Motivation: Warum ich diesen Beitrag hier schreibe
Annette Schwindt hat gestern in Ihrem Blog eine Umfrage zu der Frage “Haben Sie Facebook mit Ihrem Adressbuch synchronisiert” veröffentlicht und in diesem Rahmen Datenschutzfragen im Zusammenhang mit der Verwendung von Daten von Nicht-Mitgliedern durch Facebook diskutiert. Da ich selbst schon negative Erfahrungen damit gemacht habe, hat mich dieser Artikel und eine anschließende Diskussion mit Annette bewogen, meine Erfahrungen einmal zusammenzufassen und meiner Meinung nach notwendige Konsequenzen aus diesen Vorgängen aufzuzeigen. Schließlich sind diese Fragen auch von hoher netzpolitischer Relevanz.
Was war passiert?
Zunächst ist wichtig zu wissen: Ich bin kein Mitglied bei Facebook. Der Grund, mich dort trotz aller Vorteile, die mir die Mitgliedschaft insbesondere geschäftlich sicherlich bringen würde, nicht anzumelden, liegt in erheblichen Datenschutzbedenken. Ich bin mit diversen Datenschutzregelungen von Facebook nicht einverstanden. Natürlich handelt es sich dabei um meine ureigene persönliche Entscheidung, und jeder kann das halten, wie er möchte. Auch muß jeder selbst entscheiden, wie er die Datenschutzbestimmungen von Facebook bewertet und welche persönlichen Daten er Facebook anvertraut. Das ist für mich eine Frage individueller Medienkompetenz, die ich an dieser Stelle nicht weiter diskutieren möchte und die auch nicht Thema dieses Beitrags sein soll.
Was aber meiner Ansicht nach gar nicht geht, ist, daß Facebook die Daten von Nicht-Mitgliedern speichert und verarbeitet. Genau das ist mir jedoch passiert, und ich möchte anhand dieses Vorgangs beispielhaft darlegen, was meiner Ansicht nach bei Facebook im Umgang mit den Daten Dritter dringend verbessert werden muß.
Am 11. 6. 2009 erhielt ich von einem Bekannten eine Einladung nach Facebook. Natürlich laste ich diese durch mich nicht autorisierte Verwendung meiner Mailadresse für die Einladung erst einmal jenem Bekannten an. Aber schon die Bereitstellung der Einladungsfunktion durch Facebook ist meiner Ansicht nach aus Sicht des Datenschutzes problematisch. Das einmalige Versenden einer solchen Einladung wäre zwar noch zu verschmerzen gewesen. Allerdings offenbarte sich an diesem Punkt schon ein datenschutzbezogenes Defizit, das Facebook meiner Ansicht nach dringend aus der Welt schaffen muß. Ich ignorierte die Einladung nämlich einfach und las sie auch nicht bis zum Ende, was sich später noch rächen sollte. Ich wollte mich stattdessen über diesen Vorgang bei Facebook beschweren. Dieser Versuch scheiterte jedoch daran, daß es einem Nicht-Mitglied quasi unmöglich ist, Facebook zu kontaktieren. Hier sehe ich erheblichen Verbesserungsbedarf, insbesondere weil Facebook seit Kurzem ja auch eine deutsche Niederlassung unterhält. In diesem Zusammenhang erwarte ich, daß Facebook zumindest zukünftig von deutschen Nicht-Mitgliedern bezüglich Datenschutzproblemen kontaktiert werden kann.
