Facebook und sein unsensibler Umgang mit persönlichen Daten: Rechts- und Fachanwalt Hagen Hild erläutert die Problematik und wie die DSGVO die Wende bringen könnte

Welche Daten sammelt Facebook?

Facebook ist das Paradebeispiel von „Big Data“. Nicht zu Unrecht spricht man bei Facebook von einer Datenkrake. Die Nutzung von Facebook ist zwar kostenlos, aber nicht umsonst. Die Währung mit der die Nutzer bezahlen sind Daten, das Öl des 21. Jahrhunderts. Mit diesen Daten generiert Facebook Werbeumsätze im Multi-Milliardenbereich.

Bei der Registrierung muss der Nutzer Daten wie Namen, Wohnort, Geburtstag, Geschlecht und die E-Mail-Adresse angeben. Darüber hinaus kann der Nutzer noch freiwillig eine Vielzahl persönlicher Daten eingeben, wie beispielsweise welche Schule dieser besucht hat, Informationen zum Arbeitgeber, Informationen zu Mitgliedschaften in Vereinen oder welche Musik oder Filme dieser mag. Bei diesen Daten wird der Nutzer meist wissen und davon ausgehen, dass Facebook diese speichert.

Facebook speichert jedoch viel mehr Daten. So werden beispielsweise „Gefällt mir“-Angaben, das Eingehen von Freundschaften, Postings, Verlinkungen, die Teilnahme an Gruppen, die Kommunikation über die Mail- und Chat-Funktion und viele weitere Daten gesammelt.

Bei hochgeladenen Fotos speichert Facebook zusätzlich die Meta Daten, wie Standort, Aufnahmezeitpunkt und verwendetes Gerät. Zusätzlich kann Facebook erkennen, ob es sich beispielsweise um eine Landschaftsaufnahme oder ein Portrait handelt. Facebook kann auch aufgrund Gesichtserkennung grundsätzlich erkennen, wer auf dem Foto abgebildet ist. Nach Angaben von Facebook soll jedoch die Gesichtserkennung in Europa abgeschaltet sein.

Ein persönliches Bewegungsprofil erhält Facebook, wenn der Nutzer Facebook auf seinem Smartphone nutzt.

Auf Webseiten und Online-Shops mit dem Facebook „Like-Button“ kann Facebook eindeutig erkennen, welche Webseiten das Facebook-Mitglied besucht hat, wenn dieses gleichzeitig in seinem Facebook-Account eingeloggt ist. Aber auch wenn der Nutzer nicht eingeloggt ist, kann Facebook grundsätzlich Informationen wie die IP-Adresse, Browsertyp, installierte Browserplugins, Monitorauflösung, etc. auslesen. Loggt sich der Nutzer später in seinen Facebook-Account könnte Facebook hierdurch den Nutzer später eindeutig identifizieren. Inwieweit Facebook diese Möglichkeit tatsächlich nutzt, ist schwer zu sagen, zumal Facebook in der Vergangenheit nicht hinsichtlich Transparenz im Zusammenhang mit der Verwendung von Daten geglänzt hat.

Zusätzlich erhält Facebook Daten über zugekaufte Firmen wie WhatsApp und Instagram. Im Fall von WhatsApp hatte Facebook beim Kauf 2014 zugesagt, die Datenbestände getrennt zu halten. 2016 änderte WhatsApp jedoch die Richtlinien, wonach Mobilnummer und Nutzerdaten mit Facebook zusammengeführt werden sollten.

All diese Informationen sind Facebook jedoch noch nicht genug. Zusätzlich kauft Facebook Daten von Datenhändlern und Marktforschungsinstituten.

Inwiefern beugen sie dabei geltendes Recht?

