Internet-Law

Onlinerecht und Bürgerrechte 2.0

27.3.12

Wie Facebook gegen das Datenschutzrecht verstößt

Facebook hat vor kurzem eine Timeline (Chronik) eingerichtet, in der die verschiedensten Aktivitäten eines Facebooknutzers öffentlich – oder auch eingeschränkt, wenn man die standardmäßigen Privatsphäreneinstellungen entsprechend abändert – angezeigt werden. Um beobachten zu können, was diese neue Chronik per default so alles preisgibt, habe ich meine Privatsphäreneinstellungen bewusst unverändert gelassen und es ganz gezielt vermieden, irgendeinen Bestätigungsbutton anzuklicken.

Die Preisgabe der Information, dass ich beispielsweise etwas in die Gruppe “Netzpolitik” poste, erscheint mir naheliegend, zumal ich ja möchte, dass das gelesen wird. Dass in meiner Chronik allerdings auch Einträge erscheinen wie “Thomas hat einen Artikel gelesen.”, einschließlich des Links auf den gelesenen Artikel, ist weniger harmlos. Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt. Im konkreten Beispielsfall hatte ich in der Facebook-Gruppe “Netzpolitik” auf einen Link geklickt, der zu einem Artikel des britischen Guardian führte.

Die Preisgabe dieser Information ist ohne meine ausdrückliche Einwilligung allerdings datenschutzwidrig und verletzt grundsätzlich auch mein allgemeines Persönlichkeitsrecht. Denn ehrlich gesagt, möchte ich weder die Allgemeinheit noch meine Facebook-Freunde ständig darüber informieren, was ich online lese. Auch wenn Facebook mittlerweile bei den Privatsphäreneinstellungen relativ viele Möglichkeiten anbietet, lässt sich speziell der genannte Aspekt wohl auch nicht einzeln deaktivieren. Man kann diesen Eintrag nur nachträglich aus der Chronik ausblenden. Wer nur die Einstellung gewählt hat, dass seine Postings öffentlich sein sollen, muss noch lange nicht damit rechnen, dass er damit auch in die Preisgabe der von ihm angeklickten Links einwilligt.

Bereits der Umstand, dass Facebook das gesamte Nutzungsverhalten eines jeden Facebooknutzers lückenlos aufzeichnet, verstößt gegen das Datenschutzrecht und zwar selbst dann, wenn der Nutzer den Datenschutzbestimmungen von Facebook ausdrücklich zugestimmt haben sollte. Denn der Nutzer wird von Facebook erst gar nicht darüber informiert, dass sein gesamtes Nutzungsverhalten lückenlos getrackt wird und damit Bewegungsprofile erstellt werden.

Die Zustimmungserklärung, die Facebook versucht den Nutzern unterzujubeln, entspricht ohnehin nicht den Anforderungen von § 4a BDSG. Das bedeutet, dass kein deutscher Nutzer von Facebook den Datenschutzbestimmungen in rechtswirksamer Weise zustimmen wird oder zugestimmt hat. Das ist allerdings ein Umstand, der Facebook wenig zu kümmern scheint.

Facebook verstößt weiterhin konsequent gegen deutsches und europäisches Datenschutzrecht, an das es allerdings gebunden ist.

posted by Stadler at 11:50  

14 Kommentare »

  1. Collusion versucht zu visualisieren, wer den Nutzer wobei trackt:
    http://collusion.toolness.org/
    Das ist schon ein ganz schön enges Netz, wenn man mal ein bisschen herumgesurft ist. Und wenn Facebook der Ausgangspunkt des Surfens (z.B. zum Guardian) ist, dann steckt es natürlich mitten drin.

    Comment by Erbloggtes — 27.03, 2012 @ 11:58

  2. Solange es für Facebook keine echten Konsequenzen hat (z.B. Facebook für illegal in DE erklären), sondern nur über Symptome gelabert wird, kann Facebook und Co. tun und lassen was sie wollen.

    Und wenn man überlegt, dass die USA als auch deren NSA besonders seit dem September damals, ein Interesse daran haben könnten, die Daten aller Menschen lückenlos zu erhalten, dann sieht man fast schon ein System dahinter.

