Max Schrems – politik-digital

Keine Überraschungen beim EU-US Privacy Shield

Jana Schwenk — Mon, 07 Mar 2016 16:30:04 +0000

Am 01. März wurde die Vorlage für den EU-US Privacy Shield von der europäischen Kommission veröffentlicht. Max Schrems, der 2015 das „Safe Harbor“-Abkommen vor dem europäischen Gerichtshof gekippt hat, kündigte bereits an, auch gegen dieses Abkommen vorzugehen. Viele Datenschützer schließen sich seinem Plan an.

Nach Safe Harbor nun also ein Privacy Shield. Im Safe Harbor-Abkommen von 2000 wurde von der EU-Kommission festgelegt, dass personenbezogene Daten auch in den USA in einem „sicheren Hafen“ liegen. Damit wurde die Übermittlung solcher Daten in die USA legal. Das Abkommen wurde 2015 von Max Schrems, österreichischer Jurist und Datenschützer, vor den europäischen Gerichtshof gebracht. Der EUGh erklärte das Abkommen für nicht ausreichend. Als Nachfolgeregelung soll der in zwei Teile gegliederte EU-US Privacy Shield in Kraft treten. Im ersten Abschnitt werden die Konditionen, zu denen Unternehmen Daten transferieren dürfen festgelegt. Im zweiten Teil äußert sich die USA zum Thema Überwachung von Daten durch US- Behörden. Keines der beiden Elemente kann wirklich überzeugen.

Was steht überhaupt im Privacy Shield?

Im ersten Abschnitt des Privacy Shields geht es um den Schutz von Daten, die aus der EU in die USA transferiert werden. Unternehmen können sich, wie schon beim „Safe Harbor“-Abkommen, freiwillig zertifizieren. Das heißt, sie versprechen, sich an die Regeln des Privacy Shields zu halten. Dazu gehört unter anderem eine weitgehende Informationspflicht gegenüber den Kunden. Unternehmen verpflichten sich, im Zuge dieser Selbst-Zertifizierung eine konkrete Anlaufstelle für Kunden auszuschreiben, an die sich der Einzelne für Anfragen wenden kann. Diese Anfragen müssen innerhalb von 45 Tagen von den Unternehmen beantwortet werden. Für den Anfragenden dürfen dabei keine unangemessenen Kosten anfallen. In Zukunft soll auch abgefragt werden können, welche Daten wann zu welchem Zweck gesammelt wurden. Der Betroffene soll die Chance haben, die Daten bei Bedarf zu ändern, zu ergänzen oder die Löschung zu beantragen.

Versäumt es ein Unternehmen, innerhalb der 45-Tage-Frist die Anfrage zu beantworten, kann der Betroffene sich an seine nationale Datenschutzaufsichtsbehörde wenden. Diese kontaktiert dann das Department of Commerce in den USA, das die Privacy Shield-zertifizierten Unternehmen kontrolliert. Die höchste Strafe, die einem Unternehmen in diesem Fall droht, ist der Ausschluss von der Zertifizierung. Nur in besonders schweren Fällen kann die EU-Kommission dem Unternehmen einen weiteren Datentransfer aus der EU in die USA untersagen. Da allerdings das gesamte Prinzip des Privacy Shields auf Freiwilligkeit beruht, hat die EU-Kommission gegenüber nicht zertifizierten Unternehmen keine Handhabe. Erst ab 2018, mit der Datenschutzgrundverordnung, könnte sich das ändern. Dann greift EU-weit das Marktortprinzip und auch amerikanische Unternehmen müssen sich an die europäischen Grundsätze halten.

Massenüberwachung „nur noch“ in sechs Fällen erlaubt

Der zweite Teil des Entwurfs widmet sich der Überwachung und Auswertung von Daten durch US- Sicherheitsbehörden. Laut US- Geheimdienstkoordinator James Clapper werden Daten zukünftig nur noch auf Basis der präsidialen Direktive PPD 28 ausgewertet. In dieser Direktive, die von Obama 2014 verabschiedet wurde, werden sechs mehr oder viel mehr weniger spezifische Zwecke genannt, für die Daten ausgewertet werden dürfen. Die Auswertung erfolgt ohne Information und Zustimmung des Betroffenen. Zu den Zwecken gehört neben der Bekämpfung des Terrorismus und der Verbreitung von Massenvernichtungswaffen auch die Bekämpfung transnationaler krimineller Bedrohungen. Des Weiteren sollen durch die Maßnahmen Aktivitäten fremder Mächte, v.a. Spionage, entdeckt und Bedrohungen für US-Streitkräfte oder verbündete Streitkräfte aufgedeckt werden.

Dass die Daten nicht missbraucht werden, soll dann einerseits von James Clapper und andererseits von einer Ombudsperson überwacht werden. Die Ombudsperson, Catherine A. Novelli, ist theoretisch zwar unabhängig von der Intelligence Community. Novelli ist aber gleichzeitig Untersekretärin des Staates und damit dem Außenministerium angegliedert. Zudem ist sie Senior Coordinator for Internal Information Technology Diplomacy und arbeitet eng mit den Verantwortlichen für die Bekämpfung der Internetkriminalität zusammen. Inwieweit also eine Person, die bereits eng mit Verantwortlichen zusammenarbeitet und deren Stelle dem US-Außenministerium angegliedert ist, als „unabhängig“ bezeichnet werden kann, darf man hinterfragen.

Wenig Hoffnung auf Entgegenkommen

Schon während der NSA-Affäre und bei der Frage nach einem No-Spy-Abkommen wurde klar, dass die USA die Datenauswertung als notwendig für die nationale Sicherheit erachten. Dass sie dabei wenig kompromissbereit sind, zeigt sich auch im jetzigen Entwurf: „Während die USA und die europäische Union das Ziel, den Privatsphären-Schutz für ihre Bürger zu verbessern, teilen, haben die USA eine andere Herangehensweise daran als die Europäische Union.“

Damit wollen sich europäische Datenschützer nicht abfinden. Der österreichische Jurist Max Schrems, der schon gegen Safe Harbor vorging, postete auf Twitter, dass es sich um rein kosmetische Verbesserungen handle. Auch Jan Philipp Albrecht, Europaabgeordneter der Grünen äußerte sich bereits kritisch: „Dasselbe (wie Safe Harbor) in Grün“. Schrems kündigte bereits an auch gegen das Privacy Shield vor den EUGh zu ziehen.

