Facebook und Datenschutz – Was ist zu beachten?

Fachbeitrag

Facebook hat sich bei Unternehmen als wichtiges Medium für Marketingzwecke etabliert. Um Anzeigen optimal zu platzieren, nutzt Facebook die Daten seiner Mitglieder. Die Datensammlungen der Plattform sind umfangreich. Nur wenige Nutzer sind sich darüber bewusst, wie viel Facebook tatsächlich über sie weiß. Datenschützer sind nicht nur wegen der Größe der Datensammlungen besorgt, sondern kritisieren auch die regelmäßigen Datenpannen des sozialen Netzwerks. Wir haben uns Facebooks Datenverarbeitung mal genauer angeschaut.

Facebook: Personalisierte Werbung als Geschäftsmodell

Facebook ist nicht nur ein soziales Netzwerk, sondern gleichzeitig eine Plattform für personalisierte Werbung. Die Daten seiner 2,9 Milliarden Mitglieder nutzt der Konzern, um die Anzeigenschaltung zu optimieren. Nur Personen, die als Zielgruppe für das jeweilige Unternehmen interessant sind, sollen die Werbung zu sehen bekommen. Das Werbegeschäft ist Facebooks Haupteinnahmequelle. 2020 erwirtschaftete die Plattform über die Anzeigen rund 84 Milliarden US-Dollar.

Die Zielgruppen kann Facebook erstaunlich genau ermitteln, da dem Unternehmen eine Vielzahl von Informationen über seine Nutzer zur Verfügung stehen. Die Informationen gehen weit über das Alter und die Adresse der Nutzer hinaus. Beispielsweise wird in die Zielgruppenanalyse miteinbezogen, ob demnächst ein Geburtstag im Freundeskreis des Nutzers ansteht oder wo sich die Person gerne in ihrer Freizeit aufhält. Insgesamt sind derzeit 1300 solcher Merkmale bekannt.

Mark Zuckerberg betont, dass Facebook mit seinem Geschäftsmodell nur gute Absichten verfolgt:

„Wir hören von Menschen immer wieder, dass sie sich Anzeigen wünschen, die für sie relevant sind. Folglich müssen wir verstehen, woran sie interessiert sind. Abhängig davon, welchen Seiten Menschen folgen und worauf sie klicken, erstellen wir Kategorien, beispielsweise Menschen in Spanien, die Seiten über Gartenarbeit mögen. Basierend darauf bieten wir Werbetreibenden den Service, Anzeigen für diese Zielgruppe kostenpflichtig zu schalten.“

Welche Daten sammelt Facebook über seine Nutzer?

Die erfolgreiche Anzeigenplatzierung macht deutlich, dass dem Konzern eine breite Datenmenge zur Verfügung steht. Doch wie kommt das Unternehmen an die Masse an personenbezogenen Daten?

Viele Daten werden durch Interaktionen auf der Plattform selbst erhoben. Im Rahmen der Registrierung müssen Nutzer Angaben zu ihrer E-Mail-Adresse oder ihrem Geschlecht machen. Darüber hinaus geben Mitglieder bei der Erstellung ihres Facebook-Profils jedoch freiwillig viele weitere Angaben an. Zum Beispiel welchen Schulabschluss sie haben oder welcher Religion sie angehören. Indirekt tragen User zu vielen weiteren Daten bei, indem sie „Gefällt mir“-Angaben machen oder bei Veranstaltungsseiten auf „Teilnahme“ klicken.

Selbst aus Fotos und Videos, die Mitglieder posten, kann Facebook Daten über den Standort, den Aufnahmezeitpunkt und das verwendete Gerät erheben. Zudem erfasst Facebook das Bewegungsprofil von Personen, die über ihr Smartphone dauerhaft eingeloggt sind.