    Das würde sich dann zeigen, wenn heraus kommen würde, ob sich die Amerikanische Regierung in Europa dafür stark macht, dass der Datenschutz nicht gegen Facebook und Co. vorgeht, sondern nur auf Nebenschauplätzen stattfindet (Blogs und so).
    Soweit ich mich erinnere, gab es schon eine Einflussnahme in der Art.
    Aber das ist nur Spekulation, würde aber wie die Faust aufs Auge passen.

    Und:
    Hatte ich es nicht so kommen sehen? :-)
    Der Artikel beschreibt einige meiner wichtigsten Argumente, warum ich raus aus Facebook bin.
    Meine Aussage, dass Facebook nur eine Sprache versteht, nämlich mit den Füßen abzustimmen (“und tschüss!”), statt an den Symptomen herum zu doktorn, wird immer mehr bestätigt.
    Nur meinen die Meisten, sie könnten sich den Schritt nicht leisten.

    Und gerade gestern musste ich dem Töchterchen erklären, warum Facebook evil ist und sie die Mobiltelefon APP nicht nutzen soll und habe ihr gezeigt, wie Facebook Tracking-Cookies ablegt und uns überall verfolgt.
    Dazu passt natürlich, dass Google die Cookie-Blocker mancher Browser abgeschaltet hatte.
    Und dazu passt auch, dass Google den momentan vielleicht besten Browser bereit stellt.
    Und dazu passt, dass unser Datenschutz immer noch auf der Stufe steht, ob eine IP personenbezogen sei oder nicht.
    Das ist Lichtjahre vom Stand der Technik entfernt.
    Passt aber auch irgendwie zu Deutschland…

    Comment by Frank — 27.03, 2012 @ 12:59

  3. Ich copy und paste links Anstatt sie in FB anzuklicken. Wird meines Wissens bisher noch nicht getrackt. Wäre sicherlich auch ein Overkill für die paar Paranoiker die das machen. :)

    Comment by Martin — 27.03, 2012 @ 13:20

  4. Der Guardian bietet auch eine App für Facebook an, über die man Artikel lesen kann. Diese zeigt dann (über die App) gelesene Artikel an. Der App muss man allerdings erst zustimmen.

    Ich hab mal auf einen Link geklickt, bei dem es so aussah, als führe er zum Guardian selbst. Es kam aber die Aufforderung, die App zuzulassen. Den Artikel habe ich dann auch nicht auf der Seite des Guardian gelesen, sondern auf Facebook. (Zumindest war das Layout nicht das eigentliche des Guardian, sondern eher im Stil von Facebook gehalten.)

    Von daher wäre es interessant, wie das bei Deinem Link war…

    (Könnte natürlich auch sein, dass Facebook alle Links, die zum Guardian gehen, zu der App umleitet. Der man aber immer noch zustimmen müsste.)

    Comment by Frank (der andere) — 27.03, 2012 @ 13:31

  5. @3. Martin

    Doch, das wird auch getrackt.
    Es geht ganz einfach:
    Facebook hat überall seine aktiven “Gefällt mir” Buttons und hinterlässt zuvor bei jedem Besuch seiner Seite das Tracking-Cookie. Man ist damit nie abgemeldet bei Facebook, sondern nur der Status “Eingeloggt-ausgeloggt” wird im Cookie festgehalten. Denn abgemeldet würde bedeuten, dass auch die Tracking-Cookies gelöscht werden müssten.

    Nun, Facebook kann dadurch “sehen”, dass Martin auf der Seite xy war. Und sollte im Link ein Tracking-Code enthalten sein (z.B. ?fb=94rhg85mn3) oder der Link auf eine präparierte Landingpage zeigen, dann weiß Facebook (und der Seiten-Inhaber) sogar, dass der Link aus Facebook entnommen wurde.

    Und Google weiß vermutlich noch mehr.
    Wer mit Google Chrome surft, wird höchstwahrscheinlich direkt dabei verfolgt. Man muss nur die “Datenerhebnungserklärung” von Google lesen. Es wird prinzipiell alles getrackt und alles zu einer Person zusammengeführt, wenn es technisch geht.

