Facebook: Löschen ist nicht gleich löschen
Hinter verschlossenen Türen haben Anfang des Monats Vertreter von Facebook mit Max Schrems, dem Kritiker der Plattform, über den Umgang mit Nutzerdaten diskutiert. Dabei zeigten sich sehr unterschiedliche Auffassungen der einschlägigen Gesetze.
Am 6. Februar haben sich Vertreter von Facebook und zwei Studenten der Universität Wien getroffen, um über die Datenpolitik der Plattform zu diskutieren. Diesem Treffen war der erste Bericht der irischen Datenschutzbehörde zu Facebook vorausgegangen. Angestoßen hatte den der Wiener Jura-Student Max Schrems, als er 2011 insgesamt 22 Anzeigen gegen Facebook einreichte. Seiner Meinung nach hält sich das Unternehmen nicht an die geltenden Datenschutzregelungen.
Das Treffen war nach Aussage von Schrems vom irischen Datenschutzrecht vorgesehen, und deswegen habe er auch eingewilligt. Trotzdem hatte er es im Vorfeld als aus demokratischer Sicht absurd bezeichnet (PDF), dass zwei Studenten für die Nutzer mit einem derart großen Unternehmen verhandeln würden. Einen Tag nach dem Treffen äußerte (PDF) sich Schrems in einer Pressekonferenz zu dessen Inhalt, und am gestrigen Montag hat er auch die versprochene Zusammenfassung (PDF) veröffentlicht. Um Missverständnisse zu vermeiden, habe er sie vorher auch Facebook vorgelegt, das Ergebnis sei aber keine gemeinsame Erklärung.
Dem Bericht zufolge ging es in dem Treffen um fast alle Punkte, auf die sich auch die eingereichten Klagen von Schrems bezogen. Für Facebook waren Richard Allan, Facebooks Director of Public Policy für Europa und ein nicht namentlich genanntes Mitglied des "Policy Teams" von Facebook USA anwesend. Max Schrems wurde von einem weiteren Studenten der Universität Wien begleitet.
Gleich zu Beginn baten die beiden Studenten um eine Definition der gültigen Einwilligung, wie sie laut Facebook aller Datenverarbeitung zugrunde liege. Laut Schrems liege die rechtliche Hürde für solch eine Einwilligung sehr hoch, so müsse die Zustimmung eindeutig, frei, spezifisch, informiert und frei von Täuschung erfolgen. Ohne eine klare Antwort zu geben, führten die Vertreter daraufhin aus, nach eigener Meinung habe man durch die Zustimmung der Nutzer zu den Datenverwendungsrichtlinien bei der Registrierung die Einwilligung "zu allem" erhalten.
Die Studenten widersprachen dieser Auffassung. Selbst erfahrene Nutzer von Facebook wüssten von vielen Funktionen nicht, wie sie funktionierten. Von Neueinsteigern sei deswegen nicht zu erwarten, dass sie sich über die vollen Konsequenzen ihrer Einwilligung im Klaren seien. Die Facebook-Vertreter sagten dazu, man habe eine Prüfung angestoßen, die auf eine Verbesserung des Prozesses zur Registrierung hinauslaufen solle. Man denke aber nicht, dass das europäische Recht verlange, dass man in einzelne Funktionen erst einwilligen (Opt-in) müsse. Facebook setzt generell die Zustimmung voraus und verlangt von dem Nutzer deren Deaktivierung (Opt-out). Generell habe man auch nicht vor, die Einstellungen weniger liberal zu machen.
Bei Änderungen der Einstellungen sieht Facebook keine Notwendigkeit, die erneute Zustimmung des Nutzers zu verlangen. Nach Meinung der Vertreter seien die Nutzer durch breite Diskussionen in den Medien und durch Meldungen auf der Seite Facebook Site Governance hinreichend informiert.
Facebook gab außerdem an, keine Option zu planen, die Massenlöschungen erlauben würde, also zum Beispiel von allen Nachrichten, die älter sind als 3 Monate. Als Grund gaben die Vertreter an, man glaube nicht, dass das von den Nutzern gewünscht werde. Man denke, sie könnten aus Versehen Daten löschen, die sie später wiederherstellen wollen.
Auch über die sogenannten Schattenprofile wurde gesprochen: Facebook erstellt Listen von Leuten, die mit einer bestimmten E-Mail-Adresse eines Nichtnutzers in Verbindung stehen. Daran gelangt das Portal über Einladungen, die an diesen Nichtnutzer gesendet wurden. Deaktiviert dieser die Sammlung nicht in der E-Mail, so versteht Facebook das als Zustimmung. Auf diese Weise entstehen Profile von Personen, die nicht bei Facebook registriert sind.
Zur Gesichtserkennung haben die Nutzer nach Meinung von Facebook bereits bei der Registrierung ihre Zustimmung gegeben. Diese Funktion sei heute auch weithin akzeptiert, die Anzahl der Nutzer, die die Funktion deaktiviert haben, sei aber unbekannt. Seine Zustimmung habe der Nutzer ebenfalls dazu gegeben, dass alle im eingeloggten Zustand besuchten Internetseiten gespeichert werden, auf der der "Gefällt-mir"-Button" aktiviert ist. Schrems hält jedoch dagegen, dass der Nutzer vorher überhaupt nicht wüsste, ob dieses Plugin auf der angesteuerten Seite aktiviert sei und vielleicht auch nur für manche Seiten seine Zustimmung geben wolle, für andere dagegen nicht.
Bestimmte Daten kann ein Nutzer auch gar nicht endgültig löschen, was von Facebook auch eingeräumt wurde. So wird beispielsweise gespeichert, welchen Freunden auf der Plattform die Freundschaft gekündigt wurde, in welche Gruppen man eingeladen wurde und welche Markierung man auf Fotos entfernt habe. Das will Facebook auch beibehalten, um dem Nutzer die entfernte Maßnahme nicht noch einmal vorzuschlagen.
Hinsichtlich der Daten, auf die die iOs- und Android-Apps zugreifen können, zeigten sich die Vertreter von Facebook unsicher. Man gestand aber ein, dass möglicherweise doch mehr Daten als nur der Name, die E-Mail-Adresse und die Telefonnummer übertragen worden seien. Und, so weiter, möglicherweise seien sie aber nicht gespeichert worden.
Die Vertreter von Facebook haben Schrems die Umsetzung erster Änderungen zugesagt und außerdem die Übermittlung weiterer Informationen versprochen. Diese will er dann sichten, bevor er in den meisten Fällen wohl eine formelle Entscheidung der irischen Datenschützer beantragt.
Ein speziellerer Punkt war die Verwendung der Daten, die im Zusammenhang mit dem "Anstupsen" gewonnen werden. Facebook speichert sie, auch wenn das "Anstupsen" vom Empfänger bereits gelöscht wurde. Das geschehe für den Fall von Cyber-Bullying und, so wörtlich, "aus allen möglichen Gründen". Dagegen argumentierte Schrems, dass es nicht zwingend sei, alle diese Daten zu speichern nur wegen derart seltenen Vorkommnissen. Ihm wurde mitgeteilt, man habe noch nicht entschieden, wann man alte "Anstupser" automatisch löschen werde, und sie würden nicht länger gesichert als nötig. (mho)