Auf diesen Bericht haben Europas Privatsphären-Wächter lange gewartet: In einem 149 Seiten langen Gutachten hat Irlands oberster Datenschützer Billy Hawkes analysiert, wie Facebook mit den Daten seiner Nutzer umgeht. Darin enthalten: eine genaue Analyse der technischen Abläufe, sowie ein Forderungskatalog, den Facebook bis Juli 2012 umsetzen muss (Dokument hier als pdf).
Mark Zuckerberg bei einer Facebook-Präsentation: Das Unternehmen verpflichtet sich, den Vorgaben des irischen Datenschutzbeauftragten zu folgen.
(Foto: AP)Hawkes ist für das Unternehmen zuständig, da Facebook seinen Sitz außerhalb der USA in Dublin hat. In seiner Analyse überprüfte seine Behörde, ob das Netzwerk gegen die EU-Datenschutzrichtlinie und die irischen Datenschutzgesetze verstoßen hat. Das Resultat: Facebook verstößt nicht unbedingt gegen geltendes Recht, muss aber an einigen Punkten deutlich nachbessern. Dazu hat sich das Unternehmen bereits bereiterklärt.
Die Ergebnisse im Einzelnen:
[] Facebook-Nutzer müssen einfacher Einblick in die gespeicherten Profildaten erhalten. Damit ist eine zentrale Forderung des österreichischen Studenten Max Schrems und seiner Gruppe "Europe Vs. Facebook" erfüllt. Er hatte sich seine gespeicherten Daten zuschicken lassen und dabei festgestellt, dass viele Informationen fehlten.
[] Facebook muss Daten, die es über "Social Plugins" wie den Gefällt-mir-Knopf auf externen Seiten sammelt, schneller anonymisieren und löschen: Bei ausgeloggten Mitgliedern und Seitenbesuchern, die nicht angemeldet sind, muss dies innerhalb von zehn Tagen geschehen. Bei Facebook-Mitgliedern nach 90 Tagen. Im Gutachten wird die Sammelpraxis kritisiert; Hinweise darauf, dass Facebook die Daten von Nicht-Mitgliedern sammelt, um Schattenprofile anzulegen, fanden die irischen Datenschützer allerdings nicht.
[] Nutzer sollen künftig die Möglichkeit erhalten, Freundschaftsanfragen, "Pokes", Tags, Statusnachrichten und persönliche Nachrichten zu löschen. Bislang waren viele vermeintlich gelöschte Informationen einfach unsichtbar, aber weiterhin auf den Facebook-Servern gespeichert.
[] Die bisherige Praxis, Daten über angeklickte Werbung eines Nutzers auf unbestimmte Zeit zu speichern, ist laut Gutachten "inakzeptabel". Facebook will die Dauer nun beschränken - auf 24 Monate.
[] Die personenbezogene Werbung, die Facebook ausspielt, verstößt laut Gutachten generell nicht gegen Datenschutzgesetze, da die Werbekunden keinen Zugriff auf Profile oder identifizierende Informationen erhalten. Wer sich bei einem solchen kostenlosen Service anmeldet, so der Tenor, muss sich mit Werbung abfinden. Allerdings muss Facebook transparenter machen, nach welchen Kriterien Werbekunden Anzeigen buchen können - zum Beispiel nach Parametern wie Wohnort, Schulbildung oder sexueller Orientierung.
[] Facebook verpflichtet sich generell, Informationen über die Steuerung der Privatsphären-Einstellungen einfacher zugänglich zu machen.
[] Das Zuckerberg-Unternehmen muss Suchanfragen, die Nutzer über Facebook ausführen, nach sechs Monaten löschen.
[] Das Portal muss die automatische Gesichtserkennung, die es in diesem Jahr einführte, genauer erklären. Funktionen wie diese dürfen nicht ohne Zustimmung der Nutzer aktiviert werden.
[] Facebook muss künftig sicherstellen, dass die Applikationen externer Entwickler den europäischen Datenschutzgesetzen entsprechen. Zudem darf Facebook nur noch unter strengen Bedingungen solchen Applikationen erlauben, auf Daten von Freunden eines Nutzers zuzugreifen.
Für Facebook ist die Klärung des Datenschutzbeauftragten wichtig, da das Unternehmen 2012 an die Börse möchte und rechtlich auf der sicheren Seite stehen will. "Die Behörden haben einen genauen Einblick erhalten, wie wir arbeiten und wie wir mit Daten umgehen", lobt eine Facebook-Sprecherin das Gutachten. Es sei klar, dass die Praxis der Plattform europäischen Datenschutzgesetzen entspreche.
Auch bei "Europe vs. Facebook" lobt man den Bericht: Man sei "glücklich über diesen ersten Schritt", der Facebook "sehr deutliche Grenzen bei der Nutzung von persönlichen Daten in Europa" aufzeige. Das Verfahren ist damit noch nicht abgeschlossen - 2012 will der irische Datenschutzbeauftragte überprüfen, ob Facebook die angekündigten Änderungen auch durchgeführt hat.