Der ehemaliger Datenschutzbeauftragter des Bundes Peter Schaar, mahnt dagegen Realismus an. Er betont, dass wir internationale Abkommen zum Datenschutz brauchen. Und zwar nicht nur mit den USA, sondern auch mit anderen Staaten. Dabei müsste man versuchen, ein möglichst hohes Niveau zu halten. Es müsse einem aber klar sein, dass dabei nicht einfach die EU-Standards übernommen würden, sondern das in Verhandlungen Kompromisse gefunden werden müssten.

Bild: geralt unter Lizenz: CC0 Public Domain

EU: Datenschutz als Chance für Innovationen

Teresa Keil — Thu, 01 Oct 2015 15:20:19 +0000

Seit Jahren bemüht sich die EU, eine zeitgemäße Datenschutz-Grundverordnung zu verabschieden. Noch dieses Jahr sollen die Verhandlungen zu einem Ergebnis führen – was muss die Reform beinhalten, was bedeutet das für Europa und wo steht die USA?

Am 16. September nahmen die drei Parteien, EU-Kommission, EU-Parlament und EU-Rat ihre Trilog-Verhandlungen zur neuen Datenschutzverordnung wieder auf. Seit die Kommission Anfang 2012 ihre Entwürfe vorlegte, sind die drei Institutionen in regem Austausch und änderten die Entwürfe regelmäßig ab. Nun liegt es an Rat und Parlament, sich zu einigen. Doch die Themen, bei denen Uneinigkeit herrscht, sind nicht nebensächlich oder von minderer Wichtigkeit. Ganz im Gegenteil: Es wird sehr deutlich, mit welch unterschiedlichem Ansatz Rat und Parlament die Sache angehen. So will der Rat der Europäischen Union gewisse Punkte möglichst locker und vage formulieren, um zukünftigen Geschäftsmodellen der Datenverarbeitung keine Steine in den Weg zu legen. Das EU-Parlament hingegen spricht sich für den höchsten Schutz der EU-Bürger.innen, auch über Ländergrenzen hinweg, aus. Die endgültige Fassung soll noch Ende dieses Jahres vorliegen und die aktuell gültige ~~Verordnung~~ [Korrektur:] Richtlinie von 1995 ablösen.

Bei einem Sachgebiet, das sich schneller verändert und rasender wächst als Bambus, stellt sich aber die Frage: können die Gesetze von heute auch in drei oder fünf Jahren noch sinnvoll sein? Und in 10? Zudem herrscht eine gewisse Skepsis bei Beobachter.innen der Verhandlungen bezüglich der Wirtschaftslobby. Die soll starken Einfluss auf Entscheidungsträger.innen verübt haben, denn wie es oft heißt, schließen sich freie Wirtschaft und höchstmöglicher Schutz der EU-Bürger.innen gegenseitig aus. Dennoch gibt es interessante Ansätze, die vom Gegenteil überzeugen.

„Mit der Europäischen Datenschutz-Grundverordnung (EU-DSGVO) schafft die Europäische Union (EU) weltweit erstmals eine umfassend direkt anwendbare supranationale Datenschutzregelung.“ (Thilo Weichert (2015): Europas Datenschutz)[1]

Dreh- und Angelpunkt der Europäischen Datenschutz-Grundverordnung ist die Harmonisierung. Das bedeutet, dass es einheitliche Standards in allen EU-Ländern gibt, was es sowohl Unternehmen als auch Bürgern.innen und Regierungen erleichtert, sich zurecht zu finden. Mit 3000[2] Änderungsanträgen versuchten Lobbygruppen Einfluss auszuüben. Auf dem Portal „LobbyPlag.eu“ wurden einige der Anträge analysiert. Von 517 untersuchten Anträgen zielten über 400 auf eine Absenkung der Datenschutzstandards, nur die übrigen hundert anderen versuchten die Standards zu heben. Die Verbindung zur Wirtschaftslobby liegt nahe, diese kommt dennoch nicht an einer Sache vorbei: dem Artikel 8 der Europäischen Menschenrechtskonvention. In diesem werden das Recht auf Achtung des Privat- und Familienlebens geregelt und die Bürger.innen und ihr Privatleben geschützt.

Hintergrundinfo

europäischer Binnenmarkt erforderte übergreifenden Datenschutz
Europäische Datenschutzrichtlinie, 1995
Weitere Regelungen folgten oder wurden überarbeitet
Neue Technologien machen eine Reform dennoch unbedingt notwendig
Ziel der Reform: Datenschutzrecht harmonisieren, „Recht auf Vergessen“, Unabhängigkeit der Datenschutzbehörden verbessern, Regelungen über den Datentransfer in Drittstaaten optimieren.

Der Europäische Gerichtshof für Menschenrechte urteilte, dass das systematische Sammeln und Speichern, auch von öffentlichen Daten, gegen Artikel 8 der EMRK verstoßen kann.

Das Thema erfordert höchste Verhandlungskompetenzen aller Beteiligten, denn es soll eine direkt anwendbare Verordnung dabei entstehen, die so wie sie verhandelt wird dann für alle EU-Staaten gleichermaßen gilt.

