Top-Datenschützer warnt: "Hände weg von Facebook!"

15.09.2012

Dr. Thilo Weichert, Landesbeauftragter für Datenschutz Schleswig-Holstein und damit Leiter der in Kiel sitzenden Behörde "Unabhängiges Landeszentrum für Datenschutz" (ULD) hält das bisherige Geschäftsmodell von Facebook für unvereinbar mit deutschen und europäischen Datenschutzregeln. Der streitbare Datenschutzprominente bezieht klar Stellung und redet gern Tacheles – ein Grund mehr für den Sicherheits-Berater, ihn hier als Gastautor zu Wort kommen zu lassen:

"Als das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) im August 2011 nach Analyse der Social Plugins (z.B. des "Gefällt mir"-Buttons) und der Fanpages von Facebook mit der Feststellung der Rechtswidrigkeit solcher Anwendungen an die Öffentlichkeit ging, war die Aufregung groß: Das Verbot solcher Nutzungen würde eine Wettbewerbsverzerrung darstellen, verstieße gegen die Kommunikationsfreiheit und würde das Erreichen vieler Menschen, vor allem von Kindern und Jugendlichen verhindern. Inzwischen hat sich die Aufregung gelegt. Die deutschen Datenschutzbehörden schlossen sich der Bewertung des ULD an. Doch der Auslöser und Anlass der Aufregung wurde immer größer: Facebook.

Das Kommunikationsangebot dieses Unternehmens verstößt gegen eine Vielzahl von rechtlichen Normen. Hier sollen nur einige grundsätzliche Feststellungen, v. a. unter Bezugnahme auf das Bundesdatenschutzgesetz (BDSG), gemacht werden:

Datenschutzverstöße im Paket

  1. Notwendige Einwilligungen, etwa bei der Datenübermittlung ins außereuropäische Ausland oder beim Setzen von Cookies, die nicht zur Diensterbringung benötigt werden, werden nicht eingeholt (§ 4c Abs. 1 Nr. 1 BDSG, Art. 5 Abs. 3 E-Privacy-Richtlinie).
  2. Eingeholte Einwilligungen genügen nicht den datenschutzrechtlichen Anforderungen (§ 4a BDSG, § 13 Abs. 2, 3 Telemediengesetz – TMG).
  3. Allgemeine Geschäftsbedingungen, also die Nutzungsbestimmungen und die Datenschutzrichtlinien, enthalten überraschende, verbraucherschädigende und aus sonstigen Gründen rechtlich unwirksame Klauseln (§§ 305 ff. Bürgerliches Gesetzbuch – BGB).
  4. Die gesetzlich geforderte Möglichkeit für Betroffene, ihre Ansprüche auf Auskunft, Berichtigung, Sperrung und Löschung durchzusetzen, wird teilweise völlig, in jedem Fall aber weitgehend verweigert und unangemessen behindert (§§ 6, 34, 35 BDSG).
  5. Den Informations- und Impressumspflichten wird nicht vollständig genügt (§§ 5, 6, 13 Abs. 1 TMG).
  6. Die datenschutzrechtlichen Verantwortlichkeiten lassen sich für alle Beteiligten, insbesondere für die Betroffenen und für Aufsichtsbehörden, nicht klar erkennen (§§ 3 Abs. 7, 4 Abs. 3 BDSG).
  7. Die Pflicht zur vollständigen Löschung von Daten, etwa wegen der Verletzung von Persönlichkeitsrechten, nach Abschalten eines Accounts oder wegen Zeitablaufs, wird nicht umgesetzt (§ 35 Abs. 2 BDSG).
  8. Daten von Dritten werden ohne Einwilligung und ohne gesetzliche Legitimation verarbeitet (§§ 28, 29 BDSG, §§ 14, 15 TMG).
  9. Beim Einsatz des biometrischen Verfahrens der Gesichtserkennung werden die schutzwürdigen Betroffeneninteressen missachtet (§ 28 Abs. 1 Nr. 2 BDSG).
  10. Den besonderen Legitimationsanforderungen für die Verarbeitung von sensiblen Daten, z. B. von Gesundheitsdaten, wird nicht genügt (§§ 3 Abs. 9, 4a Abs. 3, 28 Abs. 6-9 BDSG).
  11. Es erfolgt bei Profilerstellungen keine hinreichende Information und es wird keine Widerspruchsmöglichkeit eingeräumt (§ 15 Abs. 3 TMG).
  12. Die pseudonyme Nutzung wird nicht zugelassen (§ 13 Abs. 6 TMG).
  13. Der Minderjährigenschutz wird nicht beachtet (u. a. §§ 106 ff. BGB).
  14. Die verwendeten technisch-organisatorischen Sicherheitsmaßnahmen sind ungenügend (§ 9 BDSG mit Anlage).

