US-Behörde: Facebooks Mängel immer noch "substanzielles Risiko für Alle"
Trotz Rekordstrafe soll Meta weiter Datenschutzauflagen verletzt haben. Die FTC will jetzt speziell Kinder schützen. Ob das Manöver gelingt, ist offen.
(Bild: Daniel AJ Sokolov)
Meta Platforms hat neuen juristischen Ärger mit der US-Handelsaufsicht FTC (Federal Trade Commission). Ein von Facebook-Betreiber Meta ausgewählter, unabhängiger Prüfer hat bei dem Konzern zahlreiche Verletzungen von Datenschutzauflagen festgestellt. Das nimmt die FTC zum Anlass, das 2019 mit einer Rekordstrafe für Facebook von fünf Milliarden US-Dollar und umfangreichen Auflagen abgeschlossene Verfahren wiederzueröffnen. Jetzt möchte die FTC für 20 Jahre strengere Auflagen verhängen sowie komplett untersagen, dass Meta Daten Minderjähriger für kommerzielle Zwecke nutzt.
Das geht aus einem Bescheidentwurf hervor, den die FTC veröffentlicht hat. Er betrifft alle Unternehmens Metas, darunter Facebook, Instagram und Whatsapp. Meta hat nun 30 Tage Zeit, die Behörde davon zu überzeugen, den Bescheid doch nicht oder nicht in dieser Form zu erlassen. Allerdings ist schon in der Behörde selbst umstritten, ob das Kinderschutzgebot auf diesem Weg verhängt werden kann.
Beschluss einstimmig, aber mit Zweifel
Weil die Republikaner die Bestellung neuer Commissioner bremsen, hat die Behörde derzeit nur drei statt fünf Mitglieder. Alle drei unterstützen die neuen Schritte gegen Meta. Gleichzeitig meldet Commissioner Alvaro Bedoya juristische Bedenken an: Das wiedereröffnete Verfahren geht auf das FTC-Verfahren C-4365 zurück, bei dem sich Facebook 2011 einem strengen Datenschutz-Regime unterworfen hat. Nach dem Auffliegen des Cambridge-Analytica-Skandals öffnete die FTC diesen Akt erneut und nahm Ermittlungen auf. Das führte 2019 zu der Rekordstrafe von fünf Milliarden Dollar und neuen Auflagen sowie der zweiten Einstellung des Verfahrens 2020.
Aufgrund der weiteren Verstöße ist das Verfahren jetzt ein zweites Mal wiedereröffnet. Das ist zulässig. Allerdings weist Bedoya darauf hin, dass es einen Zusammenhang zwischen dem ursprünglichen Bescheid, neuen Verfehlungen und den neuen Auflagen geben muss. Die nun festgestellten Verfehlungen Metas seien entweder vor dem Zeitpunkt der zweiten Einstellung 2020 vorgefallen oder aber würden Nutzer allgemein betreffen, nicht speziell Minderjährige. Daher sei nicht sicher, ob die FTC im Rahmen einer Wiederaufnahme überhaupt Beschränkungen speziell zum Schutz Minderjähriger verhängen dürfe.
Unabhängiger Bericht deckt Mängel auf
Am 1. Juli 2021 hat Meta den Bericht des von Meta bestellten und bezahlten unabhängigen Gutachtens für den Zeitraum Oktober 2020 bis April 2021 vorgelegt. Dieses stellte zwar fest, dass die "wichtigsten Grundlagen für ein wirksames Programm" für Datenschutz und Datensicherheit vorlagen, deren Reife und Vollständigkeit aber variiere. Außerdem legte es zahlreiche Lücken und Schwächen offen, Meta müsse mehr tun und investieren.
Lesen Sie auch
Kanadas Datenschutz scheitert an Cambridge Analytica
Darüber hinaus habe Meta wiederholt Nutzer in die Irre geführt. Beispielsweise versprach der Datenkonzern, dass Erziehungsberechtigte bei Messenger Kids, der für Kinder vorgesehenen Variante der Messenger-App, genau kontrollieren könnten, mit wem ihre Kinder kommunizieren. Tatsächlich war es Kindern von Juni 2018 bis Anfang Juli 2019 möglich, zu Gruppenchats mit der Android-App Nutzer hinzuzufügen, die die Eltern nicht genehmigt hatten. Von November 2018 bis Januar 2019 war es allen Messenger-Kids-Nutzern möglich, zu laufenden Videochats Dritte einzuladen, ohne Zustimmung der Erziehungsberechtigten. Das gleiche Problem trat im Mai 2019 erneut auf und wurde Anfang Juli 2019 behoben.