Fünf Mindestanforderungen

politik-digital.de sprach mit Friedemann Ebelt von Digitalcourage e. V. über seine Position zu der neuen Verordnung und die roten Linien, die nicht überschritten werden dürfen. Klare Worte findet Digitalcourage zu Datensparsamkeit, Zweckbindung, Profiling, Auskunftsrecht und Datenportabilität. Das wird in dem Aufsatz „Fünf rote Linien für Datenschutz in Europa“ (von Dennis Romberg) dargelegt. Der Verein spricht sich dafür aus, dass Datensammlung auf ein Minimum beschränkt werden muss und ein Datensammeln auf Vorrat verhindert werden soll. Zudem müsse die Verarbeitung der Daten nachvollziehbar sein und an einen vorher bekannten Zweck unumgänglich gebunden werden. Auch soll kein.e Nutzer.in einen Nachteil erfahren, weil er oder sie einer Anwendung das s.g. Profiling nicht erlaubt. Dieses beinhaltet, dass Bewegungs- , Kauf-, und Kommunikationsprofile von Nutzer.innen angelegt werden. Eine Verwehrung des Dienstes, nur weil ein.e Nutzer.in die Anlegung solch eines Profils verweigert, ist inakzeptabel und diskriminierend. Digitalcourage spricht sich zudem für ein kostenfreies Auskunftsrecht aus. Jede.r Bürger.in soll erfahren dürfen, welche Daten über ihn/sie erhoben und gespeichert wurden. Als letzte rote Linie sieht die Organisation die Ermöglichung von Datenportabilität vor: Jede.r Nutzer.in soll seine Daten von einem Anbieter auf einen anderen übertragen können. Das ist wichtig für den Wettbewerb zwischen Anbietern und für die Entscheidungsfreiheit von Nutzer.innen. Solange diese fünf Prinzipien nicht mit der neuen Verordnung geltend gemacht werden, wird sie laut Digitalcourage nutzlos sein. Auf keinen Fall dürfe die neue Verordnung hinter die derzeit gültige von 1995 zurückfallen.

Viel Potenzial für den europäischen Markt

Auf die Sorge, die Datenschutzverordnung könnte bei in Kraft treten schon wieder veraltet sein, da technologischer Fortschritt die Verhandlungen einholen wird, gab Ebelt eine Antwort, die zum Nachdenken anregt: Was, wenn die neue Verordnung die Geschäftsmodelle der Zukunft nicht verbaut, sondern gar eigene Innovationen hervorrufen würde, die den Europäische Raum sogar stärken?

Damit ist gemeint, dass die neue Verordnung europäische Unternehmen und Dienstleister dazu zwingt, datenschutzfreundliche Anwendungen bereitzustellen. Also E-Mail-Dienste, die mit Verschlüsselungstechniken arbeiten, neue Software, die vor Hackangriffen sicher ist und z.B. autonomes Fahren ultimativ schützt, sowie soziale Netzwerke mit benutzerfreundlichen Voreinstellungen. Mit der neuen Verordnung erwartet die Europäische Union ein großes Potenzial: einen Markt mit Daten schützenden Diensten zu eröffnen, den es sonst auf der Welt so nicht gibt.

Das derzeitige Problem liegt laut Friedemann Ebelt zu einem großen Teil in dem Trend, kostenfreie Dienste anzubieten. Allerdings ist der Service nur augenscheinlich kostenfrei, denn bezahlt wird nicht mit Geld, sondern mit Daten. Es sei also wichtig, die Unternehmen und Anbieter zum Umdenken zu bringen – statt kostenlose Anwendungen lieber Dienste mit Datenschutzvorkehrungen, dafür zu einem erkennbaren Preis.

Die Nutzer.innen werden ein tieferes Vertrauen in europäische Dienstleistungen entwickeln, was ein deutlicher Wettbewerbsvorteil wäre.

Safe Harbour Abkommen mit USA – noch gültig?

Der aktuell meist genutzte Anbieter eines sozialen Netzwerks geriet aufgrund mangelnden Datenschutzes vor kurzem in die Schlagzeilen. Die Rede ist von Facebook und dem Kläger Max Schrems, welcher auf das Safe Harbour Abkommen zwischen EU und USA aufmerksam machte. Das Problem hierbei: Facebook darf laut Abkommen Daten von EU-Bürger.innen in den USA lagern. Dort sind sie aber vor dem Geheimdienst (NSA) nicht geschützt, wie mit der Snowden Enthüllung bekannt wurde. Dies verstößt gegen das bereits genannte Menschenrecht auf Achtung der Privatsphäre (Artikel 8 des EMRK). Der Generalanwalt Yves Bot erklärte das Abkommen für ungültig. Friedemann Ebelt erkennt darin etwas positives, denn der Fall verdeutlicht, dass das Safe Harbour Abkommen die Daten der Menschen nicht schützt. Für die neue Datenschutzverordnung sei das aber nicht weiter von Bedeutung, denn der Datenverkehr zwischen EU und Drittstaaten müsse mit eigenen Abkommen geregelt werden. In Bezug auf die USA werden TTIP und TiSA dabei eine erhebliche Rolle spielen. Für die Europäische Datenschutzverordnung ist aber eins dennoch wichtig: Möchten Anbieter von sozialen Netzwerken und Dienstleistungs-Portalen aus Drittstaaten ihre Dienste innerhalb der Länder der EU anbieten, müssen auch diese sich an die neue Verordnung halten. Ein verpflichtender Firmensitz im jeweiligen Land sichert die Auskunftsrechte der Nutzer.innen und vereinfacht die Kontrollierung rechtlicher Anforderungen.

Der Fall um Facebook bewirkte, dass die Dringlichkeit eines europäischen Datenschutzes nochmals erkennbar wurde, das Problem der Geheimdienste nochmals verdeutlicht. Eine Reform der Datenschutzverordnung ist also dringend notwendig, dennoch so Ebelt, liegt es jetzt an uns, gewisse Grundelemente des Datenschutzes einzufordern. Demokratische Prinzipien wie Entscheidungsfreiheit, Gleichberechtigung und Schutz der Privatsphäre dürfen nicht untergraben werden, das steht fest.

