Facebook steht seit Jahren unter strenger Beobachtung der deutschen Datenschutzaufsichtsbehörden. Die verschiedenen Funktionalitäten (Social-PlugIn, Fanpage), die Facebook seinen Nutzern bietet, stehen in der Kritik, Daten von Mitgliedern des sozialen Netzwerkes zu erheben und zu speichern. Aber auch Internetnutzer, die nicht der Facebook-Gemeinde angehören, sollen von der “Sammelleidenschaft” betroffen sein.

Neueste Funktionalität ist die Gesichtserkennung. Diese soll zukünftig helfen, Freunde und Bekannte auf Fotos, die auf Facebook veröffentlicht wurden, zu finden und zu markieren. Hat ein Nutzer ein Gesicht markiert, werden alle Bilder auf ähnliche Gesichter überprüft. Dem Nutzer werden dann Treffer angezeigt und dieser kann anschließend definieren, ob es sich um die gleiche Person handelt. Durch diese Feineinstellung “lernt” die Suchmaske hinzu. Je mehr Übereinstimmungen festgestellt werden, desto effektiver und genauer wird die Erkennung neuer Bilder.

Diese Funktionalität stieß auf erhebliche Kritik. Insbesondere wird ein erhebliches Missbrauchspotential durch die so entstehende “Datenbank mit dem Gesichtsabdruck” von ca. 800 Millionen aktiver Facebook-Nutzer gesehen.

Am 21.9.2012 hat der Hamburgische Beauftrage für Datenschutz und Informationsfreiheit gegenüber Facebook eine Verwaltungsanordnung erlassen, die das Unternehmen verpflichtet, das Verfahren der Gesichtserkennung datenschutzkonform zu gestalten. Gefordert wird insbesondere, dass

  • nur mit einer aktiven Zustimmung bereits registrierter Nutzer biometrische Profile erzeugt und dauerhaft gespeichert werden und
  • die Nutzer vorher umfassend über die Risiken des Verfahrens informiert werden.

Anfang dieser Woche reagierte Facebook auf die nicht enden wollende Kritik mit der Abschaltung der Gesichtserkennungsfunktion in Europa. Bis zum 15. Oktober werden alle bisher hierfür angelegten Profile gelöscht.

Ende letzter Woche veröffentlichte die irische Datenschutzbehörde ihren Bericht über die datenschutzrechtliche Auditierung des sozialen Netzwerkes. Die irische Behörde ist zuständig, weil Facebook in Dublin seinen Europasitz hat. In dem Bericht wurden insbesondere folgende Ergebnisse festgehalten:

  • Durch die Facebook Social Plugins werden keine Daten für die Profilerstellung gesammelt. Zudem werden die erfassten Daten nur für eine sehr kurze Zeit gespeichert und nur für sehr begrenzte Zwecke genutzt.
  • Apps können nicht auf personenbezogene Daten zugreifen, wenn der Nutzer keine entsprechende Einwilligung erteilt hat.
  • Die bisher getroffenen Maßnahmen sind angemessen, um eine großflächige Datenerfassung zu verhindern.

Im Ergebnis war die Aufsichtsbehörde mit dem Ergebnis der Prüfung zufrieden, sieht aber gleichwohl Verbesserungsbedarf bei der Aufklärung des Nutzers bezüglich des Umgangs mit deren Daten.

Kritik an dem Auditbericht kam postwendend aus Deutschland vom Unabhängigen Landeszentrum für Datenschutz Schleswig-Holstein (ULD):

“Nach erster Lektüre des Berichts kann das ULD nur schwer verstehen, weshalb die irischen Kollegen den Eindruck haben, dass die meisten der Empfehlungen “vollständig zur vollen Zufriedenheit umgesetzt wurden”. Wesentliche Aspekte der bisherigen Kritik des ULD wurden nicht angesprochen oder nicht nachvollziehbar widerlegt. Selbst der irische Datenschutzbeauftragte konzediert, dass die erst während des Audits eingeführte Chatüberwachung gegen das Telekommunikationsgeheimnis verstößt und dass die gesetzliche Forderung nach einer pseudonymen Nutzungsmöglichkeit weiterhin verweigert wird.”

Stellungnahme:

Dass Facebook künftig auf den Einsatz der Gesichtserkennungssoftware verzichtet, ist zu begrüßen, erlaubt sie es doch, binnen kurzer Zeit Bilder einer Person aus deren überwiegend privatem Umfeld ausfindig zu machen. Mag dies im Privatleben unter Umständen eine sinnvolle Ergänzung der bisherigen Vernetzungsmöglichkeiten sein, bestehen beispielsweise für den beruflichen Bereich erhebliche Bedenken. So könnte der Personalverantwortliche eines Unternehmens mit den Fotos aus den Bewerbungsunterlagen nach verfänglichen Bildern suchen und diese (zusätzlich) zur Grundlage seiner Einstellungsentscheidung machen.

Der Auditbericht und die Reaktion des ULD führen bei den Nutzern des sozialen Netzwerkes nicht zu Rechtssicherheit. Ob und welche Daten der Nutzer zu welchen Zwecken verarbeitet werden, ist weiterhin nicht belastbar geklärt. Aus diesem Grund sollte mit der Preisgabe persönlicher Daten sehr sparsam umgegangen werden. Zudem sollten regelmäßig die Einstellungen zur Privatsphäre überprüft und gegebenenfalls angepasst werden.