Irische Datenschützer üben zwar viel Kritik an Facebook, beanstanden aber keine Rechtsverstöße. Deutsche Datenschützer zeigen sich enttäuscht.

Stuttgart - Irische Datenschützer monieren eine ganze Reihe von Datenschutzmängeln bei Facebook, können aber nicht erkennen, dass dies gegen irisches Datenschutzrecht verstößt. Während Facebook dieses Ergebnis begrüßt, zeigen sich deutsche Datenschützer zurückhaltend bis enttäuscht.

 

Mehrfach wurden Facebook in den letzten Jahren Verstöße gegen europäisches Datenschutzrecht vorgeworfen. Weil Facebook sein europäisches Hauptquartier in Irland unterhält, prüfte nun die irische Datenschutzbehörde die Vorwürfe. Sie kommt zu dem Ergebnis "dass Facebook Irland sich an das Datenschutzrecht hält, und dieser Bericht stellt diese Rechtskonformität fest". Gleichwohl äußerte die Behörde vielfältige Kritik an dem US-amerikanischen Social-Network-Dienst.

Lesen Sie auch

Nutzer sollen ihre Daten endgültig löschen können

Die Untersuchung war vor allem von einer Wiener Studenteninitiative gefordert worden, die 22 Anzeigen gegen das Unternehmen gestellt hatte. Diese sieht in den Prüfergebnissen nun einen "Riesenerfolg", da ihre Forderungen teilweise komplett übernommen worden seien. Die irische Datenschutzbehörde hat nun eine Reihe von Empfehlungen ausgesprochen, die Facebook im Rahmen von Selbstverpflichtungen binnen sechs Monate nachkommen kann. Dazu gehört die Möglichkeit, dass Nutzer ihre Daten endgültig löschen können. Bisher konnte die Anzeige der Daten lediglich unterdrücken werden; Facebook speicherte diese jedoch weiterhin.

Die Umsetzung wird der irische Datenschutzbeauftragte Billy Hawkes erneut überprüfen. Für den Bundesdatenschutzbeauftragten Peter Schaar ist es "von entscheidender Bedeutung, dass das Unternehmen die in dem Bericht genannten Anforderungen zügig umsetzt, etwa im Hinblick auf die kurzfristige Löschung von Nutzerdaten, mehr Transparenz und verbesserte Entscheidungsmöglichkeiten der Betroffenen darüber, wie mit ihren Daten umgegangen wird".

Nur einzelne Teile geprüft

Der schleswig-holsteinische Landesdatenschützer Thilo Weichert zeigt sich wenig zufrieden mit der Vorgehensweise der Iren. Er kann "nicht ganz die Schlussfolgerungen des Berichts verstehen, der eine Vielzahl von Datenschutzmängeln benennt, ohne deren Rechtswidrigkeit festzustellen". So erfolgt laut dem Bericht die gesamte zentrale Datenverarbeitung in den USA. Nutzer haben nur unzulängliche Informationen und fehlende Wahlmöglichkeiten. Außerdem dokumentiert der Bericht, dass von Mitgliedern und auch von Nichtmitgliedern Daten gesammelt werden, die zu einer Profilbildung genutzt werden können. Zu löschende Daten werden nicht umgehend gelöscht. Die Schlussfolgerung der Iren, darin keine Rechtsverstöße zu sehen, zeige "ein erstaunliches Verständnis für angebliche Zwänge, die Facebook geltend macht".

Weichert sieht in den Prüfergebnissen eine Bestätigung dessen, was seine Behörde bereits festgestellt habe, allerdings habe seine Behörde die Mängel nach deutschem Datenschutzrecht bewertet. Hinsichtlich der Untersuchungsmethode zeigt sich Weichert darüber enttäuscht, dass keine umfassende Quellcodeanalyse der Datenauswertungen bei Facebook, etwa für die Nutzungsanalysefunktion Insights, zu erkennen sei. Dem Bericht nach seien nur einzelne Teile geprüft worden. Die irische Behörde verlasse sich, so Weichert "anscheinend oft ungeprüft auf die Aussagen und Zusicherungen von Facebook". Seine Behörde habe nun von Facebook detaillierte Informationen angefordert und wolle die Reichweitenanalyse auf Ebene des Quellcodes prüfen.

Umgang mit privaten Informationen soll geprüft werden

Wie die in der Artikel 29-Gruppe organisierten europäischen Datenschützer mit dem Ergebnis des Berichts umgehen werden, wird sich erst im Februar zeigen, wenn sich die Gruppe wieder trifft. Sie will dann eigene Empfehlungen aussprechen. Der Bericht wird, so kündigt der Bundesdatenschutzbeauftragte Peter Schaar an, "auch vor dem Hintergrund der Anfang Dezember veröffentlichten Entscheidung der für Facebook USA zuständigen Federal Trade Commission (FTC) zu analysieren sein."

Die US-Verbraucherschutzbehörde FTC hatte Facebook zu mehr Transparenz beim Umgang mit den Nutzerdaten gezwungen. Facebook darf demnach, wie berichtet, seine Standardeinstellungen zur Privatsphäre nicht mehr verändern, ohne dass die Nutzer in jedem Einzelfall ausdrücklich zustimmen. Die Behörde störte es auch, dass Daten von gelöschten Profilen von Facebook weiter ausgewertet wurden. Künftig müssen diese spätestens nach 30 Tagen von den Servern verschwinden. Über einen Zeitraum von 20 Jahren muss die Firma alle zwei Jahre ihren Umgang mit privaten Informationen von einem unabhängigen Gremium überprüfen lassen.