Wo sind Schranken für Facebooks Datennutzung?

Die Daten-Affäre um Facebook und Cambridge Analytica lenkt den Blick auf ein Thema, das seit Jahren zu wenig angepackt wird. Datenschutz-Verstöße werden zu oft einfach hingenommen. Das könnte sich bald ändern.

Wer wissen will, welche Daten Facebook von einem selbst schon gesammelt hat, der kann das ziemlich leicht überprüfen – wenn man denn weiß wie es geht. Ich habe das einmal getan: Bei Facebook eingeloggt, die Einstellungen aufgerufen und auf den Punkt „Allgemeine Kontoeinstellungen“ geklickt. Unter Namen, E-Mail-Adresse und Temperatur lässt sich ein Link anklicken: „Lade eine Kopie deiner Facebook-Daten herunter.“

Zwei Klicks weiter und einige Minuten später und ich habe eine E-Mail von Facebook im Postfach. Im Anhang eine Zip-Datei, die genau aufschlüsselt, was das Soziale Netzwerk so speichert – und wo ich jemals irgendwann drauf geklickt habe. Ich bin beruhigt, als ich das Dokument „Contact Info“ öffne und es leer ist. Hier habe ich wohl nichts hinterlassen. Auch die Apps sind leer bis auf Instagram. Okay, das war mir bewusst. Wirklich interessant ist der Ordner „Ads“. Themen über Werbeanzeigen, die mich laut Facebook interessieren, sind ehrlich gesagt schon sehr aussagekräftig: viele meiner Lieblingsbands, Nachrichtenseiten wie „Heute“, „WirtschaftsWoche“ und „Handelsblatt“, meine Heimatstadt Düsseldorf, meine Lieblingsstadt San Francisco.

Im Werbe-Dokument stehen aber auch „Werbekunden mit deinen Kontaktinfos“. Da das Datenblatt mit den Kontaktinformationen ja leer war im Grunde nicht schlimm, aber ich frage mich, warum Zalando und Uber dort auftauchen. Ich kenne natürlich beide Unternehmen, war aber nie Kunde dort oder Ähnliches. Erklären kann ich mir das nicht. Ich weiß aber nicht genau, welche Werbung und welches Quiz ich vielleicht auf Facebook einmal aus Langeweile oder Neugierde angeklickt habe. Mir ist bewusst, dass ich den AGB zugestimmt und damit mein Einverständnis zu vielen Dingen gegeben habe, die ich nicht gut finde. Wenn ich ehrlich bin, mache ich mir keine Gedanken, dass Facebook so viele Daten bei mir abgreift und sie auch nutzt.


99 Prozent sind viele AGB-Klauseln nicht bewusst

So wie mir geht es vielen Nutzern bei Facebook. Mein Beispiel ist nur ein kleiner, im Grunde unbedeutender Einblick in die Facebook-Welt. Zeigt aber bereits die Unübersichtlichkeit und Achtlosigkeit rund um den Datenschutz, der sich Nutzer bei Facebook häufig preisgeben. Welches Ausmaß die Achtlosigkeit und der mangelnde Datenschutz annehmen kann, zeigt der Fall Cambridge Analytica. Am Wochenende war bekannt geworden, dass die Datenanalyse-Firma illegal an einige Informationen von bis zu 50 Millionen Facebook-Nutzern gekommen war. Um sie zu sammeln, hatte ein Professor eine Umfrage zu Persönlichkeits-Merkmalen aufgesetzt, die bei Facebook als wissenschaftliche Forschung angemeldet wurde. Die Daten gingen dann ohne Wissen der Nutzer an Cambridge Analytica

Verbraucherschützer warnen seit immer wieder davor, dass den meisten Verbrauchern überhaupt nicht bewusst sei, was Facebook alles mit den Daten, mit denen wir das Netzwerk füttern, anstellt. Wie unbedarft viele an das Soziale Netzwerk herangehen, zeigt eine Studie aus Wien: Dafür wurden österreichische Facebook-Nutzer befragt, ob sie tatsächlich „freiwillig, für den bestimmten Fall“ und „in informierter Weise“ in die verschiedenen Datenverarbeitungen Facebooks einwilligten und entsprechend der rechtlichen Vorgaben auf ihre datenschutzrechtlichen Ansprüche verzichteten, wie das Soziale Netzwerk immer wieder klarstellt. Dafür wurden den Studienteilnehmern konkrete Klauseln aus den Nutzungsbedingungen vorgelegt und gefragt, ob sie diesen zugestimmt haben und ob sie diesen zustimmen würden, wenn sie wählen könnten. Die abgefragten Klauseln beschäftigten sich unter anderem mit der Klarnamenpflicht, der Zustimmung, dass Name und Profilbilder für Werbeanzeigen und die Analyse persönlicher Informationen für Studien und Produktentwicklungen genutzt werden.

