Manchmal muss man sich Fehler eingestehen. So einer ist mir kurz vor Weihnachten passiert, als ich die Story zum Facebook-Bericht der irischen Datenschutzkommission (PDF) mit dem dramatischen und patriotischen Satz „Wiener Studenten zwingen Facebook in die Knie“ titelte. Leider stimmte der Titel gleich in zweierlei Hinsicht nicht: Weder wurde Facebook in die Knie gezwungen, noch wäre die Wiener Studenteninitiative „Europe vs. Facebook“ allein dafür verantwortlich gewesen (sie wird in dem 150-seitigen Bericht aber immerhin 13 Mal erwähnt). Die Initiative von Jusstudent Max Schrems, die 21 Anzeigen gegen Facebook bei der irischen Datenschutzkommission vorgebracht hat, hat sicherlich wesentlich zu der Untersuchung und ihrer Ergebnisse beigetragen. irische Datenschutzbeauftragte Billy Hawkes sagte aber, dass die Initiative nicht der alleinige Grund für die Untersuchung des irischen Firmensitzes gewesen wäre. Und wie auch Schrems´ Initiative selbst auf ihrer Webseite festgehalten hat, hätte man zwar einen ersten Erfolg erzielt, aber „at the same time we think that this only brings Facebook in line with the law for maybe 10%. We are right now fighting for the other 90%.“
Die wichtigsten Änderungen
Facebook hat sich (auf freiwilliger Basis, wohlgemerkt) dazu bereiterklärt, Änderungen in Abstimmung mit der irischen Datenschutzkommission bis Mitte 2012 für alle Nutzer außerhalb der USA und Kanada (ca. 625 Mio. Accounts betroffen) durchzuführen. Darunter etwa:
– Nutzer müssen der Gesichtserkennungs-Funktion auf Fotos erneut zustimmen.
– Aller Informationen über Nutzer und Nicht-Nutzer, die mit “Social Plugins” (z.B. Like Button) gesammelt werden, werden möglichst zeitnah gelöscht.
– Wenn man Facebook Ads anklickt, wird diese Information nur mehr zwei Jahre gespeichert, genrell darf personalisierte Werbung nur mehr eingeschränkt geschaltet werden.
– Nutzer können nicht mehr ohne ihre Zustimmung in eine Gruppe aufgenommen werden.
– Die Daten von Facebook-Freunden dürfen an Apps nur mehr eingeschränkt weitergegeben werden.
– uvm. (siehe auch in diesem Futurezone-Artikel) oder auf der Europe-v-Facebook-Seite
Insgesamt ist in dem Bericht aber sehr viel von „Empfehlungen“ „Einschränkungen“ und „In Betracht ziehen“ zu lesen. Insgesamt ist Facebook mit einem blauen Auge davongekommen, wie Schrems auch in einem Interview mit der ZiB sagt: „Die Datenschutzbehörde hat gemacht, was das irische Recht hergibt. Das irische Recht ist sehr sehr liberal und absoluter Mindesstandard in Europa.“
Die EU ist erst am Zug
Das viel wichtigere Dokument in Sachen Datenschutz kommt aber nicht aus Dublin, sondern aus Brüssel. Denn aus der EU-Kommission ist der Vorschlag für die Überarbeitung des europäischen Datenschutzrechts („General Data Protection Regulation„, PDF) geleakt – und sollte der so bleiben, wie er ist, muss sich Facebook auf harte Zeiten in Europa, seinem zweitwichtigsten Markt, gefasst machen. Denn der Vorschlag von EU-Kommissarin Viviane Reding sieht folgende Punkte vor, die übrigens auch Suchmaschinen wie Google und Online-Shops wie Amazon empfindlich treffen würden:
– Opt-in statt Opt-out: Nutzer müssen ausdrücklich zustimmen, wenn ihre persönlichen Daten für personalisierte Werbung ausgewertet werden. Ich gehe davon aus, dass die Mehrheit dem nicht zustimmen wird, was Facebook in erhebliche wirtschaftliche Schwierigkeiten bringen würde.
– Über Nutzer unter 18 Jahre soll kein Profiling mehr erlaubt sein, d.h. gerade diese große Nutzergruppe kann nicht mehr für personalisierte Werbung herangezogen werden.
– Es soll ein Recht auf Vergessen kommen, d.h. dass man einmal veröffentlichte Texte, Fotos, Videos nachhaltig löschen können muss – auch, wenn die Inhalte von anderen Nutzer weiterverteilt wurden („share“, „Retweet“, etc.) Das ist eine große technische Herausforderung für Firmen wie Facebook und Twitter.
– Nutzer haben ein Recht auf Datenportabilität, d.h. sie sollen ihre persönlichen Daten ganz einfach von A nach B mitnehmen können (z.B. von Facebook zu Google+, Twitter, etc.). Das funktioniert heute noch nicht wirklich, weshalb ein Umsteigen auf neue Anbieter erschwert ist (ein neues Profil anlegen ist sehr mühsam, wenn man nur an Freundeslisten, Fotos, Privatsphäreeinstellungen etc. denkt).
– Datentransfers ins Ausland sollen nur mit Zustimmung der Datenschutzbehörde gemacht werden: Facebook muss deswegen künftig wohl sehr viel Geld in den Aufbau europäischer Datencenter investieren.
– Die EU-Pläne sehen auch strenge Strafen bei Verstößen vor: bis zu fünf Prozent ihrer jährlichen Umsätze. Das ist bei Milliardenunternehmen wie Facebook, Google oder Amazon sehr viel geld und erheblich mehr als die 100.000 Euro, die die irische Datenschutzkommission als Strafe verhängen kann.
Lobbyisten gehen in Stellung
Die EU plant insgesamt also sehr tiefe Eingriffe in die Geschäftspraktiken von Internetfirmen wie Facebook. Das Dokument ist im Dezember ins Internet entkommen, und ich nehme stark an, dass nur wenige Tage später die Lobbyisten von Facebook, Google, Amazon und vielen anderen Firmen in Brüssel aktiv geworden sind. Für Facebook sind dort Richard Allan (Ex-Cisco) und Erika Mann (Ex-SPD) tätig. Somit ist möglich, dass die vorgeschlagene EU-Verordnung noch aufgeweicht wird, da sie ja auch einen wachsenden Wirtschaftszweig erheblich beeinflusst. Außerdem gibt es auch eine Zeitfrage: Bis die Verordnung durch ist und zur Umsetzung kommt, können schnell zwei Jahre vergehen – und was in dieser Zeit im Internet-Business alles passieren kann, weiß heute niemand.