[1]DANA 2015, Rote Linien, S. 112 https://www.datenschutzverein.de/wp-content/uploads/2015/08/DANA_3-2015_RoteLinien_Web.pdf

[2]DANA 2015, Rote Linien, S. 115

Bild: Victoria Ristenbatt and Scott Redding (CC BY-NC-SA 2.0)

Digitale Presseschau 31/2012

Daniel Schumacher — Fri, 03 Aug 2012 14:53:08 +0000

Zeitungsverleger werden mit Pippi Langstrumpf verglichen, “homo interneticus” und “homo reticuli” haben Einzug bei den Sozialdemokraten gehalten und die “AGB-Dikatur” von Google, Microsoft und Facebook wird kritisiert. Aber warum haben Internet-Trolle und Higgs-Teilchen etwas gemeinsam? Dies und mehr in der heutigen Ausgabe der digitalen Presseschau.

[youtube http://www.youtube.com/watch?v=x8SxbiIs78w&feature=player_embedded;w=630&h=340]

Wann bekommt man schon mal eine SMS von der irischen Datenschutzbehörde, weil sie Schluss machen will? Na klar, wenn man wie der Wiener Jura-Student Max Schrems den Internetgiganten Facebook wegen Datenschutz-Verstößen anzeigt. In der Vergangenheit wurden konkrete Fragen von Schrems und seiner Initiative “Europe versus Facebook” des Öfteren ignoriert. Vor einer Woche gipfelte die fehlende Gesprächsbereitschaft in einer formlosen SMS der zuständigen Datenschutzbehörde, die besagte, dass man für ein Gespräch nicht zur Verfügung stehe.

“Politiker werden nie überflüssig sein”

Was hat ein “Netz aus Leidenschaften” mit der Band Radiohead zu tun? Sie wissen es nicht? Internet-Analytiker Clay Shirky von der New York University beantwortet diese und andere Fragen. Im Interview mit Andrian Kreye von der Süddeutschen Zeitung spricht Shirky außerdem über Netzaktivismus, neue politische Verfahren, Open Source und darüber, dass Politiker nie überflüssig sein werden.

Ein Fetisch zum Anklicken

Liquid Democracy – das steht für eine Mischung aus direkter und repräsentativer Demokratie und für die Verflüssigung “erstarrter Politikformen”. Für Claus Leggewie, Direktor des Kulturwissenschaftlichen Instituts in Essen und Co-Autor des Buches “Unter Piraten. Erkundungen in einer neuen politischen Arena”, haben die Vertreter einer “liquideren Demokratie” nur eine Chance: “die Organisation der Willensbildung im Bereich der Energiewende und die Zukunft der europäischen Integration”. Im Magazin “Freitag” bewertet Leggewie die Zukunftschancen einer interaktiven Politik.

Vom Internet zum Kreisverband

Vergangene Woche haben die SPD-Mitglieder Yasmina Banaszczuk und Dennis Morhardt ein Mitgliederbegehren gegen die derzeitige SPD-Position zur Vorratsdatenspeicherung gestartet. Auch politik-digital befasste sich damit. Der FAZ-Blogger Don Alphonso hat nun dieses Thema zum Anlass genommen, um zwischen “homo sapiens”, “homo interneticus” und “homo reticuli”, dem vernetzten Menschen, zu unterschieden. Eine Hommage an eine neue Generation und neue Strukturen, die sich nun auch bei den Sozialdemokraten niederschlagen.

Vom gescheiterten Versuch, Pippi Langstrumpf zu spielen

Pippi Langstrumpf ist jedem ein Begriff. Das Mädchen, das sich die Welt macht, „wiesiewiesie ihr gefällt“. Neu dürfte allerdings der Vergleich zwischen Pippis Unbekümmertheit und den Zeitungsverlegern sein. Journalist und Blogger Christian Jakubetz beschreibt, wie sich Verlage teilweise die Realität zurecht biegen, „wiesiewiesie ihr gefällt“. Aberwitzig findet Jakubetz das und hält das Leistungsschutzrecht für einen “veritablen Rohrkrepierer”.

Die AGB-Diktatur

Netzmonopole zerstören die Wettbewerbsvielfalt im Internet, schreibt der Wirtschaftspublizist und Medienberater Gunnar Sohn im „European“. In seinem Plädoyer für die Netzneutralität kritisiert der Autor, dass Google, Microsoft oder Facebook mit Hilfe von “Maschinen” Moralwächter spielen und damit “politisch fragwürdige Netzsperren” durchführen. Als “AGB-Diktatur” bezeichnet Sohn die Verfahren zur Kontrolle von Nutzerdaten, bei denen seiner Meinung nach die “informelle Selbstbestimmung flöten geht”.

Spuren lesen

Der IT-Unternehmer und Philosoph Jörg Friedrich beschäftigt sich in einem Artikel ” im “Freitag” mit den Gemeinsamkeiten von Internet-Trollen und Higgs-Teilchen. Darin kommt er zu dem Schluss, dass man “beide niemals direkt beobachten kann, man sieht nur die Spuren von ihnen in der Wirklichkeit”. Außerdem brauche man eine “passende Theorie, um aus diesen Spuren auf ihre Existenz zu schließen”, so Friedrich weiter. Interessante These, die zum Nachdenken anregt.

Facebook trifft größten Kritiker

Lea Thielscher — Thu, 09 Feb 2012 13:37:43 +0000

Während Facebook im Visier der Datenschützer bleibt, trafen sich Vertreter des Internetkonzerns am Montag mit Max Schrems, dem Gründer der Initiative Europe vs. Facebook. Ein Zeichen für ein Entgegenkommen des US-Konzerns? Die meisten Bedenken bleiben auch nach dem “Informationsaustausch” bestehen.

