Facebooks geheimes Datenarchiv

"Max, thanks for contacting Facebook"

Als Facebook im Juni eine Mail des Studenten Max Schrems erhält, ahnt keiner, dass Schrems zum Medienpromi werden wird. taz.de zeigt Auszüge aus dem Mailwechsel.von Johannes Gernert

Auf seiner Internetseite veröffentlicht Max Schrems seine Daten.  Bild:  Screenshot www.europe-v-facebook.org

Eigentlich, dachte Max Schrems vor einigen Monaten, müsste man bei Facebook doch einfach seine eigenen Daten anfordern können. Schließlich sitzt die Firma ja in Europa, und europäisches Recht sieht das vor. Also schrieb Schrems, Jura-Student aus Wien, im Juni eine erste Mail an Facebook. Angekommen, meldet Facebook.

Sechs Tage später findet Schrems eine neue Mail in seinem Eingangsordner:

"We will not be able to assist you with your inquiry based on the ID you provided. Facebook requires all users to use their accurate first and last names." Der Ausweis genüge ihnen nicht. Er müsse seinen echten Namen verwenden. "Fake identification" zu benutzen sei "against the law". Er verstoße mit gefälschten Personendaten gegen das Gesetz.

Manchmal kann Facebook sehr korrekt sein.

Maximilian Schrems nennt sich im Netz Max Schrems, als er nun mit Max[imilian] Schrems unterschreibt und den Namen auch auf Facebook vervollständigt, außerdem von kyrillischer Schrift auf römische umstellt, bekommt er recht schnell eine erste Datenlieferung. Es handelt sich allerdings nur um Login-Daten. Das sei sicher nicht alles, antwortet er. Und verlangt vollständige Auskunft.

Schrems schickt eine Liste und fordert konkrete Daten. Als er am 26. Juni immer noch nichts von Facebook gehört hat, reicht er Beschwerde beim irischen Datenschutzbeauftragten ein, weil Facebook Europa in Dublin sitzt. Eine Kopie schickt Schrems auch an Facebook.

Einen Tag später eine neue Mail von Facebook: "Thank you for your email. Due to the large size of the data file you have requested, we will need to send your data via AirMail, as this information cannot be sent via email." Man werde die große Datenmenge per Luftpost schicken.

Eine Einschränkung schickt das Privacy-Team mit: "Additionally, please be aware that there are situations where we may be unable to retrieve the information that you have requested due to technical limitations." Frei übersetzt heißt das: "Außerdem müssen wir darauf hinweisen, dass sich eine Sachlage ergeben könnte, die es uns aufgrund von technischen Hindernissen unmöglich macht die Informationen abzufragen, die Sie angefordert haben."

Auf Anfrage schickt Schrems seine genaue Adresse. Am 7. Juli fragt Facebook noch einmal:

"We have received your complaint regarding access to your account data. Due to the large size of the data file you have requested, we will need to send your data via AirMail, as this information cannot be sent via email. Please provide your complete mailing address (your name, street address, city, state, country, international post code and phone number)."

Er soll also noch einmal seine genaue Adresse schicken. Außerdem fordert Facebook weiter unten in der Mail, er solle über eine andere E-Mail-Adresse die Echtheit seiner Anfrage bestätigen.

Schrems schickt seine genaue Adresse.

Am 11. Juli meldet Facebook, die CD sei nun auf dem Weg. Am 14. Juli aber tritt folgende Schwierigkeit auf:

"Unfortunately, UPS is unable to deliver to the address you have indicated because your name does not appear on the directory for this address. Please provide an alternate address, or proof of residency at the address provided (for example, a utility bill, rental agreement or other proof of residency). Once we receive this information from you, we can complete your request, but until we have verified your address or received a valid one, we cannot deliver the requested information. We appreciate your patience."

Schrems schickt keine "Utility Bills", also keine Stromrechnung und auch nicht seinen Mietvertrag, sondern setzt wieder eine Deadline. Es stellt sich heraus, dass Facebook sich bei der Adresse schlicht verschrieben hat.

Am 15. Juli, eineinhalb Monate nach der ersten Mail, kommt die CD an. Schrems stellt fest, dass Facebook Dinge speichert, die er eigentlich löschen wollte. Noch immer fehlen ihm wesentliche Daten – darüber etwa, welche Like-Buttons er geklickt hat, was er gesucht hat. Er antwortet, dass die CD gar nicht alle Informationen enthalte, die Facebook über ihn speichert.

"As previously explained, the data and all sources you have already received are all the personal data we hold regarding your account. If the data you are referring to was not included, that means we do not have such data", antwortet ein Facebook-Mitarbeiter. Dienstag, 19. Juli, 18:15 Uhr. Mittlerweile schreiben die Mitarbeiter "Hi, Maximilian".

Bedeutet: Facebook behauptet, mehr Daten gar nicht zu besitzen.

Nachdem Maximilian Schrems Facebook beim irischen Datenschutzbeauftragten angezeigt hat, nachdem internationale Medien berichteten und nachdem der Datenschutzbeauftragte eine Betriebsprüfung angekündigt hat, schreibt das "Facebook User Operations Data Access Request Team" am 28. September 2011, dass Schrems keinen Anspruch auf Daten habe, deren Generierung zu aufwändig sei – oder die einem Geschäftsgeheimnis unterlägen.

Erst gab es die Daten angeblich nicht. Nun unterliegen die Daten, die Facebook behauptete nicht zu besitzen, einem Geschäftsgeheimnis. Oder es ist zu aufwendig, sie zu erstellen. "Nutzerdaten sollen 'geistiges Eigentum' von Facebook sein", schreibt Schrems auf seiner Homepage.

Danach überrollt ihn eine Welle von Journalistenanfragen. Es kommt vor, dass er telefoniert und nach zehn Minuten 15 Anrufe in Abwesenheit aufgelaufen sind. Viele andere Facebooknutzer, die jetzt auch ihre Daten wollen, erhalten Mails, in denen Facebook darauf hinweist, dass wegen der zahlreichen Anfragen Verzögerungen bei den Antworten aufträten.

Wie genau Max Schrems auf die Idee kam, Facebook mit seinen Anfragen zu triezen, und warum er dafür erst ins Silicon Valley fliegen musste, lesen Sie in der aktuellen sonntaz. Haben Sie Ihre Daten schon angefordert und auch PDFs erhalten? Dann schreiben Sie uns gern an sonntaz@taz.de, welche Erfahrungen Sie gemacht haben.

******

Wie man an seine Daten kommt:

Um seine persönlichen Daten bei Facebook anzufordern genügt eigentlich eine Kopie eines amtlichen Ausweises und Link. Das Formular, das Facebook zur Verfügung stellt ist selbsterklärend. Bei der Beantwortung der Anfragen kommt es allerdings derzeit laut dem Unternehmen zu erheblichen Verzögerungen. Es seien so viele. Genauere Erläuterungen zum Anfordern der Daten finden sich auf der Seite von Max Schrems.