Das Ergebnis war mehr als eindeutig: 99 Prozent der Studienteilnehmer war nicht klar, dass sie all den vorgelegten Klauseln eingewilligt haben und gerade einmal drei Prozent hätten ihnen allen zugestimmt, hätten sie eine Wahl. „Die Ergebnisse zeigen, dass die freiwillige Nutzung von Facebook nicht mit der Einwilligung in die daran gekoppelten Datenverarbeitungen gleichzusetzen ist“, schlussfolgert Studienautor Robert Rothmann vom Institut für Staats- und Verwaltungsrecht der Universität Wien.

Schwieriger Kampf gegen Datenschutzverletzungen

Für Facebook und viele Juristen ist der Fall klar: Wer sich beim Sozialen Netzwerk anmeldet und den umfangreichen AGB zustimmt, gibt seine Einwilligung. Rothmann nennt es aber eine „Einwilligung als dogmatische Fiktion“. Die repräsentativen Daten belegten, dass für den durchschnittlichen Facebook-Nutzer subjektiv keine informierte Einwilligung vorliegt.


Dass Facebook eine Datenkrake ist, dürfte trotzdem niemanden überraschen. Der Fall Cambridge Analytica führt zum ersten Mal im großen Stil öffentlich und allen deutlich vor Augen, was mit den Daten nicht nur theoretisch passieren könnte, sondern tatsächlich mit ihnen passiert. Im Falle Facebook und Cambridge Analytica werden nun sogar Rufe nach mehr staatlicher Aufsicht über Online-Plattformen lauter. Die US-Aufsichtsbehörde FTC habe Ermittlungen zu dem Fall eigeleitet, berichtete der Finanzdienst Bloomberg. Sollte sie eine Verletzung der Datenschutz-Regeln feststellen, kann sie hohe Strafen verhängen.

Datenschützer, Juristen und Verbraucherschützer warnen seit Jahren konstant vor der Sammelwut des Internetriesen – und dem Nutzen, den Unternehmen daraus ziehen. Deshalb wird auch immer wieder über strengere Regeln diskutiert und bessere Standards etwa bei Facebook eingefordert.

Bekanntes Beispiel in der EU ist der österreichische Jurist Max Schrems. Er führt seit 2011 einen Feldzug gegen Facebook und versucht unter anderem strengere Datenschutzregeln gerichtlich durchzusetzen. Mit einer Sammelklage gegen Facebook in Irland scheiterte er zuletzt. Aufgeben will Schrems aber nicht. Im November 2017 gründete er die Datenschutz-NGO „Noyb“, die Datenschutzverletzungen von Unternehmen anprangern und verhindern möchte. Er ist aber längst nicht der Einzige, der aktiv gegen Facebooks Datenschutz-Verfehlungen kämpft.


Richtungsweisendes Urteil gegen Facebook aus Berlin

Der Verbraucherzentrale Bundesverband (VZBV) konnte erst im Januar einen Erfolg gegen Facebook verbuchen. Die Verbraucherschützer hatten das Unternehmen 2015 wegen Datenschutzverletzungen verklagt. Das Berliner Landgericht gab ihnen nun im Januar 2018 Recht. „Facebook versteckt datenschutzunfreundliche Voreinstellungen in seinem Privatsphäre-Center, ohne bei der Registrierung ausreichend darüber zu informieren“, sagt Heiko Dünkel, Rechtsreferent beim VZBV. „Das reicht für eine informierte Einwilligung nicht aus.“ So sah es auch das Gericht und erklärte in seinem Urteil vom 16. Januar (Az. 16 O 341/15) Teile der Nutzungs- und Datenschutzbedingungen Facebooks für unzulässig.

Vor allem die Voreinstellungen im Privatsphäre-Bereich des Sozialen Netzwerkes wurden bei der Klage der Verbraucherschützer hinterfragt. Das Landgericht erklärte insgesamt fünf der monierten Voreinstellungen für unwirksam. Es sei nicht gewährleistet, dass diese vom Nutzer überhaupt zur Kenntnis genommen werden, so das Urteil. Rechtswidrig ist demnach, dass in der Facebook-App für Mobiltelefone ein Ortungsdienst in den Voreinstellungen aktiviert wird, der Chat-Partnern den eigenen Aufenthaltsort verrät. Ebenso wie die Voreinstellung, dass Suchmaschinen grundsätzlich einen Link zur Chronik des Teilnehmers erhalten.

Außerdem erklärten die Richter acht Klauseln in den Nutzungsbedingungen für unwirksam. In dem Kleingedruckten müssen sich die Facebook-Anwender bislang etwa damit einverstanden erklären, dass der Konzern die Namen und das Profilbild der Nutzer „für kommerzielle, gesponserte oder verwandte Inhalte“ einsetzen durfte. Mit solchen vorformulierten Erklärungen könne aber keine wirksame Zustimmung zur Datennutzung erteilt werden, heißt es in dem Urteil. Außerdem sei die Klausel, mit der sich Nutzer verpflichten, auf Facebook nur ihre echten Namen und Daten zu verwenden, ebenso unwirksam, urteilte das Landgericht. „Anbieter von Online-Diensten müssen Nutzern auch eine anonyme Teilnahme, etwa unter Verwendung eines Pseudonyms, ermöglichen“, sagt VZBV-Referent Dünkel. „Das schreibt das Telemediengesetz vor.“


Facebook legte gegen das Urteil Berufung ein und verwies in einer Stellungnahme darauf, dass sich die Produkte und Richtlinien von Facebook seit Beginn des Verfahrens im Jahr 2015 sehr verändert hätten. Außerdem nehme man 2018 angesichts der bevorstehenden Gesetzesänderungen weitere Änderungen an den Geschäftsbedingungen und Datenschutzrichtlinien vor. Doch obwohl das Urteil wegen der Berufung noch nicht rechtskräftig ist, darf es dennoch als richtungsweisend bezeichnet werden.