Im vergangenen Jahr forderte der Wiener Jurastudent und Facebook-Kritiker Max Schrems den US-Internetkonzern auf, ihm eine Kopie aller über ihn gespeicherten Daten auszuhändigen. Basierend auf den erhaltenen Informationen verfasste Schrems 22 Anzeigen wegen diverser Datenschutzverletzungen gegen Facebook und legte diese bei dessen Europa-Zentrale in Irland vor. Irlands zuständige Datenschutzbehörde forderte Facebook daraufhin im Dezember auf, zukünftig mehr Wert auf Transparenz und Datenschutz zu legen. Bei Verstößen drohen dem Internetkonzert nun Geldstrafen von rund 100.000 Euro. Die neuen Regelungen sind insbesondere im Bezug auf die Nutzung von Fotos zu Werbezwecken entgegen der ausdrücklichen Zustimmung des Urhebers anzuwenden. Darüber hinaus verpflichten sie Facebook dazu, auf Anforderung des Users eine Kopie aller personenbezogenen Daten auszugeben. Damit ist Irland das einzige europäische Land, das sich auf den EU-Datenschutz beruft und den Internetkonzern im Umgang mit User-Daten in die Schranken weist. Ein beachtlicher Erfolg für die von Schrems gegründete Kampagne Europe vs. Facebook, jedoch sind damit noch längst nicht alle Bedenken ausgeräumt.

Um zu demonstrieren, dass die von der Wiener Initiative aufgestellten Forderungen nach mehr Transparenz, Selbstentscheidungsrecht und Datensparsamkeit sowie die 22 Anzeigen ernst genommen werden, trafen sich am Montag Facebooks Europa-Chef Richard Allen und eine US-Vertreterin des Konzerns mit Max Schrems in Wien. Ziel sollte es sein, zu einer „einvernehmlichen Lösung“ zu kommen, denn auch das soziale Netzwerk selbst wolle endlich Rechtssicherheit haben. Der bei dem Treffen hauptsächlich diskutierte Kritikpunkt war der Umgang mit angeblich gelöschten Dateien. Dass längst gelöschte Daten noch Jahre später auffindbar sind, begründete Facebook teilweise mit „technischen Problemen“. Dem Vorwurf Schrems‘, bei der Nutzerzustimmung eine „Neuinterpretation“ europäischer Gesetze anzuwenden, begegnen die Facebook-Betreiber mit der Einstellung „Solange keiner nein sagt, ist es eine Zustimmung“.

Noch immer unter europäischem Datenschutzlevel

Seit 2011 sind die irischen Behörden nun verpflichtet, die Datenschutzvorkehrungen des sozialen Netzwerks regelmäßig zu überprüfen und einen dementsprechenden Bericht zu verfassen. So wurde im Dezember 2011 bereits ein erster 149-seitiger Bericht veröffentlicht, der zwar diverse Nachbesserungen fordert, jedoch keine gröberen Verstöße von Seiten Facebook aufführt. Nach Ansicht der Initiatoren von Europe vs. Facebook ist dieses Protokoll jedoch nicht ausreichend, da nur „maximal zehn Prozent“ ihrer Forderungen umgesetzt seien. Darüber hinaus beinhalte die Untersuchung „keine stringente rechtliche Analyse“ des Netzwerks, mehr noch, der Bericht befinde sich „unter dem europäischen Datenschutz-Level”, so Schrems.

Zwar war der allgemeine Eindruck nach dem Treffen auf beiden Seiten durchaus positiv, jedoch ist die Arbeit damit noch lange nicht getan. Denn zu einer einvernehmlichen Lösung ist man nicht gekommen. Laut Max Schrems sei dennoch deutlich geworden, dass Facebook ein starkes Interesse habe, „ernsthaft den europäischen Gesetzen zu entsprechen“. Jedoch sei man sich auch bewusst, dass dies noch einen langen Prozess zur Folge haben werde, wie die Vertreter des sozialen Netzwerks betonten. Eine Ausräumung der vermerkten Mängel und die damit verbundenen Verbesserungsvorschläge sollen größtenteils bis Ende März realisiert werden, bevor die irische Datenschutzbehörde im Juli eine erneute Überprüfung vornehmen wird. Als nächsten Schritt plant Europe-vs-Facebook unterdessen, einen Antrag auf eine formelle Entscheidung in Irland zu stellen. Falls dieser nicht umgesetzt werde, werde sich die Kampagne an die EU-Kommission wenden, mit der Aufforderung, sich mit dem Fall zu befassen und ein Vertragsverletzungsverfahren anzuregen.

Facebook künftig mit mehr Datenschutz

Frank Vaccaro — Thu, 22 Dec 2011 17:30:43 +0000

Nach einer Betriebsprüfung hat die irische Datenschutzbehörde einen ersten Bericht zu Facebook vorgelegt. Mitglieder des sozialen Netzwerks sollen in Zukunft mehr Kontrolle über ihre Daten erhalten. Facebook stimmte einigen Verbesserungen bereits zu.

In einem 149 Seiten langen Gutachten analysiert Irlands oberster Datenschützer Billy Hawks den Umgang von Facebook mit Nutzerdaten. Neben einer Beschreibung der technischen Abläufe enthält der Bericht auch einen Forderungskatalog, den das soziale Netzwerk bis Juli 2012 umsetzen muss.

Bisher speicherte das Unternehmen viele Nutzerdaten, ohne dass eine vollständige Löschung durch den Nutzer möglich ist. Daten können zwar aus den Nutzer-Profilen entfernt werden, bleiben aber unsichtbar auf den Facebook-Servern gespeichert. An diesem Umgang mit den Nutzerdaten müssen nun Veränderungen vorgenommen werden. Zum Einen sollen Nutzer einen einfacheren Zugang zu den persönlichen Daten erhalten, die das Netzwerk von ihnen speichert. Zum Anderen sollen Inhalte wie Freundschaftsanfragen, Statusnachrichten, persönlichen Nachrichten und Suchanfragen vom Nutzer vollständig gelöscht werden können. Gleiches gilt für Daten über angeklickte Werbeanzeigen. Hier will Facebook die Dauer hier auf 24 Monate beschränken. Die personenbezogene Werbung, die Facebook auf den einzelnen Profilen individuell einblendet, verstößt laut Gutachten nicht gegen geltende Datenschutzgesetze. Allerdings wird verlangt, dass Facebook transparenter macht, nach welchen Kriterien Werbekunden Anzeigen buchen können – z.B. nach Eigenschaften wie Schulbildung oder sexueller Orientierung.