    Man kann dem nur entgehen, wenn man auf seinen Browser achtet (Google umging die Cookie-Sperre bei manchen Browsern), einen Scriptblocker installiert hat, einen Ad-Blocker installiert hat, Cookies nur selektiv erlaubt aber nie generell, einen “permanent-Cookie-Killer” installiert hat, und regelmäßig seine Cookies überprüft und niemals mit Smartphones oder Pads im Internet surft.
    Google trackt zum Beispiel auch Smartphones über das Betriebssystem Android, stand irgendwo in deren Datenerhebungs-Artikel, vielleicht sogar hier im Blog.

    Comment by Frank — 27.03, 2012 @ 13:49

  6. “Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt. Im konkreten Beispielsfall hatte ich in der Facebook-Gruppe “Netzpolitik” auf einen Link geklickt, der zu einem Artikel des britischen Guardian führte.”

    Ich glaube, diese Konklusion ist falsch. Wenn ich das richtig verstehe, hat in Ihrem Beispiel der Guardian eine App eingebaut, die sie als Guardian-Leser outet.

    Wenn ich das richtig verstehe sind das Open-Graph-Anwendungen.
    http://www.futurebiz.de/artikel/f8-berlin-open-graph-apps-richtig-konzipieren/

    http://www.futurebiz.de/artikel/facebook-open-graph-zweite-app-welle-soll-heute-vorgestellt-werden/

    https://developers.facebook.com/docs/opengraph/

    Ich glaube, es ist nicht nützlich, wenn Facebook mit 400 Millionen Usern weltweit was neues ausprobiert, dass man dann gleich mit falschen Konklusionen und der großen Koile des kleinen deutschen BDSG um sich haut.

    Ich finde angemessener wäre es, wir schauen uns das neue Feature an, wie es wirkt, was die Mechanismen sind, ob die vielen Usern gefallen, ob die Nachteile haben, welche rechtlichen Seitenwirkungen die in einzelnen Kleinstaaten haben (Deutschland oder Kiel-City) und dann können wir es ggf. endlich angehen, bei der UN die Regeln für weltweit tätige Unternehmen weltweit aufstellen und durchsetzen.

    Grundsätzlich aber sollte jemand, der besorgt ist um seine Daten, eine weltweite Veröffentlichungsplattform wie Facebook oder das Web vollständig meiden. Wenn manche Features vielen Leuten nicht gefällt und viele Gesetzgeber das dann aufnehmen, wird das keine weite Verbreitung erfahren. Ich neige ja auch dazu, mich als Mittelpunkt der Welt zu sehen, aber bei 800 Mio Usern bin ich das nicht wirklich, wahrscheinlich :-)

    Das hysterische Gegackere von Frau Aigner wegen Streetview hat sich auch nicht durchgesetzt. 400.000 Widersprüche, die dann durch Panoramino Fotos oft noch umgangen wurden. Bei Microsoft waren des dann nur noch ein Zehntel so viele Widersprüche.

    Bleibt als Merksatz: Apps zu nutzen ist manchmal gefährlich. Übeltäter war wohl aber eher der Guardian. Das ist ja kein Standardfeature, dass Facebook ausserhalb liegende Zeitungsartikel monitort. Ob wohl ich auch ein großer Fan von Verschwörungstheorien bin. Wenn Sie gut gemacht sind.

    Comment by Jan Dark — 27.03, 2012 @ 13:57

  7. @4. anderer Frank

    Im Internetmarketing werden oft Meldungen mit speziellen Links versehen, die auf Landingpages zeigen. Die Links gibt es oft nirgends woanders zu sehen ausser dort, wo die Aktion stattfindet. Folglich ist jeder Klick auf die Seite ursprünglich durch diese Aktion ausgelöst worden.

    Auch bei Papierwerbung durch Flyer wird das gerne gemacht, dass man bestimmte Seiten nur auf diesen Flyern veröffentlich. Per Menü oder Sitemap sind diese Seiten nicht auffindbar. Dadurch sieht man die Response durch die Flyerwerbung.
    Auch Affiliate kann man so ganz nett steuern (wer bringt wie viel ein).

    Und seit der Mobilmachung des Netzes werden immer mehr spezielle Seiten für Mobile Geräte erzeugt, anstatt nur das Design anzupassen.
    Man hat so eine saubere Trennung zwischen Mobil und PC. Nur macht das viel Arbeit und das kann sich nicht jeder leisten.

