Der Techgigant Facebook sammelt und verarbeitet riesige Mengen personenbezogener Daten von seinen Nutzer:innen. In Europa reguliert die Datenschutzgrundverordnung (DSGVO) diese Praxis: Nutzer:innendaten dürfen nur für spezifische Zwecke benutzt und nicht anderweitig verwendet werden. Ein internes Dokument zeigt allerdings, dass Facebook nur bedingt Kontrolle über den eigenen Datenstrom hat.
Die Tech-Nachrichtenseite Motherboard von VICE hat diese Woche ein geleaktes 15-seitiges Dokument von Facebook veröffentlicht, das von Datenschutzexpert:innen des „Ad and Business Product Teams“ stammt. Das Dokument selbst ist aus dem vergangenen Jahr. Die Autor:innen sind für das Werbesystem von Facebook verantwortlich. Das Geschäft mit personalisierter Werbung ist für das Unternehmen die mit Abstand größte Einnahmequelle. Facebook nutzt dazu Daten von Nutzer:innen, etwa Alter, Beruf oder Interessen. Facebook erfasst auch Standortdaten der Nutzer:innen. In dem Dokument warnen die Fachkräfte, dass Facebooks Umgang mit Nutzerdaten weltweit zu Konflikten mit Datenschutzauflagen führen könne – auch mit der europäischen DSGVO.
Undurchsichtiger Datenfluss
Das Unternehmen arbeitet demnach mit offenen Systemen. Das bedeutet, Facebook operiert mit einem Mix aus ganz verschiedenen Datentypen, der neben Daten von Erstanbietern und Daten von Drittanbietern auch sensible Daten umfasst. Dieser gemischter Datenstrom fließe dann überall hin – und sei dabei nur schwer kontrollierbar, so das Dokument. Facebooks Datenschutzteam hat also nach eigene Angaben selbst Schwierigkeiten nachzuvollziehen, was mit den erhobenen Daten passiere. Daraus lässt sich schließen, dass auch Nutzer:innen nur bedingt steuern können, wofür ihre Daten genutzt werden.
Innerhalb der Tech-Branche wird die Frage nach dem Datenweg als „Data Lineage“ bezeichnet – also als „Datenstammbaum“. Ein Datenstammbaum kann zum Beispiel zeigen, wann und auf welche Weise Daten verändert oder genutzt worden sind. Diese Angaben sind auch im Rahmen von europäischen Datenschutzgesetzen relevant. Schließlich regelt die „Zweckbindung“ unter Artikel 5 der DSGVO, dass Daten nur für „festgelegte, eindeutige und legitime Zwecke erhoben werden“ müssen und nicht für anderweitige Zwecke weiterverarbeitet werden dürfen.
Kurz gesagt: Der Konzern Facebook benötigt für jede Verwendung von personenbezogenen Daten eine Rechtsgrundlage. Facebook muss also angeben können, aus welchem Grund es die Daten sammelt und was es damit macht.
Das geleakte interne Dokument stellt nun infrage, ob Facebook überhaupt die Bestimmungen der DSGVO einhalten kann. Schließlich hat das Unternehmen nach eigenen Angaben kein „angemessenes Maß an Kontrolle und Erklärbarkeit“ darüber, wie ihre Systeme mit Daten arbeiten. Die Datenschutz-Expert:innen vermerken in dem Dokument:
Wir können keine kontrollierten Änderungen der Richtlinien oder externe Verpflichtungen wie „wir werden X Daten nicht für Y Zwecke verwende“‚ eingehen. Und doch ist es genau das, was die Regulierungsbehörden von uns erwarten.
Ein „offenes Geständnis“ von Facebook
Der Datenschutz-Experte und Programmierer Wolfie Christl bezeichnet das interne Dokument als „offenes Geständnis“ von Facebook. Das Unternehmen gestehe damit, dass sein gesamtes Geschäftsmodell fundamental gegen die DSGVO verstoße. Er sagte gegenüber netzpolitik.org:
Die Zweckbindung ist ein zentrales Prinzip in der DSGVO. Wenn ein Unternehmen nicht genau sagen kann, für welchen Zweck personenbezogene Daten am Ende genutzt werden, dürfen sie schlicht nicht verarbeitet werden.
Johnny Ryan vom Irish Council for Civil Liberties sieht in Facebooks Umgang mit Daten einen Verstoß gegen europäische Gesetze. Er sagt gegenüber Motherboard: „Alles, was mit unseren Daten passiert, ist illegal“.
Ein Sprecher von Facebook bestreitet hingegen, dass das Unternehmen Daten Datenschutzbestimmungen verletze. Trotz der Angaben in dem Dokument sei „unzutreffend, daraus zu schließen, dass es eine Nichteinhaltung darstelle“, so der Sprecher gegenüber VICE. „Dieses Dokument spiegelt die technischen Lösungen wider, die wir entwickeln, um unsere derzeitigen Maßnahmen zur Datenverwaltung zu erweitern und unsere Verpflichtungen zu erfüllen.“
In dem Dokument sind mehrere technische Möglichkeiten vermerkt. Eine kurzfristige Lösung soll das neue Produkt „Basic Ads“ darstellen, dessen europäischer Launch laut dem von Vice veröffentlichten Dokument im Januar 2022 geplant war. Facebook-Nutzer:innen sollen mit dem Produkt fast alle ihrer Drittanbieter- und Erstanbieter-Daten ablehnen können, so das Dokument. Allerdings hat der Launch bisher noch nicht stattgefunden.
Appell an die irische Datenschutzbehörde
Da Facebook seinen Europasitz in Dublin hat, ist die irische Datenschutzbehörde zuständig für alle grenzüberschreitenden Datenschutzbeschwerden gegen Facebook. Der stellvertretende Behördenchef Graham Doyle sagte gegenüber TechCrunch, dass die Behörde erst durch die Veröffentlichung durch Vice auf das Dokument aufmerksam geworden sei. Die irische Datenschutzbehörde steht schon länger in der Kritik, Facebook in seiner umstrittenen Datenpolitik gewähren zu lassen.
Lauit Datenschützer Christl sollte die irische Behörde schleunigst handeln. „Wenn Facebook nicht klarmachen kann, wie die erfassten Daten genutzt werden, muss ein Verarbeitungsverbot verhängt werden.“ Er verweist dabei auch auf die Verantwortung Europas. „Die EU muss hier Druck ausüben.“
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires