Facebook dreht Gesichtserkennung in der EU ab

Die irische Datenschutzbehörde, die für Facebooks internationale Geschäftszentrale in Dublin zuständig ist, hat heute ihren zweiten, finalen Prüfbericht (PDF) über das Online-Netzwerk vorgelegt. In diesem wurde dokumentiert, ob Facebook Irland die Empfehlungen der Datenschützer umgesetzt hat, die im Dezember 2011 vorgeschlagen wurden. Der Grundtenor des Berichts: Die irische Behörde zeigt sich “zufrieden".

“Es hat sich gezeigt, dass die meisten Empfehlungen zu unserer vollen Zufriedenheit umgesetzt wurden. Das betrifft vor allem Punkte wie die Transparenz für den Nutzer, bessere Kontrolle über die Einstellungen, klare Fristen für die Löschung von Daten und verbesserte Möglichkeiten zur Löschung von Daten, das Recht der Nutzer, auf ihre eigenen Daten zuzugreifen und die Kapazitäten von Facebook Irland, die irischen und europäischen Datenschutzanforderungen zu erfüllen", schreibt Deputy Commissioner Gary Davis in dem Bericht. Einige Punkte wie zur Funktion der Tag-Vorschläge hätte Facebook sogar übererfüllt. Auch mit mit dem Verbot von Pseudonymen wäre man einverstanden, weil sie dem Kinderschutz dienen würden.

Interessant ist die Entscheidung von Facebook betreffend der Gesichtserkennung: Die Funktion wird für neue Nutzer abgedreht, bis 15. Oktober will man außerdem alle bis dato gesammelten Daten löschen und dann die Behörde fragen, sollte es die Funktion wieder aufdrehen. Die Gesichtserkennung funktioniert bis dato so, dass Nutzer bei hochgeladenen Fotos Vorschläge bekamen, abgebildete Personen zu markieren und damit das Foto mit deren Facebook-Account zu verknüpfen. Den entscheidenden Klick zum Taggen mussten die Nutzer selbst setzen, im Hintergrund erkennt Facebook abgebildete Menschen aber ganz klar - sonst könnte es keinen Vorschlag liefern.

Kritische Punkte nicht umgesetzt
Eine “kleine Zahl von Punkten" hätte Facebook noch nicht umgesetzt, so Davis weiter. Diese betreffen die bessere Information der neuer Nutzer, die Löschung von Daten von EU-Bürgern, die über Social Plugins erhoben werden, das vollständige Löschen von Accounts sowie das Werbe-Targeting, basierend auf Begriffen, die als sensible persönliche Daten eingestuft werden können. Deswegen sei es notwendig, weiter mit der Firma zusammenzuarbeiten, um auch in diesen Punkten Verbesserungen zu erzielen. Diese offenen Punkte sollen in den nächsten vier Wochen geklärt werden. Kommt Facebook diesen Empfehlungen nicht nach, könnte es eine Strafe nach irischem Recht von bis zu 100.000 Euro geben. Außerdem würden neu eingeführte Funktionen und Dienste neue Fragen aufwerfen - etwa das Monitoring von auffälligem Verhalten von Nutzern zum Schutz junger User.

Insgesamt hätte Facebook volle Kooperation gezeigt, tägliche E-Mails, Telefonate und Videokonferenzen hätten garantiert, dass Facebook den Empfehlungen der Datenschutzkommission nachkommt, schreibt Davis. Die Article 29 Working Party der EU hätte die Behörde bei der Erstellung des Berichts beraten. Er zeigte sich in einer Konferenzschaltung zuversichtlich, dass Facebook die offenen Punkte erfüllen werde und wahrscheinlich keine Strafen fällig werden würden. Interessant ist hier, dass Facebook-Kläger Max Schrems eine ganz andere Geschichte zu erzählen hat: Er hat wegen der mangelnden Kooperation mit der irischen Behörde bereits öffentlich seinen Unmut kundgetan.

Max Schrems nicht zufrieden
In einer ersten Reaktion zeigte sich Max Schrems von der Wiener Studenteninitiative europe-v-facebook, die 22 Anzeigen wegen Datenschutzverletzungen gegen Facebook eingebracht hat, enttäuscht über den Prüfbericht. “Heute haben wir eine weitere Lektion in der Geschichte “Bürger gegen Tech-Giganten" gelernt", schreibt er in einer Aussendung. “Während normale Menschen haften müssen, wenn sie das Gesetz brechen, scheint Facebook, was Datenschutzgesetze angeht, immun zu sein." Obwohl Facebook nicht allen Empfehlungen gefolgt sei und noch Arbeit erledigen muss, hätte es keine Konsequenzen gegeben. Die Datenschutzbehörde würde den Fall so darstellen, als hätte Facebook in Sachen “Privacy" einen tollen Job getan, doch das Gegenteil sie der Fall. "Die gute Sache ist, dass das Verfahren noch nicht abgeschlossen ist, wir werden sehen, wie die Sache ausgehen wird. Wir werden den nächsten Schritt tun und eine formale und rechtlich bindende Entscheidung verlangen."

Bis dato hätte Facebook die Empfehlungen der irischen Datenschutzbehörde, die nicht rechtsverbindlich sind, eigentlich eher ignoriert. Schrems listet einige Beispiele, die dem irischen Bericht widersprechen:
- “Statt einer neuen, verständlicheren Datenschutzrichtlinie gab es ein minimales Facelift, welches Facebook noch mehr Rechte an den Nutzerdaten einräumte. Für einen Normalnutzer bleibt die Richtlinie unübersichtlich und unverständlich. Die Zustimmung bleibt weiter ungültig."
- “Statt klaren Fristen für die Löschung von Daten gibt es nur ein paar vage Aussagen von Facebook."
- “Facebook sagt noch immer nicht, für was gewisse Daten verwendet und erhoben werden."
- “Auskunftsersuchen (Recht auf Kopie aller Daten) wird noch immer nicht vollständig nachgekommen. Viele Daten werden unterschlagen, durch technische Fehler gibt es weiter Lücken."

Anzeigen sind nicht vom Tisch
Für Facebook ist die Sache aber noch nicht ausgestanden. Die 22 Anzeigen, die Schrems gegen Facebook eingebracht hat, sind immer noch offen. Die Behörde hat Schrems in einem E-Mail angekündigt, eine getrennte formelle Entscheidung bezüglich der Anzeigen fällen zu wollen. Schrems: „Es ist leider unwahrscheinlich, dass der heutige Bericht weitere Fortschritte bringt. Wir werden es genau prüfen und jedenfalls eine formelle Entscheidung verlangen. Vermutlich wird uns auch der Weg in die Instanzen nicht erspart bleiben, dafür fallen aber Kosten von über 100.000 Euro an, wofür wir schon Spenden sammeln.“ Nach etlichen Reibereien mit der irischen Behörde sah sich Schrems im Sommer 2012 dazu veranlasst zu sagen, dass ein faires Verfahren gegen Facebook nicht möglich sei (futurezone berichtete).

Mehr zum Thema