Neues EU-Datenschutzgesetz setzt Facebook Grenzen

Dass Facebook Änderungen an den AGB und den Datenschutzrichtlinien derzeit plant, rührt natürlich nicht von gutem Willen her – sondern ist eine Konsequenz des Drucks aus Europa. Ab Mai 2018 gelten erstmals europaweit einheitliche Datenschutz-Bestimmungen: die sogenannte europäische Datenschutzgrundverordnung (DSGVO). Offiziell sind die Regeln bereits am 25. Mai 2016 in Kraft getreten, die EU-Mitgliedstaaten müssen die DSGVO jedoch erst ab dem 25. Mai 2018 anwenden.

Das neue Gesetz enthält einige Passagen, die genau das in einen Gesetzestext gießen, was viele Daten- und Verbraucherschützer bei Facebook verhindern wollen. Die DSGVO untersagt grundsätzlich den Umgang mit personenbezogenen Daten, es sei denn eine andere gesetzliche Vorschrift oder eine klare Einwilligung des Betroffenen erlauben es. Unternehmen müssen demnach die Einwilligung von Verbrauchern durch eine freiwillige, gut informierte und eindeutige Handlung einholen. Das kann beispielsweise das Anklicken eines Kästchens sein. Anders als bislang ist ein stillschweigendes Einverständnis etwa durch ein standardmäßig angekreuztes Kästchen keine klare Einwilligung. Gerade damit hatte Facebook sich in der Vergangenheit das Einverständnis vieler uninformierter Nutzer gesichert. Dies muss aber bald der Vergangenheit angehören.


Zudem bekommen Verbände, wie zum Beispiel Verbraucherschutzorganisationen eine Art abstraktes Klagerecht, wodurch sie in der EU auch ohne konkrete Betroffene gegen Datenschutz-Verstöße in AGB vorgehen können. Das war bislang nicht möglich. Das sind deutliche Fortschritte für den Datenschutz in der EU – und für eine Handhabe gegen Datenschutz-Verstöße von Facebook und anderen Unternehmen. Ob die neuen Regelungen tatsächlich etwas ändern, bleibt abzuwarten. Da die nationalen Datenschutzbehörden und Gerichte für die Auslegung zuständig sind, kann diese durchaus variieren und zu abgemilderten Urteilen führen, befürchten Pessimisten. Allerdings dürfte das EU-Gesetz den Druck zumindest erstmals erhöhen. Unternehmen, die sich nicht an die EU-Datenschutzrichtlinien halten, drohen ab Ende Mai Bußgelder von bis zu vier Prozent des weltweiten Vorjahresumsatzes – im Falle von Facebook entspräche das 1,62 Milliarden US-Dollar. Zum Vergleich: Das Bundesdatenschutzgesetze sah bislang maximal Bußgelder von 300.000 Euro für sehr schwere Verstöße vor.

„Facebook unternimmt bereits umfassende Vorbereitungen, um sicherzustellen, dass unsere Produkte und Services mit der DSGVO in Einklang stehen“, heißt es aus der Europazentrale des Sozialen Netzwerks aus Dublin. „Unser Team überprüft und erweitert unsere Tools, um Nutzern den Schutz ihrer Daten zu erleichtern und ihnen aufzuzeigen, welche Kontrollmöglichkeiten Sie in Bezug auf ihre persönlichen Daten haben.“ Außerdem werde das Datenschutzteam mit Hauptsitz in Dublin erweitert und ein Datenschutzbeauftragter eingestellt. Überrascht aber auch nicht – denn auch die Verpflichtung zur Einstellung eines betrieblichen Datenschutzbeauftragten ist im DSGVO festgeschrieben, wenn das Geschäftsmodell des Unternehmens im Kern auf der Verarbeitung personenbezogener Daten beruht.

Eines ist klar: Werden Daten-Affären wie die von Cambridge Analytica öffentlich, leisten sie zusätzlich ihren Beitrag, um auch das Bewusstsein für das Problem mit der (ungewünschten) Datennutzung zu stärken. Gleichzeitig tut sich etwas, um den rechtlichen Druck auf Unternehmen wie Facebook zu erhöhen. Die EU-Gesetzesgrundlagen werden nun schärfer – und die Möglichkeiten für Verbraucher und Verbände, gegen Verletzungen vorzugehen, einfacher. Ob das ausreicht, wird Facebook uns zeigen.