir haben immer sehr klar betont, dass die Veröffentlichung von Inhalten für ‚Alle‘ bei Facebook diese allen Nutzern im Internet zugänglich macht.“ Auch Anwendungen erlaube man nur den Zugriff auf Informationen, die schon „öffentlich“ seien. Dem Zugriff auf weitere Informationen müssten die Nutzer explizit zustimmen.

Mitglieder können standardmäßig Daten ihrer Freunde weitergeben

Eine Standardeinstellung bei Facebook erlaubt es Programmen von Drittanbietern, auf persönliche Daten zuzugreifen, auch wenn man diese Erweiterung gar nicht installiert hat. Es genügt, wenn ein Facebook-Kontakt eine Erweiterung installiert.

Dazu steht in den Facebook-Datenschutzbedingungen:

 

„Wenn ein Freund/eine Freundin von dir eine Verbindung zu einer Anwendung oder Webseite herstellt, ist diese in der Lage, auf deinen Namen, dein Profilbild, Geschlecht, deine Nutzerkennnummer und auf sonstige Informationen zuzugreifen, die du für ‚Alle‘ zugänglich gemacht hast. Sie ist außerdem in der Lage, auf deine Verbindungen zuzugreifen, nicht jedoch auf deine ‚Freunde‘-Liste.“

Die Standardeinstellung kann man nachträglich widerrufen.

Diese Art des nachträglichen Widerrufs einer bei Anmeldung standardmäßig erteilten Einwilligung nennt man Opt-out (weil man ja nachträglich abwählt). Das Gegenteil ist Opt-in, das heißt: Man muss erst einen Haken per Klick setzen und aktiv einem konkreten Punkt in den Nutzungsbedingungen zustimmen, der standardmäßig deaktiviert ist.

Dass Facebook Nutzer standardmäßig der Weitergabe ihrer Daten durch Freunde zustimmen lässt, ist mit deutschem Datenschutzrecht kaum vereinbar. Nutzer werden bei ihrer Registrierung kaum davon ausgehen, dass damit Daten, auf die Ihre Freunde zurückgreifen können, auch allen Anbietern offenstehen, deren Anwendungen diese Freunde installieren. Jurist Taeger: „Diese Art der Nutzung personenbezogener Daten muss jeder Nutzer noch einmal ausdrücklich zustimmen. Opt-out reicht auch hier wieder nicht. Beachtet Facebook das nicht, wird gegen Datenschutzrecht verstoßen.“

Fragen von SPIEGEL ONLINE zu diesem Punkt hat Facebook nicht beantwortet.

Facebook lässt Mitglieder ihre E-Mail-Adressbücher hochladen

Mitglieder können bei Facebook ihre iPhone- und E-Mail-Adressbücher hochladen, um mögliche Kontakte zu finden. Facebook speichert die personenbezogenen Informationen über Dritte aus diesen Adressbüchern, nämlich die E-Mail-Adresse und den Namen.

Dazu steht in den Facebook-Datenschutzbedingungen:

„Kontaktdaten von Nichtnutzern. Wenn uns ein Nutzer deine E-Mail-Adresse bekannt gibt, du kein Facebook-Nutzer bist und deine Adresse gelöscht werden soll, kannst du dies auf dieser Hilfeseite tun. Ein entsprechendes Ersuchen kann jedoch nur für Adressen gestellt werden, die uns zum Zeitpunkt der Anfrage vorliegen und nicht für Adressen, die uns Nutzer zu einem späteren Zeitpunkt zur Verfügung stellen.“

Mit anderen Worten: Man kann Facebook nicht verbieten, eine bestimmte Adresse für immer aus der Kontaktdatenbank herauszuhalten. Wer seine E-Mail-Kontakte bei Facebook abgleicht, kann beim Hochladen von Adressbüchern die Langzeitspeicherung nicht deaktivieren. Die Kontakte können nur nachträglich aus der Datenbank gelöscht werden (und zwar hier).

In Deutschland ist dieser Dienst nach Expertenmeinung nicht zulässig. Als Facebook-Nutzer darf man nicht einfach so die Adressen seiner Freunde hochladen. Jurist Taeger: „Nutzer, die da ihre privaten Adressbücher hochladen, bräuchten dafür die Zustimmung aller Personen, deren Adressen sie gespeichert haben, sonst verstößt das gegen Datenschutzrecht.“ Das sagt einem eigentlich schon der gesunde Menschenverstand.

Facebook kann hier aber die Verantwortung nicht einfach auf die Mitglieder abwälzen. Schließlich bietet das Unternehmen keine Option zum Adressabgleich ohne Speicherung. Facebook bietet nur eine Möglichkeit, nämlich die datenschutzrechtlich unzulässige. Deshalb könnte Facebook für Verstöße gegen das Datenschutzrecht durch Nutzer auch als Mitstörer haftbar gemacht werden.

Auf die Fragen von SPIEGEL ONLINE, wie Facebook sicherstelle, dass alle Personen, deren E-Mail-Adressen und Namen auf diese Art hochgeladen werden, dieser Art der Nutzung zugestimmt haben, antwortet das Unternehmen nicht. Facebook gibt eine allgemeine Erklärung: „Solche Verfahren, die es Menschen ermöglichen, ihre Kontaktlisten, die sie über lange Zeit hinweg aufgebaut haben, in allen Diensten zu nutzen, ist im Telekommunikationssektor üblich. Diese Listen werden als Teil des Nutzeraccounts gespeichert.“ Die Datenschutzerklärung sage sehr deutlich, wie diese Daten genutzt werden.

Diese Antwort von Facebook ist bezeichnend für die Reaktion des Unternehmens: Man betont die Transparenz und Einbeziehung der Nutzer in die Formulierung der Regeln. Das ist richtig und vorbildlich, allerdings erklärt es nicht, warum viele Standardeinstellungen ausgerechnet den datenschutzrechtlich bedenklichsten Weg vorschreiben. Abgesehen davon: Auch wenn Facebook transparent macht, dass man die einmal hochgeladenen Adressbücher speichert – das ändert nichts daran, dass das kaum zulässig ist.

{jumi [*5]}