Prüfbericht aus Irland: Facebook jetzt ganz offen

Nach einer Betriebsprüfung bei Facebook Irland stimmt der Konzern einer Liste von Verbesserungen zu. Die Mitglieder sollen mehr über ihre gespeicherten Daten erfahren.

Immer unter Beobachtung: Facebook. Bild: dpa

Mehrere Wochen hat der irische Datenschutzbeauftragte Billy Hawkes Vorwürfe gegen Facebook Irland prüfen lassen. Jetzt hat er seinen Prüfbericht veröffentlicht. Das Dokument ist 149 Seiten lang und es enthält eine lange Liste von Versprechen. Facebook gelobt, sich in fast allen Punkten zu bessern.

Hat Facebook nun also gegen irisches Datenschutzrecht verstoßen, wurde Hawkes in einer Telefonkonferenz mit Facebook-Vertretern, Datenschützern und Journalisten gefragt. So direkt wollte er sich dazu nicht äußern. Nur so viel: "Wenn Facebook sich an unsere ziemlich anspruchsvollen Empfehlungen hält, ist es eher unwahrscheinlich, dass wir einen Gesetzesverstoß feststellen." Hawkes fordert unter anderem, dass gelöschte Mails auch auf den Servern des Unternehmens gelöscht werden. Bis zum Juli 2012 soll der Konzern die umfangreichen Änderungen alle umsetzen.

Bei der Gesichtserkennung, die Facebook im Sommer eingeführt hatte, bemängelt der Datenschutzbeauftragte in seinem Bericht, die Einführung hätte auf "angemessenere Weise" erfolgen sollen. Das Netzwerk will seine europäischen Nutzer laut dem Prüfbericht spätestens in der ersten Januarwoche 2012 noch einmal klar in die Gesichtserkennung, die das Netzwerk "suggested tagging" nennt, einwilligen lassen. Dazu soll auf den einzelnen Mitgliederseiten eine deutlich sichtbare Benachrichtigung erscheinen – mit der Möglichkeit sich dafür oder dagegen zu entscheiden.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Außerdem sollen Facebook-Nutzerinnen künftig wesentlich einfacher Einblick in ihre gespeicherten Profildaten erhalten. Angestoßen hat die Untersuchung in Irland schließlich auch ein österreichischer Student namens Max Schrems. Er hatte Facebook-Mitarbeiter so ausdauernd genervt, bis sie ihm eine ausführliche Liste seiner gespeicherten Facebook-Daten schickten. Weil Facebook unter anderem Mails weiter speicherte, die er gelöscht hatte, und ihm bestimmte Informationen weiter vorenthielt, hatte Schrems mehrere Anzeigen beim irischen Datenschutzbeauftragten eingereicht. "Die extrem gut recherchierten Beschwerden haben uns sicher geholfen, uns auf einige Aspekte zu konzentrieren", sagte Hawkes dazu.

"Positiv überrascht"

Der Prüfbericht enthält nun eine lange Liste mit Profil-Informationen, die entweder im sogenannten "Activity Log" angezeigt werden sollen – einer Funktion der neuen Facebook-Chronik - oder von Facebook in den kommenden Monaten zum Download bereitgestellt werden. Dazu sollen auch IP-Adressen und Gesichtserkennungsdaten zählen. Der irische Datenschutzbeauftragte wird überprüfen, ob all die Informationen tatsächlich bis Juli 2012 zur Verfügung gestellt werden. Nach Max Schrems hatten 40.000 andere Nutzer ihre Profildaten angefordert, aber viele haben bisher keine erhalten. Max Schrems sagte, er sei von dem Bericht "positiv überrascht".

Bis zum Juli 2012 soll es auch besser Möglichkeiten geben, einzelne Elemente wie Freundesanfragen oder "Pokes" tatsächlich aus dem Profil zu löschen.

Nutzerdaten: Wenn die geforderten Daten Facebook vorliegen, muss das Netzwerk sie Mitgliedern innerhalb von 40 Tagen zur Verfügung stellen. Bis Juli 2012 sollen bei Auskunftsersuchen auch IP-Adressen, besuchte Seiten und Daten zur Gesichtserkennung übermittelt werden.

Social-Plugins: Facebook speichert besonders die Daten von Nicht-Mitgliedern nur noch über einen klar begrenzten Zeitraum von bis zu 90 Tagen. "Ad click data", also Anzeigenklicks, werden nach zwei Jahren anonymisiert.

Werbung: Facebook muss seinen Mitgliedern deutlicher sagen, für welche Werbezwecke ihre Daten verwendet werden. Schon im ersten Quartal 2012 sollen Nutzer auch besser informiert werden, wie sie störende Werbebanner abschalten können.

Zuletzt hatte auch der Verdacht für zahlreiche Medienberichte gesorgt, dass Facebook über Cookies die Surfwege seiner Nutzer aufzeichne oder sogenannte "Schattenprofile" anlege. Anzeichen für solche "Schattenprofile" habe man keine gefunden, heißt es im Bericht des irischen Datenschützers.

Untersuchung auch in den USA

Der Konzern verspricht nun außerdem, die Daten, die es mit seinen "Social Plugins" erhebt, bei Facebook-Mitgliedern, die sich ausgeloggt haben oder bei Nicht-Facebook-Mitgliedern nach zehn Tagen zu anonymisieren und nach 90 Tagen zu löschen. Bei Facebook-Mitgliedern sollen die Daten nach 90 Tagen "aggregiert und/oder anonymisiert werden".

Die kleinen Datenkekse legt der Konzern auf den Rechnern der Nutzer ab. So kann Facebook derzeit verfolgen, welche Seiten mit eingebautem Facebook-Daumen die Nutzer besuchen – auch wenn sie bei Facebook längst ausgeloggt sind. Der Blogger Nik Cubrilovic hat das ausführlich dokumentiert. Auch Mitarbeiter des Hamburger Datenschutzbeauftragten haben eine Analyse der Facebook-Cookies veröffentlicht.

In der Zwischenzeit sind auch Kongressabgeordnete aus den USA auf die Problematik aufmerksam geworden. Mehrere Abgeordnete um Cliff Stearns haben am 8. Dezember einen Brief an Facebook-Chef Mark Zuckerberg geschickt und fragen darin, welche Nutzer-Aktivitäten seiner Mitglieder und anderer Surfer Facebook aufzeichne: "What browsing or tracking information does Facebook collect for both users and non-users?"

Der Hamburger Datenschutzbeauftragte Johannes Caspar hatte Facebook im Herbst öffentlich wegen der Gesichtserkennung angegriffen, die nun auch das Netzwerk Google+ eingeführt hat. Caspar hat mittlerweile ein Facebook-Watchblog aufgesetzt und veröffentlicht dort seit November auch Gesprächsprotokolle, die seine Verhandlungen mit Facebook-Vertretern zusammenfassen.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Wir würden Ihnen hier gerne einen externen Inhalt zeigen. Sie entscheiden, ob sie dieses Element auch sehen wollen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.