Leider war die Sache damit nicht aus der Welt. Am 31. 10. erhielt ich eine Erinnerung an die Einladung. Damit war für mich klar, daß Facebook meine Mailadresse ohne meine Zustimmung gespeichert hat, um mir diese Einladungserinnerung schicken zu können. Auf diese Tatsache wurde in der ursprünglichen Einladung mit keinem Wort aufmerksam gemacht, geschweige denn mein explizites Einverständnis eingeholt, wie es in meinen Augen nötig wäre. Das ist unter Datenschutzgesichtspunkten ein regelrechtes Unding. Aber in dieser Einladungs-Erinnerung ergab sich zudem ein neuer Aspekt, den ich aus Sicht des Datenschutzes für mindestens ebenso problematisch halte, wenn nicht sogar für deutlich problematischer. Denn offensichtlich speichert Facebook die Daten von Nicht-Mitgliedern nicht nur, sondern verknüpft sie auch noch mit Daten von Mitgliedern. Anders ist nicht zu erklären, daß mir als Nicht-Mitglied im Rahmen dieser Erinnerung von Facebook Mitglieder vorgeschlagen wurden, die ich kennen könnte. Nun funktionierte das bei dieser ersten Erinnerung zunächst überhaupt nicht. Ich kannte keinen einzigen der sechs Kontaktvorschläge. Am 18. 01. 2010 jedoch erhielt ich von Facebook eine erneute Erinnerung an die Einladung mit neuen Vorschlägen von Mitgliedern, die ich kennen könnte. Und dieses Mal handelte es sich um einen regelrechten Volltreffer. Von sechs Vorschlägen kannte ich vier persönlich und eine Person zumindest namentlich. Mit einer dieser Personen hatte ich bisher nur außerhalb des Internet zu tun. Allerdings kennt sie meine private Mailadresse, die auch für die Einladung verwendet wurde.
Die Tatsache, daß ich von den sechs zuletzt vorgeschlagenen Mitgliedern fünf kannte, läßt den Schluß zu, daß Facebook die für die Einladung verwendete Mailadresse mindestens mit von Mitgliedern synchronisierten Kontaktdaten abgeglichen hat. Diesen Vorgang halte ich für hochproblematisch. Denn darüber ist es Facebook möglich, komplexe Netzwerkanalysen nicht nur unter Einschluß der Daten von Mitgliedern, sondern auch unter Einbeziehung von an Facebook völlig unbeteiligten Nicht-Mitgliedern vorzunehmen. Zusätzliche Brisanz erhält dies dadurch, daß die Daten in den USA liegen und dadurch zwar dem Zugriff der betroffenen Nicht-Mitglieder entzogen sind, US-amerikanische Behörden aber durchaus Zugriff auf die Daten unbeteiligter Dritter haben könnten.
Zum Glück las ich die Mail diesmal bis zum Ende durch und fand so, was mir vorher entgangen war. Jede Einladung und jede Einladungserinnerung enthält ganz am Ende einen Link, über den man die Einladungen und Erinnerungen abbestellen kann (s. Screenshot). Das ist zumindest schon mal etwas Positives, aber natürlich noch lange nicht ausreichend. Zudem heißt das nicht, daß Facebook die für die Einladung verwendete Mailadresse und andere eventuell über ein Nicht-Mitglied gespeicherte Daten dann auch komplett aus seinem Datenbestand löscht. Wenn man das möchte, muß man ein sehr gut verstecktes Formular ausfüllen. Das tat ich dann auch und fügte eine Aufforderung hinzu, mir mitzuteilen, welche Daten Facebook über mich gespeichert hatte. Zudem verlangte ich eine Bestätigung, daß die personenbezogenen Daten gelöscht wurden. Auf diese Aufforderung erhielt ich bis heute leider keine Antwort. Angesichts der Tatsache, daß Facebook jetzt auch einen Sitz in Hamburg hat, sollte es solche aus dem Bundesdatenschutzgesetz abgeleiteten Auskunftsansprüche zukünftig unbedingt erfüllen.
Schlußfolgerungen: Was muß Facebook tun?
Aus den geschilderten Vorgängen lassen sich meiner Meinung nach drei Forderungen an Facebook formulieren, wie der Schutz der Daten unbeteiligter Nicht-Mitglieder zu verbessern ist:
1. Wer keine Einladungen nach Facebook erhalten möchte, soll auch keine erhalten. Mir ist bewußt, daß diese Forderung gleichbedeutend mit der Forderung nach Abschaffung der Einladungsfunktion ist. Und in der Tat halte ich das in Bezug auf Datenschutz für die sauberste Lösung. Wer Facebook beitreten möchte, wird dies auch ohne Einladung aus freien Stücken tun.