Bereits 2012 hat das Landgericht Berlin festgestellt, dass der Freundefinder von Facebook rechtswidrig ist. Erst im Januar dieses Jahres hat das Landgericht Berlin die Facebook Ireland Ltd. zur Unterlassung verurteilt und festgestellt, dass diverse Klauseln, die unter anderem die Datenerhebung, -verarbeitung und -nutzung (auch Kontovoreinstellungen) betreffen, unzulässig sind, da sie weder auf eine Rechtsgrundlage gestützt werden können, noch eine entsprechende ausdrückliche Einwilligung vorliegt. Für eine Einwilligung erforderlich wäre eine „informierte Entscheidung“ des jeweiligen Nutzers, die ihrerseits voraussetzt, dass der Nutzer zuvor umfassend über den Zusammenhang und Zweck der Datenverarbeitung und auch die Tragweite seiner Erklärung in Kenntnis gesetzt wird. Diese Vorgaben hat die Facebook Ireland Ltd. auf verschiedene Weise nicht erfüllt, womit die Klauseln als unzulässig einzustufen sind. Danach sind unter anderem die Voreinstellungen grundsätzlich rechtswidrig und Nutzer dürfen nicht gezwungen werden ihren echten Namen bei Facebook zu verwenden.

Im Jahr 2016 hat der Hamburger Datenschutzbeauftragte Facebook untersagt, sich Daten deutscher WhatsApp-Nutzer übermitteln zu lassen und zudem angeordnet, bereits gespeicherte Daten deutscher WhatsApp-Nutzer umgehend zu löschen sind. Da es sich bei ihm um eine sogenannte oberste Landesbehörde handelt, sei diese Verpflichtung auch zwingend von Facebook zu beachten, anderenfalls könnten Zwangsgelder gegen das Unternehmen verhängt werden.

Daneben geht gerade beispielsweise die belgische Datenschutzbehörde Commission vie privée (CPVP) gegen Facebook vor. Diese hatte zunächst moniert, dass Facebook das Surf-Verhalten von sämtlichen Nutzern nachverfolgt, egal, ob diese einen Facebook-Account haben oder nicht. Die Richter stimmten dem zu und betonten ferner, dass Facebook seine Nutzer auch nicht ausreichend darüber unterrichte, dass Informationen über sie gesammelt würden und was mit diesen gesammelten Informationen geschehe. Darüber hinaus müsse Facebook das vollständige 84-seitige Urteil auf seinen Internetseiten sowie dessen letzten drei Seiten mit den Auflagen in französischsprachigen und niederländischsprachigen Tageszeitungen veröffentlichen. Im Kreuzfeuer der Kritik steht vor allem das sogenannte „Datr-Cookie“. Gewöhnliche Cookies sind winzige Textdateien, mit denen Webseiten einen User wiedererkennen können, wenn er zum wiederholten Mal auf einer Internetseite surft. So können unter anderem Einstellungen übernommen werden, die der Nutzer beim letzten Besuch vorgenommen hat oder die Webseite merkt sich beispielsweise ein Zugangspasswort. Hierfür legt der Browser die winzige Datei auf der Festplatte des Nutzers ab und ruft sie beim nächsten Aufruf wieder auf. Diese Vorgehensweise ist datenschutzrechtlich problematisch, denn so sind die Informationen über den jeweiligen Nutzer einer Seite stets nachvollziehbar. Das „Datr-Cookie“ wiederum geht noch weiter: Facebook hinterlässt bereits nach dem allerersten Aufruf Cookies, unabhängig davon, ob jemand Mitglied wird oder nicht. Das „Datr-Cookie“ wird auch ohne Facebook-Log-In auf der Nutzerfestplatte abgelegt. So kann das Surf-Verhalten nicht nur auf Facebook selbst, sondern durch das gesamte Internet mitverfolgt werden. Gespeichert wird die Verbindung dann für insgesamt zwei Jahre. Das belgische Gericht ordnete dort an, dass sämtliche alte, „illegal“ gewonnenen Daten zu löschen sind sowie zukünftig eine Speicherung bzw. Weiterverfolgung zu unterlassen ist. Kommt Facebook dem nicht nach droht ein Bußgeld bis zu 100 Millionen Euro.