Diese Mängelliste ist keine Gesamtbestandsaufnahme. Gerade in jüngster Zeit wurden neue Aspekte bei Facebook bekannt, die einem Datenschützer die Haare noch steiler zu Berge stehen lassen: So werden Kommunikationsinhalte unter Verletzung des grundgesetzlichen Telekommunikationsgeheimnisses für eigene Zwecke gescannt. Es wurden Adressverzeichnisse eigenmächtig geändert. Den "Freunden" wird sichtbar gemacht, welche Applikationen die anderen Freunde nutzen. In der deutschen Rechtskultur kommt es schlecht, wenn User aufgefordert werden, Pseudonym-Nutzende gegenüber dem Unternehmen zu denunzieren... Mit weiteren Überraschungen ist zu rechnen.

Das ULD hat nichts gegen soziale Netzwerke, auch nichts gegen Facebook. Das ULD kritisiert aber Datenschutzverstöße; Facebook ist das größte und einflussreichste soziale Netzwerk und damit stilbildend für die Konkurrenz. Diese – insbesondere wenn sie in den USA beheimatet ist wie etwa Google+ oder LinkedIn – ist aus Datenschutzsicht oft nicht viel besser als Facebook.

Ökonomische Risiken

Gemäß dem Branchenverband Bitkom nutzen derzeit 32 Prozent der deutschen Firmen die kostenlose Facebook-Fanpage. Der Kommunikations- und Kundenbindungsnutzen von Facebook ist unbestreitbar. Doch dürfte dieser schwinden: War es vor einem Jahr noch chic, Facebook zu nutzen, so gilt das schon lange nicht mehr für Premium-User, für die Inhalte und Kundenfreundlichkeit wichtig sind. Der soziale Zwang zur Facebook-Nutzung schwindet selbst bei Kindern und Jugendlichen (für die das Netzwerk als ungeeignet angesehen werden muss). Der Meinungsumschwung zu Facebook beruht nicht darauf, dass die Facebook-Aktie von ursprünglich 38 Dollar auf 20 Dollar gesunken ist, sondern auch auf einer zunehmend kritischen Debatte der öffentlichen Medien.

Es stellt sich wohl die Frage, was von einem Unternehmen zu halten ist, das notorisch die demokratisch zustande gekommenen deutschen und europäischen Gesetze missachtet – auch wenn die meisten Unternehmen und viele Behörden in Deutschland immer noch an der Nutzung festhalten.

Die Missachtung des Datenschutzrechtes – und anderer verbraucherschützenden Normen – kann Facebook nutzende deutsche Unternehmen – aber auch Behörden – schnell selbst einholen: In Schleswig-Holstein sind drei Klagen beim Verwaltungsgericht anhängig, über die das ULD feststellen lassen möchte, dass deutsche Webseitenbetreiber für ihre Facebook-Anwendungen eine Eigenverantwortung tragen und diese nicht nach Irland bzw. in die USA abschieben können. Schon vor einem Jahr hat das ULD auf Möglichkeiten hingewiesen, die bisher aus Rücksicht auf die Gesamtdebatte nicht oder nur begrenzt genutzt wurden: Untersagungsverfügungen, Bußgeldverfahren, Schadenersatzforderungen, Durchsetzung von Betroffenenrechten, Wettbewerbsklagen.