2. Facebook sollte somit auch keine E-Mailadressen von Nicht-Mitgliedern speichern und keine unerwünschten Mails an Nicht-Mitglieder versenden.
3. Die Synchronisierungsfunktion von Adreßbüchern mit Facebook muß meiner Ansicht nach nicht unbedingt abgeschaltet werden. Es spricht nichts dagegen, daß Mitglieder von Facebook ihre Adreßbücher auch innerhalb von Facebook nutzen. Jedoch dürfen die darin enthaltenen Daten Dritter für Facebook selbst nicht zugänglich sein, was sich leicht mittels Verschlüsselung realisieren läßt. Zudem darf Facebook Daten von Nicht-Mitgliedern auf keinen Fall mit den Daten von Mitgliedern verknüpfen und so Netzwerk-Analysen mit den Daten unbeteiligter Nicht-Mitglieder durchführen.
Zusammengefaßt läßt sich sagen: Die Speicherung und weitergehende Verarbeitung von Daten von Nicht-Mitgliedern ohne deren explizites Einverständnis muß Facebook dringend abstellen. Darüber hinaus muß es einen festen Ansprechpartner für Nicht-Mitglieder geben, der Anfragen und Beschwerden von Nicht-Mitgliedern in Bezug auf den Datenschutz entgegennimmt, sorgfältig prüft und bei Bedarf Maßnahmen ergreift. Wenn Facebook derartige Maßnahmen ergreifen würde, wäre das ein großer Schritt in die richtige Richtung. Bis dahin ist Facebook-Nutzern zu empfehlen, die Einladungs- und Synchronisierungsfunktionen nicht zu nutzen, wie es auch Annette Schwindt empfiehlt.
Bislang wurden 12 Kommentare hinterlassen. Du kannst hier einen Kommtenar schreiben.
Hier ist die TrackBack URL und der Kommentar-Feed des Artikels. Du kannst den Artikel auch auf Twitter oder Facebook posten.
Quak,
das erste Zusenden einer Einladung könnte man vermutlich auch in Deutschland nicht verbieten. Denn technisch entspricht das dem Zusenden eines Artikels z.B. aus dem Heise-Newsticker an einen Dritten. Der wesentliche Unterschied ist die Speicherung und Verarbeitung der Mailadresse: Für den reinen Versand der Mail muß die Adresse nur kurzfristig gespeichert werden, danach steht sie maximal noch im Logfile des zugehörigen Mailservers. Auch in diesem Fall wird der Empfänger nicht vorher gefragt, ob er den Artikel sehen möchte; Heise (und jeder andere Anbieter, der eine solche Funktion anbietet) darf sich offenbar darauf verlassen, daß der Absender in guter Absicht handelt.
Gruß, Frosch
Himmm,
zu 1. Facebook schickt hier nicht wahllos eine Einladung raus. Die Einladung sowie die dazu gehörige E-Mail Adresse muss vom Mitglied freigegeben oder eingetippt worden sein. Ergo, die Einladung ist von einen/em Bekannten oder ähnlichen von Dir über/ und im Auftrag von FB geschickt worden. D.h. hier kann FB nix dafür es bietet die Funktion und den Dienst an mehr nicht. FB hier den Vorwurf zumachen finde ich nicht sehr passend. Stell dir vor, jemand schickt dir eine Einladung von Outlook aus, ist hier Bill Gates der Böse wicht?
zu 2. siehe 1. sowie deine eigene Erfahrung. Es gibt die Funktion die Einladung abzumelden (abzulehnen). Wie wir wissen versteht alle Programme nur 1 oder 0 (Eins oder Null). Wie soll ein Programm ein nicht Annehmen bzw. Ablehnen einer Einladung verarbeiten. Außer dir erneut ein “Erinnerungsmail” zuschicken?
zu. 3 himmm, ich bin deiner Meinung, dass Personendaten nicht ohne weiteres anderen zugänglich gemacht werden soll. Doch FB steht für ein NETZwerk insofern soll man wissen das hier Daten und Informationen, Text, Inhalte Fotos, etc. verNETZ wird und nicht blauäugig in ein Netzwerk Portal gehen und dann sich wundern, dass seine Daten andere einsehen können.
gruß, BinhSinn
Binh, deine Einwände sind für mich nicht schlüssig.
