Facebook hat Ende Januar ein neues Datenschutztool global auf dem Markt gebracht, welches den Nutzern mehr Konfigurationsoptionen zur Verfügung stellen soll. Transparent versucht Facebook mit dem Tool Nutzer darüber zu informieren, in welchem Umfang Daten außerhalb der Plattform von Facebook gesammelt werden. Fraglich ist jedoch, ob diese Information wirklich transparent ist und inwiefern der Nutzer tatsächlich eine Kontrolle erhält.

Was sind „Aktivitäten außerhalb von Facebook“?

Das neue Tool umfasst etwas holprig auf Deutsch „Aktivitäten außerhalb von Facebook“.

Facebook definiert Aktivitäten als

  • „Informationen zu deinen Interaktionen mit Unternehmen und Organisationen, die letztere mit uns teilen.“
  • „Als Interaktion gilt zum Beispiel, wenn du eine App öffnest oder eine Webseite besuchst.“

Aktivitäten sind somit sämtliches Verhalten auf verschiedenen Webseiten außerhalb von Facebook. Dies umfasst z.B. das Surfverhalten, Einkäufe in Webshops oder Interaktionen mit Webseiten, die hoffentlich datenschutzkonform den Facebook Pixel, Facebook Custom Audience oder weitere Facebook-Technologien  einbinden (siehe https://www.datenschutz-notizen.de/spielregeln-fuer-das-webtracking-das-ende-einer-odyssee-in-drei-akten-0722468/).

Ein Ausloggen aus Ihrem Facebook Account hindert Facebook nicht daran, Sie zu identifizieren. Auf Basis eines sog. Device Fingerprintings basierend auf Elementen, die sich aus Ihrer App-Konfiguration sowie Einstellungen Ihres Gerätes ergeben, kann Facebook Sie identifizieren.

Transparente Informationen?

Sofern ein Nutzer über einen Facebook Account verfügt, kann unter den Einstellungen das Datenschutztool aufgerufen werden. Die Information umfasst lediglich den Zeitpunkt des Transfers und den „Sender“ bzw. Verantwortlichen, welcher die Daten an Facebook übermittelt. Als Verantwortlicher ist Facebook bei Dritterhebung gem. Art. 14 DSGVO verpflichtet, bestimmte Informationen den betroffenen Personen bereitzustellen. Die DSGVO determiniert bestimmte Zeitpunkte, wann die Informationen der betroffenen Personen bereitgestellt werden sollten. Dies müsste entweder

  • spätestens innerhalb eines Monats nach Erlangung der Daten (Art. 14 Abs. 3 lit. a DSGVO);
  • spätestens zum Zeitpunkt der ersten Mitteilung sofern diese zur Kommunikation genutzt werden (Art. 14 Abs. 3 lit. b DSGVO); bzw.
  • spätestens zum Zeitpunkt der ersten Offenlegung an weitere Empfänger (Art. 14 Abs. 3 lit. c DSGVO)

erfolgen.

Dies gilt nicht, sofern die betroffene Person bereits über die Information verfügt (Art. 14 Abs. 5 lit.a DSGVO). Der Ausnahmetatbestand greift im vorliegenden Sachverhalt nicht, da die betroffenen Personen ggf. über die Verantwortlichen darüber informiert wurden. Jedoch ist davon auszugehen, dass nicht sämtliche Verantwortlichen dieser Verpflichtung im Rahmen der Webseitendatenschutzerklärungen nachkommen. Somit dürfte sich Facebook zwar ggf. vertraglich auf die bereits erfolgten Informationen verlassen können, jedoch dürfte dies praxisfern sein. Eine vollständige Information bzgl. der Verarbeitungstätigkeiten und Empfänger erfolgt – leider immer noch nicht – konsistent über sämtliche Webseitenbetreiber. Im Ergebnis erfolgt die Information über die „Datenquellen“ seitens Facebook zu spät.

Von einer detaillierten Prüfung der Anforderungen gem. Art. 14 DSGVO wird vorliegend abgesehen. Das Tool informiert zwar über verschiedenen Verantwortlichen, welche Daten an Facebook übermitteln. Der Nutzer erfährt jedoch nicht, auf welcher Rechtsgrundlage oder über welche Technologie die Daten an Facebook übermittelt werden. Weiterhin ist fraglich, ob das sehr komplexe Konstrukt der Datenschutzinformationen von Facebook eine ausreichende Information insbesondere in Hinblick auf die Verständlichkeit und den leichten Zugang gem. Art. 12 Abs. 1 S. 1 DSGVO genügt.

Konfigurationen der Aktivitäten außerhalb von Facebook

Nutzer können künftige und vergangene Aktivitäten außerhalb von Facebook deaktivieren. Zwar könnte dies ggf. als ein Widerruf bei einwilligungsbasierten Verarbeitungstätigkeiten gem. Art. 6 Abs. 1 lit. a DSGVO bzw. als Widerspruch bei einer Verarbeitung auf Basis des berechtigten Interesses gem. Art. 6 Abs. 1 lit. f DSGVO gewertet werden. Jedoch werden der Datentransfer und die Verarbeitung seitens Facebook nicht unterbunden.

Eine Konfiguration ermöglicht ausschließlich, dass die Verknüpfung zwischen dem Facebook Profil und den von den Dritten erhobenen Daten nicht erfolgt. Somit können die Betroffenen an dieser Stelle keinen wirksamen Widerruf oder Widerspruch gegen die Verarbeitung einlegen.

Der Verlauf der Datentransfers kann zusätzlich im Tool gelöscht werden.

Facebook argumentiert, dass dies keine „Löschung“ im Sinne des Art. 17 DSGVO darstellt, sondern eine Einstellungsmöglichkeit der Konfiguration sei. Es werde lediglich der Inhalt zwischen dem Profil und den erhaltenen Daten entkoppelt. Facebook wird vermutlich weiterhin die Daten der Dritten in pseudonymisierter Weise verarbeiten. Der vollständige Personenbezug wird nicht entfernt und die Daten weiterhin seitens Facebook verarbeitet.

Mehr Datenschutz? – Mehr Schein als Sein

Die Konfigurationsmöglichkeiten stellen eine Maßnahme der Transparenz in der Wahrnehmung der Nutzer dar. Kurzum ein nettes Gadget zur Vermarktung der Plattform im Sinne der andauernden Transparenzkriterien.

Datenschutzrechtlich erfüllt Facebook jedoch weder die Informationspflichten gem. Art. 14 DSGVO noch können Betroffenenrechte wirksam umgesetzt werden. Das neue Tool stellt vielmehr eine Maßnahme dar, um eine Pseudonymisierung der Daten in Facebook zu gewährleisten. Das Profil und die Daten können somit einen direkten Personenbezug umgehen, jedoch bedeutet dies, dass weiterhin sämtliche Daten von Facebook verarbeitet werden.  Fraglich ist zudem, wie hoch der Mehrwert einer Entkopplung des Profils ist, wenn von bestimmten Personen ohne Anmeldung bei Facebook Daten verarbeitet werden.