Knackpunkt Gesichtserkennung

Ein Knackpunkt ist Facebooks automatische Gesichtserkennung: Diese im Sommer dieses Jahres in Europa eingeführte Funktion muss laut Bericht der irischen Datenschützer genauer erläutert werden. Außerdem dürfen Dienste wie dieser nicht ohne Zustimmung der Nutzer aktiviert werden. Facebook sicherte hierzu schon Anpassungen zu. Beabsichtigt wird nun, den Nutzer dreimal zur Zustimmung der Gesichtserkennung aufzufordern. Nach dreimaligem Ignorieren dieser Abfrage soll die Gesichtserkennung automatisch aktiviert werden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit Prof. Dr. David Caspar hält dieses Vorgehen für unzureichend und mit dem geltenden Datenschutzrecht nicht vereinbar. „Es reicht nicht aus, bei bloßer Untätigkeit des Nutzers eine Einwilligung zu unterstellen. Wir erwarten ein Verfahren, in dem der Nutzer seine aktive und bewusste Zustimmung erteilt. Bloßes Nichtstun der Nutzer reicht als Rechtfertigung der Auswertung der Bilder nicht aus“, so Caspar. Unmittelbare Auswirkungen auf den deutschen Datenschutz und das Vorgehen der Hamburger Datenschutzbehörde hätten die von den Iren vorgestellten Ergebnisse nicht, so Caspar gegenüber politik-digtial.de. Aussagen zu der Frage, welche mittelbaren Auswirkungen zu erwarten sind, könne man erst nach einer eingehenderen Analyse des Berichtes treffen.

Begleitet wurde die erste Betriebsprüfung bei Facebook durch die Wiener Studenteninitiative „Europe vs. Facebook“, die 22 Anzeigen bei der irischen Datenschutzbehörde eingereicht hatte. Diese hatte mehr Transparenz, bessere Möglichkeiten zur informationellen Selbstbestimmung der Nutzer und datenschutzfreundlichere Voreinstellungen der Privatsphäre-Optionen des sozialen Netzwerks eingeklagt. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bewertet den Effekt, den die Initiative auf das Ergebnis des Berichts hat, als positiv.
Derartige Initiativen würden häufig die notwendige mediale Öffentlichkeit erzeugen und seien somit im Sinne der Sensibilisierung der Nutzerinnen und Nutzer nicht zu unterschätzen. Auch werde Facebook damit deutlich gemacht, dass die Beachtung der Rechte der Nutzerinnen und Nutzer, selbst darüber zu entscheiden, in welcher Form und in welchem Umfang mit deren Daten umgegangen wird, nicht nur eine rechtliche Anforderung, sondern auch ein Element der Akzeptanz des Dienstes und damit ein maßgeblicher Wettbewerbsfaktor ist, so Caspar in einer Stellungnahme gegenüber politik-digital.de. Die österreichische Initiative selbst bewertet den Bericht als Erfolg, da ihnen in den meisten Anklagepunkten Recht gegeben werde und sie den Stein überhaupt erst ins Rollen gebracht habe.

US-Politiker nehmen Facebook ins Visier

Charlie Rutz — Mon, 12 Dec 2011 16:02:36 +0000

Vergangenen Donnerstag schickten vier US-Abgeordnete einen Brief an Facebook-Chef Mark Zuckerberg und verlangten Aufklärung über die Datenschutzpolitik des Konzerns. Sie verwiesen darin auch auf die Initiative “Europe versus Facebook”. politik-digital.de sprach mit deren Vertreter Max Schrems.

Mittels einer Anfrage an Facebook wollen der aus dem Bundesstaat Florida stammende republikanische Kongressabgeordnete Cliff Stearns und seine drei Kollegen Diana DeGette, Joe Barton und Edward J. Markey bis spätestens 3. Januar 2012 von Mark Zuckerberg wissen, was es mit den Datenschutz-Praktiken des Internetkonzerns auf sich hat. Die Anfrage bezieht sich auf folgende Punkte: 1. Trotz Privatsphäre-Einstellung stehen bestimmte Informationen der Öffentlichkeit zur Verfügung; 2. Drittanbieter erhalten einen breiten Zugang zu Informationen der Nutzer und tauschen diese mit Werbekunden aus; 3. Der Zugriff auf Nutzerdaten ist auch nach der Deaktivierung oder Löschung eines Accounts möglich und wechselnde Privatsphäre-Einstellungen werden vorgenommen, ohne den Nutzer in Kenntnis zu setzen. Facebook wird aufgefordert, detailliert darzulegen, in welchem Umfange Informationen von Nutzern gesammelt werden, wie das Unternehmen diese nutzt und warum die “Timeline”-Funktion eingeführt wurde. Als eines von drei Beispielen liegen dem Anliegen der US-Politiker die Erkenntnisse und Kritik der Initiative “Europe versus Facebook“ zugrunde, von der wir bereits berichteten. abei geht es um die 1.000 Seiten Informationen über private Nutzerdaten, die die Initiative von Facebook erhielt und die gelöschten Daten, die noch vorhanden waren.

Laut Sprecher der Initiative Max Schrems könnte die Anfrage an Facebook die Vorstufe zur Einleitung eines Verfahrens gegen den Konzern sein. Man arbeite bereits an einer Kontaktaufnahme zu den US-Abgeordneten (eine erste Rückantwort ist bereits eingegangen) und prüfe noch, wie relevant deren Ansinnen sei: „Was uns wunderte ist, dass die Abgeordneten gerade unseren Fall heraussuchten. Die US-Medien dürften eher darauf warten, was im Antwortschreiben steht“, so Max Schrems gegenüber politik-digital.de. Darüber hinaus berichtet Schrems, dass die irische Datenschutzbehörde, bei der seine Initiative gegen Facebook klagte, im Januar 2012 eine erste Einschätzung zu den Vorwürfen gegen den Internetkonzern vorlege und wohl eine einvernehmliche Einigung anstrebe. Zudem verweist er auf die massive Lobbyarbeit von Facebook. Zuletzt seien ihm die engen Verflechtungen zwischen Politik und Wirtschaft am Rande der Konferenz “Our Internet – Our Rights, Our Freedoms” Ende November in Wien bitter aufgestoßen, auf der die politischen Abgesandten Irlands nicht nur auf „Du und Du“ mit den Facebook-Lobbyisten waren, sondern ein Beamter des irischen Außenministeriums den Internetkonzern gar verteidigte.