Zu 1. Tatsache ist, daß meine Mailadresse ohne meine Zustimmung verwendet wurde. Das ist, wie ich ja auch schrieb, erst mal die Verantwortung des Einladenden, und jedem, der mir so eine Einladung schickt, ziehe ich auch die Ohren lang
. Aber in Deutschland ist die Zulässigkeit dieser Einladungsfunktionen generell umstritten. Das bedeutet, deine Schlußfolgerung “hier kann FB nix dafür” ist nicht ganz unproblematisch. Wie du ja sagst: Es bietet die Funktion an. Es gibt schon einige Urteile, die die Verantwortung für unerwünschte Einladungsmails beim Betreiber und Anbieter der Funktion gesehen haben, z. B. dieses Urteil. Ob das in diesem Fall auch zutrifft oder nicht, ist offen. Ich gehe wie Sabine erst mal davon aus, daß eine erste Einladung im Zweifelsfalle noch ok ist, aber damit hat es dann endgültig gut zu sein. Besser wäre es, gar keine Einladungsfunktion anzubieten.
zu 2. Das verstehe ich nun gar nicht. Wieso ist Facebook aus den technischen Gründen, die du nennst, gezwungen, meine Mailadresse zu speichern mir eine Erinnerungsmail zu schicken? Es könnte meine Mailadresse nach dem Verschicken der Einladung auch einfach wegwerfen und somit auf Erinnerungen verzichten. Daß es das nicht tut und die Adresse stattdessen ohne meine Zustimmung speichert und für Einladungserinnerungen sowie zur Verknüpfung mit anderen Daten verwendet, ist hochgradig problematisch. Ich muß dieser weitergehenden Speicherung meiner Mailadresse nicht widersprechen, auch nicht dadurch, daß ich die Einladungen abbestelle, weil die Speicherung und Verwendung ohne meine Zustimmung erfolgt ist. Ein Anbieter hat es einfach zu lassen.
zu 3. Offenbar hast du meinen Kritikpunkt und einen wesentlichen Aspekt gar nicht verstanden. Ich war nicht so blauäugig, in Facebook zu gehen und diesem Unternehmen meine Daten zu geben! Ich bin kein Mitglied von Facebook! Ergo hat Facebook meine Daten ohne mein Zustimmung weder zu speichern noch in irgendeiner Art und Weise zu verarbeiten oder gar mit anderen Daten zu vernetzen! Daß mir dann jemand vorwirft, ich sei blauäugig, daß das trotzdem passiert ist, weil ich meine Daten ja Facebook gegeben hätte, ist schon hochgradig absurd. Das habe ich nie getan! Das haben ja grade andere ohne meine Zustimmung getan!
Sabine, dein Einwand ist teilweise richtig. Trotzdem sind diese Einladungsfunktionen nicht ganz unumstritten. Siehe dazu meine Antwort an Binh Truong mit dem Link auf das Urteil des AG Berlin. Was in dem hier diskutierten Fall gilt, ist sicherlich letztendlich noch zu entscheiden. Meiner Meinung hinkt dein Vergleich mit Heise allerdings. Heise bietet keine Einladungsfunktion an, sondern eine Funktion, die es erlaubt, Artikel zu versenden, die für jemanden interessant sein könnten. Das ist eine grundsätzlich andere Funktion. Theoretisch könnte man auch einfach den Artikel nehmen, ihn kopieren und in eine Mail packen und versenden. Heise vereinfacht das mit dieser Funktion nur. Davon kann bei einer Einladungsfunktion keine Rede sein. Dahinter steckt eine ganz andere Intention, auch des Unternehmens, das die Einladungsfunktion anbietet.