Facebook hat jedoch auch einen Weg gefunden das Nutzerverhalten außerhalb des sozialen Netzwerks zu überwachen. Facebook bietet Tools und Bausteine für die Entwicklung von Apps und Webseiten an. Zu den Tools gehört beispielsweise der „Gefällt mir“ Button. Wenn Nutzer den Button auf einer Webseite verwenden, kann Facebook die Information mit dem Facebookprofil des Nutzers verknüpfen.

Wenn Apps und Webseiten das Software Development Kit von Facebook verwenden, kann Facebook unbemerkt weitere Nutzerdaten sammeln. Facebook erfährt so zum Beispiel, welche Artikel die Person ansieht und über die Website kauft.

DSGVO-Auskunftsanspruch: Volle Transparenz von Facebook?

Für die meisten Facebook-Nutzer ist völlig unklar, welche Daten Facebook von ihnen verarbeitet. Nach Art. 15 DSGVO können Betroffene jedoch von Unternehmen Auskünfte über die von ihnen verarbeiteten personenbezogenen Daten verlangen. Facebook-User können eine entsprechende Auskunft über die verarbeiteten Daten herunterladen.

Die Auskunftserteilung durch Facebook steht jedoch schon seit Langem in der Kritik, denn Facebook entscheidet selbst, welche Informationen für die Nutzer relevant sind. Der österreichische Datenschutzaktivist Max Schrems war so unzufrieden mit seiner Datenauskunft, dass er Facebook auf Schadensersatz verklagte. Er war der Meinung, dass die von ihm angeforderte Auskunft über seine verarbeitenden Daten unvollständig und nicht transparent war. Unter anderem seien gelöschte Daten in der Übersicht aufgetaucht.

Der österreichische Oberste Gerichtshof stimmte Schrems zu und sprach ihm in einem Teilurteil bereits einen symbolischen Schadensersatz in Höhe von 500 Euro zu. Facebook habe Schrems keinen vollständigen Zugang zu seinen verarbeiteten Daten gewährt. Weitere offene Punkte soll nun der Europäische Gerichtshof klären.

Kann ich die Datensammlung von Facebook unterbinden oder einschränken?

Nutzer können in den Privatsphäre-Einstellungen einige wenige Anpassungen vornehmen, um die Datenverarbeitung durch Facebook zu begrenzen. Wer die Datensammelei noch weiter einschränken möchte, kann auf Drittanbieter zurückgreifen. Die Anbieter blockieren Werbeanzeigen und können zum Teil Phishing und Tracking verhindern.

Mythos oder Wahrheit: Hört Facebook meine Gespräche ab?

Wer sich mit einem Freund über ein neues Produkt unterhält, wird oft mit der passenden Anzeige konfrontiert, obwohl keine Internetsuche stattgefunden hat. Kein Wunder, dass sich besorgte Nutzer fragen, ob Facebook sie abhören kann. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit betonte bereits 2018, dass Nutzer sich vermehrt über potenzielle Abhörvorgänge beschweren. Da sich der Konzernsitz in Hamburg befindet, ist die Hamburger Aufsichtsbehörde für Beschwerden über Facebook zuständig.

Facebook äußerte sich zu den Gerüchten wie folgt:

„Facebook hört oder liest nicht mit. Die Facebook-App greift nur dann auf das Mikrofon zu, wenn ein Nutzer dies der App vorher ausdrücklich erlaubt hat und gleichzeitig eine bestimmte Funktion aktiv nutzt, welche Audiosignale erfordert, wie beispielsweise die Aufnahme eines Videos oder einer Sprachnachricht. Grundsätzlich nutzt keine App der Facebook-Familie das Handy-Mikrofon, um Werbung oder Beiträge im News Feed in irgendeiner Weise zu beeinflussen.“

Trotz umfangreicher Untersuchungen wurde bisher keine versteckte Abhörfunktion bei Facebook gefunden. Das soziale Netzwerk muss seine Mitglieder auch gar nicht abhören, denn die vorhandenen Daten reichen meistens aus, um Werbeanzeige genau im richtigen Moment der passenden Zielgruppe anzubieten.