Europa gegen Facebook

Charlie Rutz — Tue, 13 Sep 2011 16:36:23 +0000

Der Druck auf Facebook zur Verbesserung des Datenschutzes für seine Nutzer wächst weiter. Eine Gruppe von Wiener Jura-Studenten zeigte das Unternehmen erfolgreich bei der irischen Datenschutzkommission an.

Am 18. August reichte die Initiative “Europe versus Facebook” erfolgreich einen Katalog von 16 Anzeigen bei der irischen Datenschutzkommission gegen den Internetgiganten Facebook ein. Die Behörde nahm mittlerweile Ermittlungen auf und geht den Vorwürfen nach. Wir führten dazu ein Interview mit Max Schrems (23) von www.europe-v-facebook.org. Darin kommt er zu dem Schluss, dass Facebook im schlimmsten Fall bis zu 100.000 Euro Strafe, vor allem aber ein riesiger Imageschaden drohen könne. Zuletzt war Facebook im April 2011 für seine Datensammelwut mit dem BigBrotherAward ausgezeichnet worden.

(Aktueller Bericht vom ORF zur Initiative)

Zu den Vorwürfen der Initiative zählt beispielsweise, dass Facebook bestimmte Daten dauerhaft speichert, obwohl der Nutzer sie vermeintlich gelöscht hat, oder dass die Verwendung von Daten faktisch nach dem Prinzip “Opt-Out” statt “Opt-In” abläuft. Die Datenschutzbestimmungen als Ganzes seien vage, unklar und widersprüchlich, eine Zustimmung dazu sei nach europäischen Standards ungültig. Die 16 Beschwerden umfassen letztlich all die Datenschutzlücken, die auch schon von anderer Stelle kritisiert wurden – wie in Deutschland zuletzt von dem Datenschützer Thilo Weichert. Die Frage ist dabei aber immer auch, welche Mittel die größte Aussicht auf Erfolg haben, um Facebook einen verbesserten Datenschutz für seine Nutzer abzuringen. In diesem Zusammenhang scheint die Initiative „Europe versus Facebok“ auf dem richtigen Weg zu sein.

Aus welcher Motivation heraus hat Ihre Gruppe die 16 Beschwerden gegen Facebook bei der irischen Datenschutzkommission eingereicht? Welche Vorwürfe stehen im Mittelpunkt?

Ich habe im Silicon Valley (USA) ein Semester Datenschutzrecht studiert. Dabei hatten wir auch Gastreferenten von großen IT-Unternehmen – unter anderem von Facebook. Deren Gedankenwelt ist in etwa so: Die Europäer sind zwar ganz süß mit ihrem Datenschutz, aber passieren tut eh nichts, daher macht man als US-Unternehmen einfach, was man will. Genau das ist auch der Vorwurf an Facebook: Es werden unserer Meinung nach schlichtweg die europäischen Gesetze ignoriert. Dazu haben wir 16 Einzelfälle exemplarisch herausgegriffen. Das reicht von entfernten Daten, die weiter gespeichert wurden, bis hin zu der von Facebook eingesetzten Datenschutzrichtlinie, die vollkommen vage, widersprüchlich und unverständlich ist.

Wie beurteilen Sie die Tatsache, dass die irische Behörde auf Basis Ihrer Vorwürfe nun Ermittlungen eingeleitet hat? Und was könnte diese konkret unternehmen?

Wir sind sehr positiv überrascht. Die Behörde wird sogar eine Betriebsprüfung im Hauptquartier von Facebook in Irland machen – das ist schon sehr intensiv. Die Behörde kann nach irischem Recht eine „Enforcement Notice“, also einen Bescheid ausstellen, der vorgibt, was Facebook ändern muss. Wird dieser nicht befolgt, gibt es bis zu 100.000 Euro Strafe und vor allem einen riesigen Imageschaden. Facebook kann so einen Bescheid nur noch vor Gericht anfechten und würde dann der irischen Behörde gegenüberstehen.

Was könnte der Grund dafür sein, dass erst eine Gruppe von Jura-Studenten aktiv werden muss, um Datenschutzänderungen bei Facebook im Sinne der Nutzer einzufordern? Sollte dies nicht eigentlich die Aufgabe der zuständigen staatlichen Behörden sein?

Ja, ich habe das schon mit dem zotteligen Grünen verglichen, der in den 1960ern im Fluss die Abwässer herausfischen musste, damit die Behörden etwas gegen so manche Fabrik unternehmen. Im Datenschutz gibt es leider keine wirklich flächendeckende und aktive Kontrolle durch die Behörden. Am ehesten gibt es so etwas in Deutschland, aber selbst dort sind die Budgets zu klein, um wirklich Beamte zu den Firmen zu schicken. In den anderen EU-Ländern schaut es noch trister aus. Auch die US-amerikanischen IT-Unternehmen haben daher hauptsächlich Angst vor den Deutschen – aber auch die ist begrenzt.

Denken Sie, dass es kurzfristig realistische Chancen gibt, dass Facebook die angemahnten Verstöße gegen den Datenschutz ausräumen wird? Oder wird Ihre Initiative eher dazu beitragen, das öffentliche Problembewusstsein zu schärfen und mittel- bis längerfristig den Druck auf den Weltkonzern zu erhöhen?