Hallo Alex,
ich habe dich schon Richtig verstanden, FB hat deine E-Mail Adresse ohne Deine Zustimmung. Schickt dir nicht nur einmal eine Einladung sondern mehr als einmal…
“Blauäugig” ist nicht auf Dich bezogen.
Die Funktion die FB hier verwendet nennt sich Freundefinder. Da du nicht FB – Mitglied bist hier der Hinweis von FB für den Import von E-Mail Adressen zur Einladung etc. bevor ein FB-Mitglied seine Adressen FB zur Verfügung stellt bzw. auf “FreundeFinden” klick.
—————————————————
“Wir werden dein Passwort nach dem Import der Informationen deiner Freunde nicht speichern.
Wir können die E-Mail-Adressen, die du mithilfe des Importers hochgeladen hast, dazu benutzen, um dir bei der Vernetzung mit deinen Freunden zu helfen. Dies beinhaltet auch das Generieren von Freundschaftsvorschlägen für dich und deine Kontakte auf Facebook. Wenn du nicht möchtest, dass wir diese Informationen speichern, gehe bitte auf dieser Seite.”
—————————————
und hier der andere Text:
————————————–
Entfernung von Kontakten, die mithilfe des Freundefinders importiert wurden
Facebook verwendet die E-Mail-Adressen, die du mithilfe des Freundefinders hochlädst, um dir dabei zu helfen mit deinen Freunden in Verbindung zu treten. Zudem verwendet Facebook diese Informationen, um dir und deinen Kontakten auf Facebook Nutzer und Seiten vorzuschlagen. Bitte klicke auf „Entfernen“, wenn du diese Kontakte entfernen möchtest. Beachte, dass es etwas dauern kann bis dein Name vollständig aus dem „Vorschläge“-Abschnitt entfernt wurde.
—————————————
Nun wie auch immer, ob es Einladung, Empfehlung oder Lesenswert bezeichnet wird oder nicht. Internet Recht stellt für unsere heutige Gesellschaft ein großes Problem da und doch liegt die Verantwortung über Daten herausgeben oder nicht immer noch an uns bzw. an den, die Jenigen von uns die unsere Daten (E-Mail-Adressen) haben und Dritten zur Verfügung stellen.
Danke für die Zitate, Binh, die sind sehr aufschlußreich. Ich gebe dir teilweise recht, aber nur teilweise. Die Verantwortung für die Herausgabe der Daten liegt natürlich bei denjenigen, die unsere Daten haben. Aber: Die Verantwortung für die weitere Verarbeitung liegt auch beim Anbieter! Und diejenigen, die die Daten herausgegeben haben, sind für eine Nutzung der Daten über den Zweck hinaus, für den sie die Daten angegeben haben, nicht verantwortlich zu machen, wenn sie über diese weitergehende Verwendung der Daten nicht aufgeklärt wurden. Wenn Facebook-Nutzer beispielsweise nicht darüber aufgeklärt werden, daß Mailadressen, die sie für Einladungen verwenden, gespeichert und für Erinnerungen verwendet werden oder daß Facebook Mailadressen aus dem synchronisierten Adreßbuch für eigene Zwecke verwendet, dann endet an diesem Punkt die Verantwortung der Nutzer. Hier ist dann einzig und allein der Betreiber verantwortlich. Und ich finde den von dir zitierten Passus nicht eindeutig genug, um dem Nutzer vorwerfen zu können, er hätte von dieser Nutzung wissen können. “Dies beinhaltet auch das Generieren von Freundschaftsvorschlägen für dich und deine Kontakte auf Facebook.” heißt für mich zunächst, daß nur Facebook-Mitglieder Freundschaftsvorschläge bekommen, aber nicht Nicht-Mitglieder.
Herzlichen Dank, die Diskussion ist sehr informativ und der Link wird von mir an alle weitergeleitet, die meine Adresse bei FB bekanntgeben. Ich bin nicht, ich will nicht und ich werde nicht Mitglied bei FB.