Rechtsgrundlage für Facebooks Datenverarbeitung: Vertrag oder Einwilligung?

Obwohl Facebook täglich unzählige Nutzerdaten verarbeitet, muss der EuGH noch klären, ob die Datenverarbeitung durch Facebook überhaupt rechtmäßig erfolgt. Art. 6 Abs. 1 DSGVO benennt die möglichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Eine Datenverarbeitung kann unter anderem rechtmäßig sein, wenn sie für die Vertragserfüllung erforderlich ist oder eine Einwilligung des Betroffenen vorliegt.

Bis zum Inkrafttreten der DSGVO am 25. Mai 2018 stützte Facebook die Datenverarbeitung auf eine Einwilligung der Nutzer. Mit dem Inkrafttreten der DSGVO erhöhten sich jedoch die Anforderungen an eine wirksame Einwilligung. Seitdem begründet Facebook die Verarbeitung mit der Vertragserfüllung. Die Plattform argumentiert, dass über die AGBs ein Vertrag zwischen Facebook und den Nutzern geschlossen wurde. In dem Vertrag sei die Datenverarbeitung zur Ermöglichung der personalisierten Werbung vereinbart worden. Der oberste Gerichtshof in Österreich bezweifelt, dass eine unzureichende Einwilligung, in einen Vertrag umgedeutet werden kann.

Die Antwort des EuGHs steht noch aus. Allerdings hat sich die für Facebook in Europa zuständige irische Data Protection Commission (DPC) bereits zu den Vorwürfen geäußert. Die Behörde ist der Meinung, dass ein Vertragsschluss über den Umgang mit Nutzerdaten zulässig sein kann. Wichtig sei, dass die Nutzer sich darüber im Klaren sind, dass sie eine rechtliche Vereinbarung eingehen. Die Art und Weise wie Facebook die Rechtsgrundlage für die Datenverarbeitung der Nutzerdaten geändert habe, sei jedoch nicht auf eine transparente Weise erfolgt. Die DPC kündigte an, dass Facebook aus diesem Grund mit einem Bußgeld zwischen 28 und 36 Millionen Euro rechnen müsse. Für Facebook wird das Bußgeld zu verschmerzen sein – die erwartete Strafe macht lediglich 0,048 Prozent des weltweiten Jahresumsatzes aus.

Immer wieder Datenlecks und Datenpannen bei Facebook:

Es vergeht kaum ein Quartal, ohne dass bei Facebook Datenpannen und -leaks auftreten. Besorgniserregend ist, wie viele Nutzer Daten betroffen sind.

Zum Beispiel wurde 2018 bekannt, dass Daten von bis zu 87 Millionen Facebook Nutzern mit der Firma Cambridge Analytics geteilt wurden. 2019 wurden 540 Millionen Datensätze von Facebook Nutzern ungeschützt auf einem Amazon-Server entdeckt. 2021 tauchten detaillierte Datensätze von über 500 Millionen Facebook Nutzern in einem Forum für Cyberkriminelle auf. Die irische Datenschutzbehörde DPC kündigte daraufhin Untersuchungen an. Bisher scheinen die Maßnahmen von Facebook nicht zu genügen, um die Pannenserie zu stoppen und ein angemessenes Datenschutzniveau zu gewährleisten.

Laufende Verfahren der Datenschutzaufsichtsbehörde gegen Facebook

Facebooks Datenverarbeitung beschäftigt auch die Aufsichtsbehörden und die Gerichte.

Die DPC hat zahlreiche Untersuchungen bei Facebook angekündigt. Die Aufsichtsbehörde will unter anderem untersuchen, warum es seit 2018 zu unzähligen Datenpannen bei Facebook gekommen ist. Vermutet wird, dass Facebook keine ausreichenden technischen und organisatorischen Maßnahmen ergreift, um die Daten der Nutzer angemessen zu schützen.

