Gemischte Erfahrungen - Ein Jahr DSGVO

Der Fall Facebook

von - 23.05.2019
Grenzüberschreitende DSGVO-Untersuchungen
(Quelle: The European Data Protection Board)
Der Bußgeldbescheid gegen Google macht das prinzipielle Problem der Digitalkonzerne deutlich: Ihr Geschäftsmodell beruht im Wesentlichen auf dem Sammeln, Analysieren und Vermarkten von Nutzerdaten. Es ist damit nur schwer mit den Vorgaben der Datenschutz-Grundverordnung wie Datensparsamkeit und Zweckbindung in Einklang zu bringen, auch wenn die Unternehmen viel Zeit und Geld in die Überarbeitung ihrer Verträge und Datenschutzerklärungen investiert haben. Allein Google hat nach eigenen Angaben 500 Personenjahre für die Vorbereitung auf die DSGVO aufgewendet.
Wenig beeindruckt von der DSGVO scheint vor allem Facebook zu sein, zumindest legen dies etliche Datenskandale nahe, die in letzter Zeit publik wurden. Die Affäre um das Unternehmen Cambridge Analytica, das Informationen aus rund 87 Millionen Facebook-Accounts missbrauchte, um den US-Wahlkampf zu manipulieren, datiert zwar noch vor dem Wirksamwerden der DSGVO, zeigt aber bereits den Stellenwert, den Facebook dem Datenschutz einräumt. Die Nutzerdaten wurden nicht durch einen Hack oder eine Sicherheitslücke abgezogen, sondern über eine reguläre Programmierschnittstelle, die das soziale Netzwerk App-Anbietern zur Verfügung stellte. Lediglich die Weitergabe der Informa­tionen an Dritte widersprach den Nutzungsbedingungen, deren Einhaltung von Facebook aber wohl nicht oder kaum geprüft wurde.
Der nächste größere Vorfall ereignete sich im September 2018. Hacker hatten durch Kombination mehrerer Sicherheitslücken rund 50 Millionen Facebook-Accounts übernommen. Die irische Aufsichtsbehörde prüft derzeit, ob Facebook hier die Meldevorschriften der DSGVO (Art. 33) missachtet hat, nach denen ein solcher Vorfall „unverzüglich und möglichst binnen 72 Stunden“ anzuzeigen ist.
Ein klarer Verstoß gegen die Grundverordnung dürfte der Passwortskandal sein, der im März bekannt wurde. Facebook gab zu, Hunderte Millionen von Zugangsdaten unverschlüsselt und für Mitarbeiter zugänglich auf den Servern des Netzwerks gespeichert zu haben. Laut Artikel 5 Abs. 1f DSGVO müssen personenbezogene Daten „in einer Weise verarbeitet werden, die eine angemessene Sicherheit (…) gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung“. Nach Artikel 32 sind dazu technische und organisatorische Maßnahmen (TOM) nach dem Stand der Technik zu ergreifen, nicht zuletzt die Verschlüsselung personenbezogener Daten.
DR. Stefan Brink
Dr. Stefan Brink
Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg
www.baden-wuerttemberg.datenschutz.de
Foto: Kristina Schäfer
„Wer aus Schaden lernt und transparent an der Verbesserung des Datenschutzes mitwirkt, kann auch als Unternehmen aus einem Hackerangriff gestärkt hervorgehen.“
Nicht nur Datenschützern stößt die Sammelleidenschaft des Konzerns und der laxe Umgang mit Datensicherheit sauer auf. Im Februar 2019 untersagte das Bundeskartellamt Facebook die Zusammenführung von Nutzerdaten aus verschiedenen Quellen, sofern keine Einwilligung durch den Nutzer vorliegt. Der Behörde missfiel die Praxis des Konzerns, Daten aus den verschiedensten Quellen zusammenzuführen, und dabei nicht nur auf firmeneigene Dienste wie Instagram und Whatsapp zuzugreifen, sondern über Angebote wie den Facebook-Like-Button, Facebook-Login oder das Tracking-Tool Facebook Customer Audience im gesamten Internet personenbezogene Informationen zu sammeln. Facebook legte gegen den Beschluss Beschwerde ein.
Auch für Unternehmen, die Facebook als Marketing-Plattform nutzen, birgt das Vorgehen des sozialen Netzwerks rechtliche Risiken. Facebook stellt Betreibern von Unternehmensseiten, sogenannten Fanpages, über „Facebook Insight“ Informationen über Besucher zur Verfügung. Dafür setzt das Netzwerk Cookies auf den Geräten der Betroffenen, über die personenbezogene Daten erhoben werden. Nach einer Entscheidung des EuGH vom 5. Juni 2018 tragen die Fanpage-Betreiber Mitverantwortung an dieser Datenverarbeitung, weshalb eine Vereinbarung über die Datennutzung durch gemeinsam Verantwortliche nach Art. 26 DSGVO notwendig sei. Facebook hatte im September 2018 eine solche Vereinbarung vorgelegt, die jedoch nicht allen Datenschützern ausreichte. Die Berliner Beauftragte für Datenschutz und Informations­sicherheit Maja Smoltczyk kündigte im November 2018 eine umfassende Prüfung von Fanpages an: „Das höchste europäische Gericht hat klargestellt, dass die Nutzung der von Facebook eingerichteten Plattform die Betreiberinnen und Betreiber von Fanpages nicht von ihren Verpflichtungen im Bereich des Schutzes personenbezogener Daten befreien kann. Wer von diesen Dienstleistungen profitiert und gleichzeitig [eine] personenbezogene Datenverarbeitung auslöst, muss sich seiner datenschutzrechtlichen Verantwortung stellen.“
Verwandte Themen