“…Die Tatsache, daß ich von den sechs zuletzt vorgeschlagenen Mitgliedern fünf kannte, läßt den Schluß zu, daß Facebook die für die Einladung verwendete Mailadresse mindestens mit von Mitgliedern synchronisierten Kontaktdaten abgeglichen hat. …”
Mir ist nun soeben ähnliches wiederfahren, was ein höchst ungutes Gefühl hinterlässt. Das besonders unangenehme in meinem Fall ist, dass sich die Treffer beinahe unmöglich allein durch den Abgleich der der von Mitgliedern synchronisierten Kontaktdaten erklären lassen. In einem Fall wurde mir eine nur sehr entfernt bekannte Person vorgeschlagen. Zwischen dieser Person und mir stehen genau zwei gemeinsame Bekannte. Alle drei haben sehr seltene Namen, wodurch ich leicht feststellen konnte, dass Sie zumindest unter ihren originalen Namen nicht bei facebook registriert sind. Zwei überhaupt nicht + eine Person gleichen Namens mit abweichendem Profilbild. Ich könnte jetzt höchstens noch annehmen, dass einer der drei unter einem Pseudonym registriert ist + die Mailadressen synchronisiert hat, halte das aber für sehr unwahrscheinlich.
Jedenfalls sehr merkwürdig das ganze.
Hallo,
ich habe auch gerade zu meinem Entsetzen festgestellt, dass Facebook ohne meine Zustimmung und ohne mein Wissen Daten über mich gespeichert hat.
Ich bin zwar kein (Voll)Jurist, aber soweit ich das nachvollziehen kann, müsste Facebook denjenigen schon darüber informieren, wenn Daten wie Emailadressen gespeichert werden.
§ 33 Bundesdatenschutzgesetz
(1) Werden erstmals personenbezogene Daten für eigene Zwecke ohne Kenntnis des Betroffenen gespeichert, ist der Betroffene von der Speicherung, der Art der Daten, der Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung und der Identität der verantwortlichen Stelle zu benachrichtigen.
Also ich finde auch, dass diese Art des Umgangs mit Daten ein sehr ungutes Gefühl hinterlässt.
Hallo Andrea,
ich sehe das ähnlich wie du. Allerdings bin ich der Meinung, daß der Betroffene hier nicht nur informiert werden, sondern sogar zustimmen müßte – vorausgesetzt, deutsches Datenschutzrecht gilt. Und hier liegt der Hund begraben. Das wäre noch zu klären.
Naja,
immerhin bietet Facebook seine Dienste für deutsche Kunden an und man könnte schon meinen, dass die deutsche Niederlassung in Hamburg schon mal was vom Bundesdatenschutzgesetz gehört hat.
Zudem gibt es ja gegenwärtig ähnliche Diskussionen um google street view. Auch hier ist google mit deutschen Datenschutzrechten in Konflikt geraten.
Ich glaube das Problem bei Facebook ist tatsächlich eher die Tatsache, dass die Daten ja von Mitglieder durch die Synchronisierung ihrer Email-Adressbücher mit der Facebook-Seite, mehr oder weniger bewusst an Facebook weitergegeben wurden.
Facebook verweist quasi darauf, dass man sich doch bei dem denjenigen beschweren soll, der die Daten auf Facebook hochgeladen hat. Grenzwertig ist allerdings, dass die Daten offensichtlich gezielt verwertet werden.
Hat mal jemand überlegt deswegen gerichtlich gegen Facebook vorzugehen? Hätte so was Aussicht auf Erfolg?
Dein Vergleich mit Google trifft nicht ganz zu, weil Google Deutschland eben eine deutsche GmbH mit Sitz in Deutschland ist. Facebook war bisher ein rein amerikanisches Unternehmen. Aber mit der Niederlassung in Hamburg könnte sich daran was ändern. Der hamburgische und der Bundesdatenschutzbeauftragte sind aufgrund dessen m. W. schon an Facebook dran.