Mit Spannung wird zudem das Urteil des EuGHs zu der Klage von Max Schrems erwartet. Das Gericht wird entscheiden, ob Facebook gegen den Grundsatz der Datenminimierung aus Art. 5 DSGVO verstößt. Konkret geht es um Daten, die Facebook durch die Platzierung von „Gefällt-mir“ Buttons auf externen Webseiten erlangt.

Der EuGH wird sich auch dazu äußern, ob Facebook besonders sensible Daten überhaupt verarbeiten darf. In der Praxis geht es zum Beispiel um Informationen zur sexuellen Orientierung oder politischen Überzeugung eines Mitglieds. Max Schrems geht davon aus, dass Millionen Nutzern Schadensersatzansprüche gegen Facebook zustehen könnten. Für das soziale Netzwerk steht also viel auf dem Spiel.

Auch das aktuelle Urteil des High Courts sollte Facebook Sorgen bereiten. Facebook wollte Untersuchungen der irischen Aufsichtsbehörde zu den EU-US-Datentransfers durch ein Gerichtsurteil blockieren. Der High Court wies nun die Forderungen des Unternehmens zurück. Schrems hält das Urteil für wegweisend:

„Facebook hat auf allen Ebenen verloren. Nach acht Jahren ist die DPC nun verpflichtet, Facebooks EU-US-Datentransfers zu stoppen, wahrscheinlich noch vor dem Sommer.“

Facebook: kein überzeugendes Datenschutzniveau in Sicht

Es ist bekannt das Facebook Daten über seine Nutzer speichert. Sich über das tatsächliche Ausmaß von Facebooks Datenverarbeitung ein Bild zu machen, ist dem User quasi unmöglich. Datenschützer kritisieren die mangelnde Transparenz der Datenverarbeitung. Zudem reicht das Datenschutzniveau bisher nicht aus, um Datenpannen zu verhindern. Von Marc Zuckerbergs Ankündigung den Schutz der Privatsphäre zum Fundament des sozialen Netzwerks zu machen, merkt man in der Praxis bisher wenig.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

3 Kommentare zu diesem Beitrag

  1. Schmunzel … Datensätze von 500 Milliarden Facebook-Nutzern in einem Hacker-Forum? ;-)
    Grundsätzlich mal Danke für eure täglichen Updates!

  2. Vielen Dank für Ihre grossartige Arbeit. Facebook hat viel in den AGB’s versteckt, Übersichtlichkeit sieht anders aus. Zudem trägt auch Google zu dem dieses und weitere SM-Portale gehören extrem dazu bei sich an Daten der User zu bedienen. Datenschutz ist ein Witz. Man behauptet, Jeder hätte sich mit dem echten Namen anzumelden, ein riesiger Scherz, wie Alle sofort sehen können.Ich habe hunderte User blockiert, trotzdem tauchen sie immer wieder auf. Oft unter gleichem Namen oder einfach Fantasienamen, bei denen es nicht zu übersehen ist. Wer sich beschwert, wird selbst ganz oder teilweise (zeitlich) für die Nutzung blockiert. Widerspruch wird als Vertragsbruch eingestuft. Die moralischen Ansätze, die von diesen Unternehmen eingefordert werden gelten nicht für die Unternehmen selbst. Obwohl von mir nicht einmal ansatzweise genutzt wird man z.B. mit Nachrichten etc. pornografischen Inhaltes überflutet (egal ob Mann oder Frau) dabei spielt es keine Rolle ob minderjährige dargestellt werden oder sich prostituieren. Das Theme ist eines wo in den USA Milliarden verdient werden auch und gerade mit den Sozialen Medien. An europäischen Gesetzen stört man sich nicht, die Einnahmen rechtfertigen jede gerichtliche Auseinandersetzung, da die zu erwartenden Strafen lächerlich sind. …..Trotzdem oder gerade darum herzlichen Dank für Ihre Arbeit. Viele Grüße Christian-Albrecht

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.