Datenschützer zweifeln an Facebook-Prüfung

Wie berichtet hat der irische Datenschutzbeauftragte Billy Hawkes am Mittwoch einen 149-seitigen Prüfbericht (PDF) über das Netzwerk Facebook veröffentlicht. Dieser wurde erstellt, nachdem die Wiener Studenten-Initiative "Europe vs. Facebook" 22 Anzeigen gegen Facebook eingereicht hat. Nun hat die irische Datenschutzkommission mit Facebook diverse Änderungen im Umgang mit Nutzerdaten ausgehandelt, aber Verstöße gegen irisches oder europäisches Datenschutzrecht konnte die Behörde keine erkennen.

Max Schrems von der Initiative "Europe vs. Facebook" sprach dennoch von einem "Riesenerfolg", so müsse Facebook nun an die mehr als 40.000 Nutzer, die eine Kopie der Datensätze verlangt haben, alle Daten herausgeben. Zudem dürfe das Netzwerk Nutzerdaten nur noch beschränkt für gezielte Werbung verwenden (weitere Verbesserungen sind hier nachlesbar).

"Geben das wieder, was Facebook darstellt"
Die deutschen Datenschützer, die seit Monaten mit Facebook im Clinch liegen, sind von dem Prüfbericht der irischen Kommission allerdings weniger begeistert als Schrems. Der schleswig-holsteinische Landesdatenschützer Thilo Weichert bezweifelt etwa, ob die irischen Kollegen wirklich alle zentralen Aussagen selbst überprüft haben, oder ob sie auf die Auskünfte Facebooks vertrauen. "Sie sind eben nicht in die Dokumentations- und EDV-Analyse eingestiegen, sondern sie geben das wieder, was Facebook darstellt", kritisierte Weichert gegenüber der taz.

Das würde vor allem sogenannte "Schattenprofile" betreffen, meinte Weichert. Der Datenschützer hegte den Verdacht, dass Facebook exakt verfolge, wie sich seine Mitglieder im Netz bewegen, um daraus Nutzerprofile zu erstellen. Dies sei laut der irischen Behörde nicht der Fall - es konnte keine Anlegung von Schattenprofilen festgestellt werden, heißt es. „Es wird dabei aber nirgendwo auf Quellcode-Analyse zurückgegriffen“, kritisierte Weichert.

"Verlasst sich ungeprüft auf Aussagen"
Dem Bericht nach seien nur einzelne Teile geprüft worden, heißt es in der "Zeit". Die irische Behörde verlasse sich, "anscheinend oft ungeprüft auf die Aussagen und Zusicherungen von Facebook". Seine Behörde habe von Facebook vor einiger Zeit derartige Quellcode-Dateien angefordert, wurde jedoch mehrfach vertröstet.

Weichert ging gegen Facebook bisher vor allem wegen des "Gefällt Mir"-Buttons vor. Die Feststellung der irischen Datenschutzkommission, die besagt, dass Facebook nicht gegen europäisches Datenschutzrecht verstoßen würde, schwächt Weicherts Position allerdings. Doch er bekam am Freitag überraschend Schützenhilfe: Sein Berliner Amtskollege, Alexander Dix, sprach sich gegenüber der "Berliner Zeitung" für die Entfernung sämtlicher Facebook-Dienste und –funktionen von Behörden-Websites aus.

Kein "Opt-In" für Gesichtserkennung
Auch dem Datenschutzbeauftragten von Hamburg, Johannes Caspar, gehen manche Empfehlungen - etwa im Bezug auf die Gesichtserkennung - der irischen Datenschutzkommission nicht weit genug. Das Netzwerk müsse Nutzer in Bezug auf die Gesichtserkennung zwar noch einmal benachrichtigen, doch eine Zustimmung der Nutzer ist nach wie vor nicht erforderlich. „Ein Nichtstun ist keine Einwilligung“, kritisierte Caspar. Einblendungen könnten relativ einfach ignoriert werden.

Der Datenschutzbeauftragte hatte erst vor kurzem ein Verfahren gegen das Netzwerk eingeleitet, weil es bei der Gesichtserkennungssoftware auf "Opt-Out" setze. Dieses Verfahren werde von den Empfehlungen der irischen Datenschutzkommission unberührt bleiben, so Caspar.