Die Facebook-Protokolle

Erstveröffentlicht: 
30.09.2011

Datensicherheit

 

Studenten erzwingen erstmals Herausgabe gespeicherter Daten. Nun ermittelt die irische Behörde. Bundesdatenschützer Peter Schaar begrüßt die Studenten-Initiative

 

Berlin –  Er ist der Alptraum der Facebook-Manager: Max Schrems, 21 Jahre alt, Jurastudent in Wien. Schrems wollte wissen, ob Facebook sich an die europäischen Datenschutzregeln halten muss. Oft hatten europäische Datenschützer beklagt, dass es gegen den US-Konzern in Europa keine Handhabe gebe. Schrems studierte Nutzungsbedingungen, Gesetzestexte und machte eine folgenschwere Entdeckung.

Vermutlich aus Steuergründen hat Facebook eine irische Tochtergesellschaft, die „Facebook Ireland Limited“ in Dublin. Alle Facebook-Nutzer außerhalb der USA und Kanada haben ausschließlich mit Facebook Ireland einen Vertrag. Damit können rund 70 Prozent der weltweit 710 Millionen Facebook-Nutzer nach europäischem Recht gegen Facebook vorgehen und sich eine Kopie der Daten übermitteln lassen, welche über sie gespeichert sind.

Dieses Recht haben Max Schrems und drei weitere Stundeten aus Wien in Anspruch genommen. Sie erhielten von Facebook CD-Roms mit ihren Daten zugeschickt und fanden Erstaunliches. Die schiere Menge der gesammelten Daten überstieg ihre Befürchtungen – die Datenprotokolle umfassten ausgedruckt mehr als tausend A4-Seiten pro Person. Dabei stellten sie fest, dass Facebook nicht einmal alles herausgerückt hatte. Daten über die „Gefällt mir“-Funktion und über die Gesichtserkennung etwa fehlten.

Die Studenten konnten aber erstmals detailliert die Profile lesen, die Facebook über seine Nutzer anfertigt. Sie fanden 57 Kategorien, nach denen Facebook die Daten speichert: Vom Geburtsdatum über Beziehungsverhalten bis zu religiösen und politischen Überzeugungen ist alles dabei.

Schrems und seine Kommilitonen entdeckten sogar reihenweise Datensätze, die sie in ihren Facebook-Accounts gelöscht hatten. „Removed Friends“, heißt etwa eine Datenkategorie, in der Facebook die Namen der Personen aufbewahrt, die der Nutzer vermeintlich gelöscht hat. „Löschen“ bedeutet in diesem Zusammenhang nur, dass Facebook laut den Protokollen zeitlich unbegrenzt und umfassend speichert, was wann von wem gelöscht wird.

So finden sich vermeintlich gelöschte Chat-Protokolle, E-Mails, Postings, Freundschaftsanfragen und Namen in geheimen Protokollen. Für Facebook bleibt der vermeintlich gelöschte Inhalt immer bestehen. „Das ist rechtswidrig“, sagt Schrems: User dürften laut Datenschutzgesetzen nicht getäuscht werden. Wenn die Benutzeroberfläche von Facebook bei Löschvorgängen dreimal nachfrage, ob man wirklich alles löschen wolle, dürfe am Ende nicht alles gespeichert bleiben.

Datenfalle Steueroase

Schrems hat unter Facebook-Nutzern eine Bewegung ausgelöst, massenhaft verlangen sie jetzt ihre Daten. Doch es wird noch unangenehmer für den Konzern: Mit seinen Bekannten hat der Student kürzlich 22 gut begründete Anzeigen gegen Facebook wegen Verstoßes gegen Datenschutzgesetze eingereicht – natürlich bei der zuständigen irischen Datenschutzbehörde. Und diese drohte Facebook prompt eine Betriebsprüfung an.

 


 

Wie kann ich an meine Daten kommen?

 

Um Facebook zur Herausgabe der gespeicherten Daten zu zwingen brauchen Sie einen Scan ihres Ausweises und etwas Zeit:
1. Wer seine Daten anfordern will, muss zunächst auf folgenden Link klicken: https://www.facebook.com/help/contact.php?show_form=data_requests
Es erscheint der „Antrag auf Herausgabe persönlicher Daten“,eine Eingabemaske, in die man Name, Geburtsdaten, Adresse, Telefonnummer und die Facebook-Webadresse des eigenen Profils eingibt (URL).
2. Bei der Frage „Zitiere das Gesetz,wonach Du Daten beanspruchst“, muss man Folgendes eingeben: „Section 4 DPA oder Art. 12 Directive 95/46/EG“
3. Anschließend muss man einen Scan seines Personalausweises hochladen und per Mausclick einer eidesstattlichen Erklärung zustimmen, dass die gemachten Angaben wahr sind.
4. Wenige Tage später schickt Facebook eine E-Mail, die den Eingang des Antrags bestätigt. Falls nicht, muss man die Schritte 1-3 wiederholen. Falls Facebook behauptet, man könne seine Daten selbst abrufen (gemeint ist eine eingeschränkte „Archiv“-Funktion) , muss man auf der Zustellung per Post bestehen. Einige Wochen später sollte per Post eine CD-ROM aus den USA eintreffen, auf der sich eine PDF -Datei befindet, die (fast) alle Daten enthält, die über den Antragsteller gespeichert sind.
5. Wer Hinweise auf Datenschutzverstöße findet, kann sich bei der irischen Datenschutzbehörde beschweren: Office of the Data Protection Commissioner. Canal House, Station Road, Portarlington, Co. Laois, Ireland. E-Mail: info@dataprotection.ie. Telefon: 00353 57 868 48 00.