Derzeit ist auch noch nicht die Rechtslage zum Facebook Like-Button geklärt. Das Landgericht Düsseldorf hat am 9. März 2016 entschieden, dass ein Online-Shop-Betreiber (Peek & Clockenburg) gegen Datenschutzrecht verstoße, wenn er das Plugin von Facebook nutzt, da schon beim bloßen Aufruf der Webseite eine Übermittlung von personenbezogener Daten an Facebook erfolge. Dies setze jedoch die Zustimmung des Users voraus, welche nicht vorliege. Das Gericht kam zu dem Ergebnis, dass der Webseiten-Betreiber hafte, da er für das Integrieren des Plugins verantwortlich sei. Das Oberlandesgericht Düsseldorf hat in der Berufung das laufende Verfahren ausgesetzt und dem Gerichtshof der Europäischen Union (EuGH) insgesamt sechs datenschutzrechtlich relevante Fragen zur Vorabentscheidungen vorgelegt. Im Ergebnis muss der EuGH danach klären, ob der Einsatz des Facebook-Buttons in einem deutschen Online-Shop einen Datenschutzverstoß darstellt, wenn hierbei bereits Daten an Facebook übertragen werden und keine informierte Einwilligung des Webseitenbesuchers eingeholt wird, bevor über das Facebook-Plugin eine Übermittlung der IP-Adresse der Besucher an Facebook erfolgt.

Kann die neue EU-Datenschutzverordnung Verbrauchern helfen? Wenn ja, wie?

Die Datenschutzgrundverordnung führt dazu, dass sich Verbraucher bei einer Beschwerde immer an die Datenschutzbehörde ihres Mitgliedsstaates wenden können. Hierbei spielt es keine Rolle in welchem Mitgliedsstaat ein Datenmissbrauch stattgefunden hat. In Deutschland knüpft die Datenschutzgrundverordnung vielfach an Regelungen aus dem BDSG an. Gleichwohl werden Daten noch weitergehend geschützt. Durch die DSGVO werden Auskunftspflichten erheblich erweitert. So muss beispielsweise über die Dauer belehrt werden, für die personenbezogene Daten gespeichert werden. Wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden, müssen alle verfügbaren Informationen über die Herkunft der Daten erteilt werden. Neu ist auch, dass die Auskunft in maschinenlesbarer Form ohne Kosten zu erteilen ist. Im Rahmen der Auskunft ist dem Nutzer eine Art „Rechtsbehelfsbelehrung“ zu erteilen über sein Beschwerderecht bei Aufsichtsbehörden, die Rechte auf Berichtigung (Art. 16 DSGVO), das Recht auf Löschung (Art. 17 DSGVO), das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO) und das Widerspruchsrecht (Art. 21 DSGVO). Neu ist ebenfalls ein „Recht auf Vergessenwerden“ (Art. 17 DSGVO). Die Datenschutzgrundverordnung knüpft hier an das „Google-Spanien“ Urteil des EuGH von Mai 2014 an und regelt demgegenüber klar, wann personenbezogene Daten gelöscht werden müssen. Unternehmen werden dann Daten von Verbrauchern löschen müssen, wenn es keine legitimen Gründe für eine weitere Speicherung gibt und der Verbraucher eine Löschung wünscht.

Die Datenschutzgrundverordnung hat auch den Rahmen von Bußgeldern deutlich erhöht. Nunmehr sind bei Unternehmen wie Facebook Bußgelder bis zu 4 Prozent des weltweiten Umsatzes möglich. Bisher waren nach dem BDSG nur Bußgelder bis zu 50.000 bzw. 300.000 EUR möglich. Aus der Erfahrung mit Kartellverstößen, die ebenfalls Bußgelder in Höhe von bis zu 10 Prozent des weltweiten Umsatzes abschöpfen, ist bereits bekannt, dass solche Maßnahmen abschrecken und Unternehmen meist zur Einhaltung der Vorschriften zwingen.