Eine weitere Irreführung betraf die Weitergabe nicht-öffentlicher Nutzerdaten an Dritte, deren Dienste ein Anwender in Anspruch nahm. Im April 2018 versprach Meta, diese Datenweitergabe einzustellen, wenn ein Nutzer die jeweilige App 90 Tage nicht mehr verwendet hat. Tatsächlich hatten die App-Betreiber in manchen Fällen aber weiterhin Zugriff auf die aktuellen Daten.
Strenger Datenschutz für Kinder
Jetzt möchte die FTC 17 Auflagen verhängen oder verschärfen. Ganz oben auf der Liste steht ein Verbot der kommerziellen Auswertung oder Weitergabe von Daten, die Meta bei Kindern und Jugendlichen geerntet hat. Auch wenn diese User eines Tages 18 Jahre alt werden, sollen die vorher gesammelten Daten tabu bleiben. Das Verbot gilt ausdrücklich auch für das Training von Algorithmen.
Außerdem soll Meta Daten Minderjähriger automatisch löschen, spätestens ein halbes Jahr nach deren 18. Geburtstag, sofern die dann Erwachsen gewordenen nicht ausdrücklich die weitere Speicherung wünschen. Und Minderjährige sollen das Recht bekommen, ihre Daten schon vorher zu löschen. Darüber hinaus sollen Minderjährige Meta-Dienste auch ohne Preisgabe biometrischer Daten nutzen können.
Keine neuen Dienste ohne unabhängige Prüfung
Schwerwiegend wären auch die verschärften Auflagen für Datenschutzüberprüfungen, die Meta vor jeder Änderung oder Einführung eines Dienstes von unabhängiger Seite durchführen lassen soll. Solange der Prüfer nicht bestätigt, dass alle Vorschriften eingehalten werden, dürfte Meta keine Dienste ändern oder neu einführen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Zu den weiteren von der FTC geplanten Auflagen zählen diese: Das Verbot, die eigenen User anzulügen oder in die Irre zu führen, würde verschärft. Meta müsste offenlegen, welche Art von Daten es an welche Dritte weiterleitet, was auch nur mit ausdrücklicher Zustimmung geschehen dürfte. Telefonnummern, die User für Sicherheitszwecke (2FA, Passwortänderung, etc.) hinterlegt haben, dürfte Meta weder weitergegeben noch für andere Zwecke, darunter Werbung, nutzen.
Passwörter dürfte Meta nur noch verschlüsselt speichern oder übertragen. Gesichtserkennungsmuster dürfte der Konzern nur mit ausdrücklicher Zustimmung der Betroffenen erstellen. Hinzu kämen Bedingungen wie die Führung eines internen Datenschutzausschusses, Berichtspflicht bei Verletzung von Datenschutz oder Datensicherheit, sowie Pflichten zu Aktenführung samt Beweismittelsicherung und regelmäßigen Compliance-Berichten.
Meta reagiert ungehalten
Meta zeigt sich erbost und wirft der FTC politische Manöver vor. Die Behörde versuche, die Zuständigkeit des US-Kongress, branchenweite Standards zu setzen, an sich zu reißen. Tatsächlich hat der US-Gesetzgeber bis heute kein allgemeines Datenschutzrecht verabschiedet.
Die FTC greife sich "eine einzelne amerikanische Firma heraus, während sie chinesischen Firmen wie Tiktok erlaube, ohne Einschränkungen auf amerikanischem Boden tätig zu sein", schreibt Meta in einer Stellungnahme an heise online, "Wir haben erhebliche Mittel für ein branchenführendes Datenschutzprogramm unter den Bedingungen unserer FTC-Auflagen aufgewandt. Wir werden diese (neue) Maßnahme bekämpfen, und erwarten, zu gewinnen."
- Aufforderung der FTC an Meta, die Vorwürfe zu entkräften
- Entwurf eines erweiteren Bescheides im Verfahren C-4365 gegen Meta
- Stellungnahme Commissioner Alvaro Bedoyas
(ds)