Ich denke, dass das öffentliche Problembewusstsein schon da ist. Vielleicht nicht im vollen Umfang. Aber im Prinzip weiß jeder, dass Facebook eine Datenkrake ist. Das Problem ist meiner Meinung nach, dass es klare Gesetze gibt und die Behörden trotzdem mit Facebook „verhandeln“. Stellen Sie sich vor, jeder Falschparker könnte mit den Behörden erst mal verhandeln und hätte noch die Chance, woanders zu parken. Ich glaube nicht, dass sich irgendwer noch an Parkverbote halten würde. Daher würde ich sagen, dass wir das Problembewusstsein bei der Durchsetzung der Gesetze schärfen müssen. Zum Glück hat der irische Datenschutzkommissar nun wirklich sehr offensiv den Fall aufgenommen und räumt den Anzeigen gegen Facebook höchste Priorität ein. Zudem ist hier nun die tatsächlich zuständige Behörde am Werk und nicht irgendeine. Ich schätze die Chancen derzeit daher weitaus besser ein als noch vor einem Monat.

Sie konzentrieren sich mit Ihren Beschwerden auf Facebook. Sehen Sie auch bei Konkurrenzangeboten wie Google+ einen Handlungsbedarf ? Oder ist Facebook der böse Feind und alleinige Zielscheibe?

Ich habe mir Google+ bisher nur grob angesehen. Auf den ersten Blick scheint es, dass es das gleiche in Grün ist wie Facebook. Datenschutzrechtlich kommt hinzu, dass Google nicht nur die Daten aus dem sozialen Netzwerk hat, sondern diese z.B. auch mit den Daten aus Suchanfragen, YouTube oder der Google-Werbung verknüpfen kann. Das ist noch mal viel intensiver. Der Nutzer geht einen Vertrag mit Google USA ein, weshalb das Unternehmen in Europa eher nicht greifbar ist.

Und wie sieht das bei Facebook aus? Schließlich befindet sich deren Firmenzentrale auch in den USA. Und wenn es zu Verbesserungen beim Datenschutz kommen sollte: Wird Facebook diese auf Europa beschränken?

Alle Nutzer außerhalb der USA und Kanada haben einen Vertrag mit „Facebook Ireland Ltd“ mit Sitz in Dublin (Irland). Das bedeutet, dass uns die Konzernmutter in den USA vollkommen egal sein kann. Die deutschen Behörden sehen das leider anders, weil damit alle Befugnisse in Irland liegen, was für sie einen Machtverlust bei einem wichtigen Thema bedeutet. Aber Facebook und auch die irische Behörde haben diese rechtliche Einschätzung bereits geteilt. Die meisten IT-Unternehmen wollen weltweit einheitliche Systeme, daher wird eine Verbesserung vermutlich auch Bürgern in den USA und Kanada zugutekommen.

Das Management von Facebook hat angeblich mit Ihnen Kontakt aufgenommen und will persönlich mit Ihnen über die Vorwürfe sprechen. Gibt es schon einen konkreten Termin für ein Gespräch? Was erwarten Sie sich davon?

Ich erwarte mir nichts davon, daher habe ich auch gesagt, dass sie gerne auf einen Kaffee nach Wien kommen können. Mir wurde mitgeteilt, dass sie in den kommenden Wochen nach Wien fliegen wollen. Ich gehe davon aus, dass das nur ein Austausch von beiderseits bekannten Argumenten wird. Lustig könnte es trotzdem werden.

In Schleswig-Holstein hatte zuletzt Thilo Weichert vom Unabhängigen Landeszentrum für Datenschutz (ULD) mit der Forderung für Wirbel gesorgt, den „Like-Button“ von Facebook auf Webseiten zu verbieten. Ab Oktober sollen gar Bußgelder von bis zu 50.000 Euro gegen Webseitenbetreiber verhängt werden. Was halten Sie davon?

Ich sehe das rechtlich genauso wie Herr Weichert. Er dürfte die Gesetze nach dem Wortlaut auslegen und nicht so lange biegen, bis die Konzerne tun können, was sie wollen. Leider ist das nur bei wenigen Behörden die Praxis. Ich hätte wohl etwas diplomatischer agiert und auf die (alte) „Sharer“-Funktion von Facebook verwiesen, die auf Link-Basis funktioniert und daher datenschutzfreundlich ist. Dabei wird der Nutzer erst nach dem Klick auf einen Button auf facebook.com weitergeleitet. Facebook hat leider die Dokumentation dafür vom Netz genommen. Aber man findet die Dokumentation auf vielen Webseiten. Auf unserer Webseite haben wir auch diese alte Funktion verwendet.

Ihre Initiative hat eines in jedem Fall schon erreicht: mediale Aufmerksamkeit. So wird über Sie beispielsweise am kommenden Donnerstag in der ARD-Sendung Monitor berichtet. Planen Sie über öffentliche Auftritte hinaus auch weitere Aktionen bzw. Maßnahmen, um Facebook eine Verbesserung des Datenschutzes abzuringen?

Ich bin Jurist und daher eher an einer handfesten rechtlichen Lösung als an viel Tumult interessiert. Natürlich hilft mediale Aufmerksamkeit aber auch dabei, die Behörden zum Hinsehen zu ermutigen. Leider ist aber wegen der „Like-Button“-Diskussion das Thema in Deutschland derzeit besetzt und wir sind im Vergleich zu Österreich nur wenig in den Medien präsent, obwohl unsere Aktion ein Vielfaches tiefer geht als dieser eine Knopf.

Nutzen Sie selbst Facebook?

Ich nutze es gerne und folge hier der Devise „verbessern statt verweigern“. Warum sollen wir als Nutzer uns gute Tools wie soziale Netzwerke von Konzernen zerstören lassen? Ich teile Informationen nur mit Freunden und bin schwer zu finden. Außerdem habe ich mit ein paar Scripts, die man im Netz leicht findet, meine Pinnwand und alle Daten gelöscht, die nicht wirklich notwendig sind. Mehr kann man als einzelner Nutzer vermutlich nicht tun. Leider hat sich nach unserem Auskunftsersuchen herausgestellt, dass Facebook viele Daten weiter aufbewahrt – selbst nach dem Löschen.