Die Datenschutzgrundverordnung sieht für Verbraucher eine wirksame Einwilligung erst ab einem Alter von 16 Jahren vor (Art. 8 Abs. 1 DSGVO). Minderjährige unter 16 Jahren werden sich daher nicht mehr bei Facebook anmelden können. Aus Sicht des Datenschutzes ist diese Regelung sinnvoll, da gerade Kinder und Jugendliche oftmals unbewusst viele personenbezogene Daten preisgeben. Diese Einschränkung wird von den Minderjährigen jedoch sicherlich eher als Verschlechterung und Einschränkung angesehen werden. Es bleibt abzuwarten, ob und wie Kinder und Jugendliche versuchen werden diese Einschränkung zu umgehen.

Was genau besagt diese Verordnung?

Die Datenschutzgrundverordnung hat das Ziel das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen. Verbraucher und Unternehmer können daher zukünftig darauf vertrauen, dass innerhalb der EU ein einheitliches Datenschutzrecht und Schutzniveau gilt. Die Datenschutzgrundverordnung gilt dabei auch für Unternehmen außerhalb der EU, sofern diese Daten von Nutzern eines Mitgliedstaats verarbeiten. Damit werden auch soziale Netzwerke wie Facebook, Twitter und Google+ erfasst, aber auch Cloud-Anbieter in den USA. Trotz Firmensitz außerhalb der EU müssen sich diese damit an europäisches Datenschutzrecht halten.

Was müsste sich ändern, damit ein Datenmissbrauch durch Facebook oder andere Soziale Netzwerke nicht stattfinden kann?

Entscheidend ist, dass die Nutzer von sozialen Netzwerken erkennen und dahingehend sensibilisiert werden, dass sie die Dienste mit ihren persönlichen Daten bezahlen. Facebook ist zwar kostenlos, aber nicht umsonst. Auch nach der Datenschutzgrundverordnung kann der Verbraucher zwar an seinem Wohnsitz gegen Facebook klagen und muss nicht am Sitz, bzw. der Niederlassung von Facebook klagen. Es verbleibt jedoch die Problematik, dass die Klage an Facebook zugestellt werden muss. Hierzu muss die Klage von einem vom Gericht gewählten vereidigten Dolmetscher oder Übersetzer übersetzt werden. Hierbei können leicht Übersetzungskosten in Höhe von mehreren tausend Euro anfallen. Rechtlich besteht weiterhin die Problematik, ob diese Kosten bei einem Obsiegen in einem Prozess überhaupt erstattungsfähig sind. Hier müsste den Betroffenen eine Klagemöglichkeit ermöglicht werden, ohne dass es einer Übersetzung der deutschen Klage bedarf.

Zunächst sind daher die Datenschutzbehörden und Verbraucherschutzverbände gefragt gegenüber Facebook sicherzustellen, dass die Voraussetzungen der Datenschutzgrundverordnung eingehalten werden. Die Datenschutzbehörden müssten hier aus dem Gesichtspunkt der Abschreckung auch den Sanktionsrahmen der Bußgelder ausschöpfen, um unmissverständlich klar zu machen, dass sich Datenschutzverstöße für Facebook nicht mehr wirtschaftlich lohnen werden.

Hinsichtlich der Höhe der Bußgelder wird sich in den nächsten Jahren herausstellen, in welcher Höhe diese tatsächlich verhängt werden und ob Bußgelder in Höhe von bis zu 4 % des weltweiten Umsatzes Facebook tatsächlich abschrecken oder ob sich dennoch Datenschutzverstöße weiter lohnen, weil hiermit höhere Werbeeinnahmen erzielt werden können. Sollte sich dies herausstellen, müssen die Sätze gegebenenfalls weiter angehoben werden. Ebenso wird auch die Strafbarkeit noch weiter in den Focus rücken müssen und der Strafrahmen des § 42 BDSG (neu) gegebenenfalls von 2 auf 5 Jahre Freiheitsstrafe angehoben werden müssen.