Im Auftrag der belgischen Datenschutzbehörde haben Forscher der Universitäten Brüssel und Löwen Ende März ein umfassendes Update ihres Gutachtens zum Datenschutz bei Facebook vorgelegt. Die Wissenschaftler setzen sich darin nicht nur detailliert mit den neuen Datenschutzrichtlinien auseinander, sondern präsentieren auch die Ergebnisse technischer Untersuchungen, insbesondere zum Einsatz von Cookies.

Wesentliche Ergebnisse des Gutachtens

Die Ergebnisse fallen für Facebook erwartet negativ aus, u.a.:

  • Facebook stützt seine Datenverarbeitung weitgehend auf eine Einwilligung der Betroffenen. Deren Wirksamkeit – gemessen am europäischen Datenschutzrecht – ist nach Ansicht der Wissenschaftler aber  “äußerst zweifelhaft”. Denn Facebook informiere unzureichend und biete zum Teil keine echte Wahlmöglichkeit.
  • Kritisch werden auch die Standard-Einstellungen zum Datenschutz gesehen, insbesondere hinsichtlich Profilbildung und Targeting. Die angebotene Opt-Out-Möglichkeit könne eine Einwilligung nicht ersetzen. Diese sei aber nach Art. 5 Abs. 3 der ePrivacy-Richtlinie (auch “Cookie-Richtlinie”) erforderlich. Unabhängig davon benötige Facebook auch nach der EU-Datenschutzrichtlinie für das Targeting eine Einwilligung. Eine Opt-Out-Möglichkeit fehle gänzlich für die Funktion “Sponsored Stories” und für die Sammlung von Standortdaten (abgesehen von der Möglichkeit, die Lokalisierung über das Smartphone-Betriebssystem abzuschalten).
  • Facebook vermische – wiederum ohne wirksame Einwilligung – Daten aus einer stetig zunehmenden Zahl von Quellen (z.B. von Instagram, Whatsapp und Datenhändlern).

Rechtlich sind diese Befunde kaum überraschend. Unter Datenschutzexperten steht die irische Aufsichtsbehörde mit Ihrer Einschätzung, dass Facebooks sich an das europäische Datenschutzrecht halte, weitgehend allein.

Tracking von Nicht-Nutzern umfassender als angenommen

Für Aufsehen hat allerdings eine neue Erkenntnis zum Tracking von Nicht-Facebook-Usern gesorgt. Bekannt war, dass Facebook mittels seiner überall im Internet verstreuten Social Plugins auch das Surfverhalten von Nicht-Usern tracken kann. Dies sollte aber nur dann geschehen, wenn die Nutzer voher einmal die Facebook.com-Website aufgerufen haben. Nur hierdurch sollte das sog. “datr”-Cookie gesetzt werden, welches das Tracking ermöglicht. Nach den Erkentnissen der Forscher setzt Facebook jedoch auch beim Besuch bestimmter Drittanbieter-Websites das “datr”-Cookie. Die belgischen Forscher demonstrieren zudem in plakativen Kurzvideos u.a., wie

  • ein Nicht-Facebook-Nutzer auf der Opt-Out-Seite der European Digital Advertising Alliance dem Tracking widersprechen will – und mit einem Facebook-Tracking-Cookie belohnt wird;
  • das Facebooks Tracking-Cookie beim Besuch von “mtv.com” durch einen Nicht-Nutzer gesetzt wird – obwohl auf der mtv-Website keine Facebook-Plugins sichtbar sind.

 

Facebook: Tracking war nur ein Bug

Am vergangenen Mittwoch hat Richard Allan als “Vice President of Policy, Europe” zu der belgischen Studie Stellung genommen. Die Antwort soll auf einer intensiven einwöchigen Analyse durch Facebooks Datenschutzexperten und Techniker basieren. Erkennbar ist jedoch vor allem die Handschrift der PR-Abteilung. Facebook wirft den Forschern vor, in ihrem Gutachten mehrere Fehler gemacht zu haben, die man nun klarstellen wolle. Die sehr konkreten Kritikpunkte der Forscher werden dann allerdings grob verkürzt in wenige “Claims” zusammengefasst und mit allgemeinen Statements beantwortet. Eine überzeugende Gegendarstellung sieht anders aus. Auf der technischen Ebene kommt dann immerhin noch ein Eingeständnis:

However, the researchers did find a bug that may have sent cookies to some people when they weren’t on Facebook. This was not our intention – a fix for this is already under way.

Zum Teil seien die Tracking-Cookies also “versehentlich” gestreut worden. Auch das wäre für ein um Transparenz und Datenschutz bemühtes Unternehmen allerdings sehr peinlich. Immerhin handelt es sich beim “Behavioural Advertising” um das Kernprodukt von Facebook. Technische Fehler zu eigenen Gunsten wirken dort wenig glaubhaft.

Gegenwind voraus

Die Enthüllungen kommen für Facebook zur Unzeit. Der EuGH könnte noch dieses Jahr das für Facebook wichtige Safe-Harbor-Akkommen kippen, welches die Grundlage vieler Datentransfers in die USA darstellt. Das EuGH-Verfahren geht auf eine Beschwerde von Maximilian Schrems gegen Facebook zurück, die der irische Datenschutzbeauftragte unter Berufung auf Safe Harbor abgewiesen hat.

Weiteres Ungemach droht durch eine von Schrems und anderen Facebook-Nutzern gegen Facebook angestrengte Sammelklage auf Schadensersatz wegen Datenschutzverstößen, die derzeit vor dem Landgericht Wien verhandelt wird (siehe Europe-v-Facebook). Hier ist insbesondere interessant, ob das Gericht sich für zuständig erklären wird.

Und schließlich muss Facebook nach der EuGH-Entscheidung “Google Spain” aus 2014 befürchten, dass es sich nicht mehr in das “Datenschutzparadies” Irland zurückziehen kann. Zwar hatte noch 2013 das OVG Schleswig-Holstein entschieden, dass Facebook (d.h. Facebook Ireland Ltd.) nicht an deutsches Datenschutzrecht gebunden sei. Beobachter gehen jedoch davon aus, dass diese Rechtsprechung durch die EuGH-Entscheidung überholt ist. Denn nach der EuGH-Entscheidung führen nationale Niederlassungen – auch solche zur bloßen Werbekundenbetreuung – zur Anwendbarkeit des jeweiligen nationalen Datenschutzrechts. Dies mag erklären, warum verschiedene Datenschutzbehörden Facebook derzeit erneut prüfen.