Schleswig-Holsteins oberster Datenschützer Thilo Weichert hat dem Online-Netzwerk Facebook schwere Verstöße gegen Datenschutzgesetze vorgeworfen. Es nehme eine umfassende persönliche, bei Mitgliedern sogar personifizierte Profilbildung vor, erklärte das Unabhängige Landeszentrum für Datenschutz (ULD) in Kiel.
Um das einzudämmen, forderte Weichert alle Stellen im Norden auf, ihre Facebook-Fanseiten und die "Gefällt mir"-Buttons zu entfernen, die auch sueddeutsche.de verwendet. Denn auch darüber erstelle Facebook Nutzerprofile. Das ergab eine eingehende technische und rechtliche Analyse des ULD ( hier als pdf).
Das Ganze läuft so: Wer eine Facebook-Fanseite oder schlicht den "Gefällt-mir"-Button anklickt, gibt laut Weichert automatisch seine Verkehrsdaten in die USA weiter - selbst, wenn er nicht Mitglied bei Facebook ist. Ein Cookie, also eine winzige Datei, werde nämlich auf dem Rechner oder dem Smartphone für mindestens zwei Jahre gespeichert. "Jedes Mal, wenn wir mit einer Stelle zu tun haben, die eine Facebook-Anwendung hat, meldet er sich dann", sagte Weichert.
Die Folge: ein Nutzerprofil. "Jeden Klick auf einer Seite, wie lange ich darauf bin, für was ich mich interessiere, kann Facebook nachvollziehen", betonte Weichert. Das Ganze geschehe, ohne dass die Betroffenen es zur Kenntnis nehmen könnten. Die Formulierungen in den Nutzungsbedingungen seien nicht transparent. Facebook nutze die Profile wahrscheinlich für Werbezwecke.
Bußgelder von bis zu 50.000 Euro
Die Webseitenbetreiber wiederum erhalten den Datenschützern aus Kiel zufolge von Facebook eine Analyse zur Nutzung ihres Angebots. Das ULD sieht die rechtliche Verantwortung auch bei diesen Betreibern. Es setzte ihnen eine Frist bis Ende September, um die Datenweitergabe zu stoppen. Sonst drohen ihnen im schlimmsten Fall Bußgelder von bis zu 50.000 Euro.
Facebook hat inzwischen mit einer Stellungnahme reagiert, die auf der Internetseite One-to-one zitiert wird: Wenn ein Facebook-Nutzer eine Partner-Seite besuche, die ein Soziales Plug-in, etwa den "Gefällt mir"-Button, verwendet, könne Facebook die technischen Informationen wie die IP-Adresse sehen. "Wir löschen diese technischen Daten innerhalb von 90 Tagen. Damit entsprechen wir den üblichen Branchenstandards", so ein Sprecher. "Die Informationen erhalten wir ungeachtet, ob ein Nutzer bei Facebook eingeloggt ist oder nicht. Dies liegt im Wesen des Internets."
Deutsche Datenschützer interpretieren IP-Adressen, also die Adresse des Computers eines Internet-Nutzers, allerdings als personenbezogene Daten. Sie fürchten, dass die IP-Adressen einem Nutzer entsprechend zugeordnet werden könnten. Wenn zum Beispiel jemand zuerst uneingeloggt auf Seiten mit Facebook-Elementen surft und sich dann anmeldet, könnte das Unternehmen die gespeicherten IP-Adressen theoretisch abgleichen und so auch das Surfverhalten vor dem Login im Nachhinein protokollieren.
Facebook schwer zu fassen
Die Meinungen darüber, ob Weicherts Forderungen gerechtfertigt und praktikabel sind, gehen auseinander, wie eine Diskussion bei Netzpolitik.org zeigt. Vor allem die mögliche Abschaltung von Facebook-Fanseiten wird kritisiert, weil diese sichtbar dem sozialen Netzwerk, nicht den einzelnen Unternehmen oder Künstlern gehören.
Der Online-Riese selbst ist für den Datenschützer allerdings schwer zu fassen, wie Weichert angibt: "Facebook hat keinen Sitz in Deutschland und wahrscheinlich auch keinen rechtlich verantwortlichen Sitz in Europa. Die sind in den USA nicht greifbar." Facebook ist das weltgrößte Online-Netzwerk mit etwa 700 Millionen Mitgliedern, knapp 20 Millionen davon in Deutschland. Zuletzt sorgte es mit einer Funktion zur Gesichtserkennung für harsche Kritik von Datenschützern.