Im Zweifel auf Nummer Sicher

Sollte ein Leiter einer Daten verarbeitenden Stelle unsicher sein, ob diese Facebook nutzen soll, so sei ihm die Lektüre der Nutzungsbedingungen und der Datenschutzregeln empfohlen, wo von einseitigen Änderungsmöglichkeiten die Rede ist, von der Übertragung der Nutzungsrechte bezüglich aller Daten und vieler anderer aus europäischer Sicht Ungeheuerlichkeiten – auch gegenüber den nutzenden Stellen, nicht nur der Enduser. Dass unbedarfte Internet-User die vielen Seiten Kleingedrucktes von Facebook nicht lesen, mag psychologisch verständlich sein und zugleich verbraucherrechtlich zur Unzulässigkeit der Klauseln führen. Das Verbraucherrecht ist aber nicht auf gewerbliche oder behördliche Anbieter anzuwenden. Welch fatale Konsequenzen dies haben kann, erlebte die bayerische Landeshauptstadt München schon Februar 2012, als ihr ihre Seite facebook.com/muenchen mit 400.000 Fans ohne Ankündigung abhanden kam. Dieses Schicksal ereilte weitere Städte als Anbieter, einfach weil Facebook seine Politik änderte. Wem das Ziel "Verfügbarkeit" wichtig ist, der sollte nicht auf Facebook setzen.

Entsprechendes gilt für die Vertraulichkeit. Es ist nun nicht so, dass Facebook die erlangten Daten auf dem Markt feilbieten würde. Dies widerspräche dem eigenen Interesse, denn die Daten sind das Kapital des Unternehmens. Doch können befreundete Unternehmen Daten erhalten und – natürlich – US-Sicherheitsbehörden. Zwar ist nominell Facebook Irland verantwortliche Stelle, doch die meisten Daten werden weiterhin in den USA verarbeitet – mit einem direkten Zugriff von FBI, CIA, NSA, DEA & Co. Über Facebook Betriebs- und Geschäftsgeheimnisse zu kommunizieren, kann eigentlich nur als Einladung zur Wirtschaftsspionage verstanden werden. Zu den Betriebs- und Geschäftsgeheimnissen gehört regelmäßig auch die unternehmensinterne Kommunikation. Diese kann von Facebook selbst wie von FBI & Co. nach eindeutigen sehr weitgehenden US-Gesetzen – die zur Terrorismusbekämpfung beschlossen wurden, aber für viel mehr genutzt werden – mitgelesen und analysiert werden. Ein Unternehmen, das die eigene interne Kommunikation über Facebook abwickelt, macht sich nicht nur von einem billigen, aber zugleich unberechenbaren Dienstleister abhängig, sondern schafft zugleich die Voraussetzungen dafür, dass das wertvollste Kapital verloren gehen kann, das Unternehmen in Mitteleuropa meist haben: ihre Mitarbeiter und deren Wissen, also das "brain capital".

Mittelfristig absehbar ist ein weiterer Trend, der ein Setzen auf Facebook verbietet: die Kompromittierung des Verbrauchervertrauens. Wer als Unternehmen über Facebook mit seinen Kundinnen und Kunden kommuniziert, der muss sich vorwerfen lassen, dass Facebook und die US-Sicherheitsbehörden mitlesen können und dass dort die Datenschutzgesetze und die Regeln des Verbraucherschutzes nicht eingehalten werden. Bislang scheint das noch kein Problem zu sein, solange ein Unternehmen als vertrauenswürdige Alternative eine selbst voll beeinflussbare Webseite betreibt. Es ist aber nicht abwegig, dass allein schon der Umstand, dass ein Unternehmen bei Facebook vertreten ist, als Makel angesehen wird.

Perspektiven

So weit sind wir noch nicht. Ob wir dahin kommen, hängt auch vom Marktverhalten der deutschen Unternehmen hinsichtlich ihres Kommunikationsangebotes ab. Es hängt insbesondere davon ab, ob Facebook sich auf die in Europa geltenden Gesetze und Marktgepflogenheiten einlässt. Bisher gibt es hierfür leider wenig positive Signale."

Der Sicherheits-Berater und sein Mutterunternehmen, die von zur Mühlen'sche GmbH, pflegen, wie auch die Schwestergesellschaft Simedia GmbH, genau aus eben diesen Gründen keinen Auftritt bei Facebook.


Dieser Beitrag ist Bestandteil von:


Ein Beitrag des Informationsdienstes

Sicherheits-Berater
TeMedia VerlagsGmbH

Kontakt:
Alte Heerstr. 1
53121 Bonn

Tel. +49 228 96293-80
Fax +49 228 96293-90
E-Mail: info@sicherheits-berater.de
Internet: www.sicherheits-berater.de