Facebook verstößt gegen europäische Datenschutzstandards

Deutsche Datenschützer gehen jetzt gegen Facebook vor. Im Dezember änderte die Social-Network-Plattform von einem Tag auf den anderen die Datenschutzeinstellungen seiner Mitglieder: Persönliche Daten der Mitglieder waren auf einmal öffentlich. Profilfotos etwa, die bislang nur Freunde sehen konnten, kann nun jeder Internetsurfer einsehen. Das können Nutzer nur noch rückgängig machen, indem sie ihr Profilfoto löschen. Eine Einwilligung seiner Nutzer holte Facebook nicht ein, auch wurden sie zuvor nicht benachrichtigt. Und das, obwohl Facebooks Datenschutzbeauftragter Chris Kelly im Sommer in einer Anhörung des US-Kongresses noch erklärt hatte, dass die meisten Facebook-Nutzer sensible Daten nur Freunden zeigen wollten.

Für den Bundesdatenschutzbeauftragten Peter Schaar steht fest: "Hier hat Facebook gegen die von Datenschützern wiederholt gegenüber den Unternehmen aufgestellte Forderung, datenschutz- und benutzerfreundliche Voreinstellungen zu schaffen, verstoßen." Schaar betont aber auch: "Die Kontrolle und die Ahndung solcher Verstöße ist sehr schwierig."

Weil Facebook in Deutschland noch keine Niederlassung hat, ist bislang auch keine Datenschutzbehörde für das Unternehmen formal zuständig. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert will daher den Fall nun auf eigene Initiative aufgreifen. Er erklärt den Fall so: "Hier geht es darum, dass Daten gegenüber Dritten offengelegt wurden, ohne dass die Nutzer darüber informiert worden wären oder einwilligen hätten können. Damit geht es auch darum, ob die zweckgebundene Verwendung der Daten gewährleistet wird – und ob der Betreiber für die Nutzer transparent und nachvollziehbar handelt."

Facebook hat neuerdings einen kleinen Hinweis auf seine Datenschutzregeln in jedem Profil eingebaut. Außerdem verweist es bei Datenschutzproblemen derzeit auf das Datenschutzsiegel-Programm TRUSTe, an dem es teilnimmt. Weichert: "Das geht nicht, dass Facebook seine eigene Verantwortung an dieses Programm abgeben will. Sie sind selbst verantwortlich." Weichert will nun "Facebook anschreiben und Aufklärung darüber verlangen, inwieweit ihre Praktiken und Datenschutz-Policy mit "Safe Harbor" im Einklang steht." Die möglichen Sanktionen: Bußgelder bis hin zur Einstellung des Betriebs.

Damit ist der Fall nun auch Thema der transatlantischen Politik: Facebook ist Mitglied des so genannten "Safe Harbor"-Abkommens, das Ende der 90er-Jahre zwischen der Europäischen Union und den Vereinigten Staaten nach mühsamen Verhandlungen abgeschlossen wurde. Es soll gewährleisten, dass europäische Kunden von amerikanischen Unternehmen grundsätzlich dasselbe Datenschutzniveau genießen wie bei europäischen Unternehmen. Die Unternehmen verpflichten sich, einen angemessenen Datenschutzstandard zu gewährleisten. Nach US-Gesetz müssen sie dieser Selbstverpflichtung nachkommen, ansonsten können sie bestraft werden.

Das Abkommen betrifft nur die amerikanischen Unternehmen, die in der Europäischen Union eine Niederlassung eingerichtet haben und technische Mittel wie Server verwenden, die in der EU stationiert sind. Weil Facebook Niederlassungen in Großbritannien und Frankreich betreibt, muss es sich wie auch Google an das Abkommen halten. Bei Verstößen wenden sich europäische Datenschützer an die Verbraucherschützer der Federal Trade Commission (FTC). Bei der FTC hatten sich auch im Dezember zehn Verbraucher- und Datenschutzorganisationen über Facebook beschwert – eine Entscheidung der FTC steht noch aus.

Mit der Durchsetzung des "Safe Harbor"-Abkommens steht es nicht zum Besten. Ein Gutachten des US-Beratungsunternehmens Galexia mit dem Titel "Der US Safe Harbor – Fakt oder Fiktion?" zeigte vor über einem Jahr, dass bei der Durchsetzung des Abkommens erhebliche Defizite bestehen: 206 der eingetragenen 1597 Unternehmen hatten etwa erklärt, Mitglied von Safe Harbor zu sein, waren es aber in Wirklichkeit gar nicht. Lediglich 348 Unternehmen erfüllten die Mindestvoraussetzungen des Abkommens.

Als Konsequenz hat Schaar die Beziehungen zu der amerikanischen Federal Trade Commission (FTC), die für die Kontrolle der Einhaltung der Safe-Harbor-Prinzipien zuständig ist, seither "erheblich verbessert": "In Gesprächsrunden und Informationsbeziehungen pflegen wir nun einen engeren Kontakt, sodass bestimmte Anliegen auch durchgesetzt werden." Allerdings bleibe immer die Frage, "wer das vor Ort kontrolliere. Denn es sei nicht möglich, dass seine Mitarbeiter in die USA reisten und dort eine Prüfung durchführten.

Die FTC machte ebenfalls im vergangenen Jahr einen Anfang: Sie klagte erstmals ein Unternehmen, den kalifornischen Internethändler "Balls of Kryptonite", wegen Falschangaben an. Die Firma hatte mehrere irreführenden Informationen angegeben, unter anderem die, Mitglied von "Safe Harbor" zu sein. Derzeit gibt es allerdings laut Galexia kein US-Gesetz, das dies ausdrücklich verbietet. Die Klage musste sich daher auf weitere Falschangaben beziehen. Ein kalifornisches Gericht hat der Firma inzwischen verboten, diese aufrechtzuerhalten. Weitere Sanktionen gab es nicht.

Schaar sagt denn auch schon fast resigniert: "Wenn es schon bei Unternehmen, die dem Safe-Harbor-Abkommen beigetreten sind, sehr schwierig ist, deutsche oder europäische Datenschutzstandards durchzusetzen, so ist es bei Unternehmen, die dem Abkommen nicht beigetreten sind, noch um einiges schwieriger. Für alle Fälle müssen hier Anpassungen erfolgen, die unseren Datenschutzstandards entsprechen."

Gleichwohl seien alle Unternehmen, die den europäischen Markt bedienten, auch darauf angewiesen, dass die Kunden ihnen vertrauten. Schaar: "Wenn der Zielmarkt in Europa ist, sind die Standards also zu beachten. Deshalb hat die Artikel-29-Gruppe der europäischen Datenschutzbehörden im Juni letzten Jahres eine Stellungnahme zum Datenschutz in sozialen Netzwerken beschlossen." Die Durchsetzung europäischen Rechts wird die europäischen Datenschützer auch weiterhin beschäftigen. Die erste Nagelprobe ist jetzt der Fall Facebook. (jk)