Facebook stellt fundamentale Elemente der geplanten EU-Datenschutzverordnung infrage und versucht offenbar, die Haltung auch der Politik nahezubringen. Das Unternehmen droht mehr oder weniger offen damit, die Zusammenarbeit mit den europäischen Datenschutzbehörden einzuschränken und weniger in Europa zu investieren, sollte die Verordnung so wie geplant in Kraft treten. Das geht aus einem Lobbypapier hervor, das die Initiative Europe versus Facebook veröffentlicht hat.

Zehn Seiten umfasst die Stellungnahme von Facebook an die irische Regierung, verschickt wurde sie offenbar im März. Dass sie nun veröffentlicht wurde, ist einem Gesuch des Wiener Jurastudenten Max Schrems zu verdanken. Der Gründer der Initiative Europe versus Facebook versucht seit Längerem, Facebook zu mehr Datenschutz zu bewegen .

Schrems hat im September beim irischen Justizministerium eine Anfrage nach dem irischen Informationsfreiheitsgesetz eingereicht. Er bat darum, jegliche Korrespondenz zwischen Facebook und der Behörde seit 2010 sehen zu können. Als Antwort bekam er 40 Seiten voller E-Mails und Notizen von Treffen zwischen Vertretern der Behörde und Facebook. Darunter befand sich auch das Lobbypapier.

Kein "privacy by default"

Die Argumente, die das Unternehmen darin vorbringt, sind aus Sicht des Konzerns durchaus nachvollziehbar. So lehnt Facebook das Prinzip "privacy by default" rundweg ab. Dieses Prinzip besagt: Die Standardeinstellungen zum Beispiel eines Profils im sozialen Netzwerk müssen immer die datenschutzfreundlichsten sein. Es ist eines der Konzepte, mit denen die Europäische Kommission für einen einheitlichen Datenschutz in ganz Europa sorgen will.

Das Prinzip verkenne die spezifische Funktionsweise von sozialen Netzwerken, schreibt Facebook: "Die meisten Menschen melden sich an, um Dinge zu teilen und sich zu vernetzen." Restriktive Grundeinstellungen wären da nur hinderlich.

Manche Kritik an dem Verordnungsentwurf klingt gar wie eine kaum verhohlene Drohung. Bestes Beispiel: Facebook deutet an, dass die von der EU-Kommission angestrebten Sanktionen bei Datenschutzverstößen – bis zu zwei Prozent des Jahresumsatzes – zu weniger Investitionen in Europa führen könnte. Firmen wie Facebook seien angesichts solcher Sanktionsmöglichkeiten auch eher nicht mehr gewillt, so "offen" mit Datenschutzbehörden zusammenzuarbeiten, wie das bislang der Fall gewesen sei, heißt es in dem Papier.

Ziemlich dreist ist die Forderung, Datenschutzbehörden in Europa sollten ihre Kooperationsmöglichkeiten untereinander nicht zu weit fassen, denn das könne zu Rechtsunsicherheit für Unternehmen führen. Konkret lehnt Facebook die Amtshilfe nach Artikel 55 bis 57 im Entwurf der Datenschutzverordnung ab. Die Paragrafen legen fest, dass sich Datenschutzbehörden untereinander in Verfahren helfen können. Facebook aber würde offensichtlich gern weiterhin nur mit der irischen Datenschutzbehörde zu tun haben. Denn die gilt als ausgesprochen Facebook-freundlich . Beziehungsweise aufgrund ihrer geringen Größe als überfordert, wie Schrems berichtet.

Facebook fordert Recht auf Erinnern

Das "Recht auf Vergessen" bezeichnet Facebook sogar als gefährlich für die freie Meinungsäußerung. Die Verordnung sieht in Artikel 17 vor, dass Nutzer eines Onlinedienstes erstens die Löschung von personenbezogenen Daten verlangen können. Und zweitens muss das betreffende Unternehmen auch Dritte, die diese Daten ebenfalls verarbeitet haben, darüber informieren, dass die Daten gelöscht werden sollen. Facebook befürchtet, damit könnten auch seine Nutzer gemeint sein, die Daten anderer Nutzer weiterverbreiten.

Das will Facebook aus verständlichen Gründen nicht kontrollieren und unterbinden müssen. Der Aufwand wäre hoch, gleichzeitig verlöre das Unternehmen im Zweifel viele Daten. Deshalb fordert man von den Parlamentariern denn auch ein "Recht Anderer auf das Erinnern".

Nicht jede Datenpanne melden?

Außerdem kritisiert Facebook den Artikel 31 des Verordnungsentwurfs. Der regelt die Meldung von "Verletzungen des Schutzes personenbezogener Daten" – also von Datenpannen. Facebook geht die Pflicht, jede Datenpanne innerhalb von 24 Stunden an die zuständige Datenschutzbehörde melden zu müssen, viel zu weit. Das Argument von Facebook: Da selbst der kleinste Vorfall gemeldet werden müsste, könne dies die effektive Priorisierung der größten Pannen und Sicherheitslücken behindern. Außerdem würde es die Ressourcen der Datenschutzbehörden zu sehr beanspruchen, und dann müssten diese vom Staat stärker unterstützt werden als bisher.

Abgesehen davon, dass sich die meisten Datenschutzbehörden über eine Aufstockung freuen dürften, schafft Facebook mit solchen Aussagen nicht gerade mehr Vertrauen in seine Dienste. Wenn Facebook nicht in der Lage ist, jede Datenpanne zu melden, dann hat der Konzern offenbar mehr und größere Sicherheitsprobleme, als bisher bekannt.

Thilo Weichert , der Landesbeauftragte für den Datenschutz in Schleswig-Holstein , sagt: "Das Lobbypapier ist indirekt das Eingeständnis, dass Facebook schon heute massiv die Regelungen des europäischen Datenschutzrechtes missachtet, da sich die am Entwurf geäußerte Kritik auf Vorschläge bezieht, die größtenteils heute schon gelten." Und weiter: "Schon mit dem Eingangsstatement, Facebook sei führend bei Transparenz und Zugänglichkeit für den Datenschutz, macht sich das Papier unglaubwürdig. Dem Papier ist an keiner Stelle zu entnehmen, dass und wie es dem Unternehmen in Sachen Datenschutz ernst wäre."

Facebook kommentiert das Lobbypapier nicht direkt, teilt aber mit: Wir begrüßen die Entwicklung hin zu einer Harmonisierung des Datenschutzrechts in Europa, weil das mehr Rechtssicherheit und Vertrauen für die Unternehmen schafft. ... Wir werden weiterhin eng mit Politikern und Regulierungsbehörden zusammenarbeiten und unsere Erfahrungen und Expertise teilen, um zu einer stabilen Regulierung von Privatsphäre und einem florierenden digitalen Sektor beizutragen."