    Comment by Frank — 27.03, 2012 @ 13:57

  8. Guardian? Das hat der andere Frank oben schon gut beschrieben. Das sind Artikellinks, die aus dem Guardian-Recommender stammen und erstmal auf die Guardian-Facebook-App zeigen. Wer das nicht ordentlich liest, was dann dort erscheint, ist mit im Boot. Und das steht da auch, völlig unabhängig davon, ob Facebook sonst noch Möglichkeiten hat, sowas zu tracken.

    Übrigens landet man bei dieser Guardian-App auch beim Artikel, wenn man die App nicht zulässt, also den Ablehnen-Button klickt. Nur fair.

    Die Facebook-Chronik hat bei mir ehrlich gesagt kein einziges Datum veröffentlicht, das nicht schon vorher öffentlich war. Nur die Präsentation hat sich geändert.

    Comment by Hans-Werner — 27.03, 2012 @ 14:28

  9. @5 Frank

    Wenn ich so etwas mache, kannst du davon ausgehen, dass ich auch andere Maßnahmen ergreife. Dazu zählen ein Separates Browserprofil extra für fb, welches immer im Privaten Modus gestartet wird und eine Reihe von Addons: AdblockPlus, BetterPrivacy, CookieMonster, NoScript, RequestPolicy, RefControl

    Und damit bleibt nur entweder direkt im JavaScript von Facebook meine Mausbewegungen zu verfolgen und auszuwerten oder die URL die ich kopiere zu manipulieren. Das würde mir zum einem auffallen und zum anderen ein mitwirken aller Seitenbetreiber voraussetzen. Ist beides bisher nicht gegeben.

    Comment by Martin — 27.03, 2012 @ 14:35

  10. Der Einwand mit der Guardian-App ist doch juristisch völlig unerheblich. Aus Nutzersicht klicke ich auf einen link, es öffnet sich ein Artikel des Guardian und dieser Vorgang wird anschließend in meiner Chronik dargestellt.

    Die Frage ist dabei allenfalls, ob neben Facebook auch der Guardian gegen das Datenschutzrecht verstößt.

    Comment by Stadler — 27.03, 2012 @ 15:09

  11. @10 Stadler

    Die Conclusio aber bleibt falsch, dass wenn der Guardian die neuen Möglichkeiten nutzt, dass man dann auf Facebook schließen könne:
    “Denn damit steht jedenfalls auch fest, dass Facebook das Verhalten jedes Nutzers vollständig trackt und anschließend bestimmte Aktivitäten in die Chronik (Timeline) des Nutzers einstellt.”

    Die App sorgt offenbar dafür, dass der Guardian an Facebook Daten von Ihnen überträgt, die er Facebook in ihre Timeline einstellt.

    Das ist wie mit den LikeIt-Buttons: Wenn heise die zweistufig einbindet, erfährt Facebook beim Ansehen der ersten Stufe nichts davon und kann es auch nicht tracken.

    Comment by Jan Dark — 27.03, 2012 @ 15:15

  12. Da kommt noch mehr:
    http://www.20min.ch/digital/news/story/Diese-Person-als–Feind–hinzufuegen-17868478

    Comment by Jan Dark — 27.03, 2012 @ 20:51

  13. … ich lasse mich lieber von Facebook tracken als von der Regierung. Die Vorstellung, dass gutmeinende Politiker aus .de oder .eu jetzt das Internet für ihren Regulierungswahn entdecken, erfüllt mich mit Grauen. Wie schlimm das werden kann, können wir gerade in Großbritannien verfolgen.

    Comment by Christopher — 28.03, 2012 @ 17:52

  14. …wird mich, ab 1.4.12 wohl dazu bewegen, unsere Konten bei FACEBOOK zu löschen…die Chronik mit soviel Personendaten mag ich nicht öffentlich…

    Hab das beim neuen Konto meiner Frau testhalber mitlaufen lassen. Wenn das dann noch alles in den Deepfreezer-Rechenzentren am Polarkreis stehen soll, wird G. ORWELL auf Wolke 7 Samba tanzen, da seine Version von 1984 nun vollendet Realität ist !!!

    AVE

    Comment by Werner — 29.03, 2012 @ 23:17

RSS-Feed für Kommentare zu diesem Beitrag.

Hinterlasse einen Kommentar