Facebook löscht nicht zuverlässig – Seite 1

Seit drei Jahren ist Max Schrems Mitglied bei Facebook. Der Jurastudent aus Wien wollte nun wissen, welche Daten das Unternehmen über ihn in dieser Zeit gesammelt hat. Es hat ihn einige Mühe gekostet, diese Daten zu bekommen – dafür bekam er mehr, als er wollte.

Schrems ist Initiator der Gruppe "Europe versus Facebook" . Der 23-Jährige will das Netzwerk zu mehr Transparenz bewegen, zu mehr Mitbestimmung durch die Nutzer, und zu größerer Datensparsamkeit. Er hat Facebook sogar angezeigt – 22 Mal. Die Anzeigen hat er beim irischen Datenschutzbeauftragten eingereicht. Der ist zuständig, weil europäische Facebook-Mitglieder laut Nutzungsbedingungen eine Vereinbarung mit der Firma Facebook Ireland Limited eingehen.

Um die Forderung nach Transparenz zu untermauern, haben Schrems und seine Mitstreiter ihre Nutzungsdaten von Facebook eingefordert. Laut Artikel 12 der Europäischen Datenschutzrichtlinie haben sie das Recht dazu.

Dem Journalisten und Blogger Richard Gutjahr hat Schrems erklärt, wie genau er die Herausgabe der Daten erreicht hat. Zunächst muss man das entsprechende Antragsformular finden. Es sei so gut versteckt, "dass es quasi nicht gefunden werden kann", schreibt Gutjahr. Er hat deshalb den Link veröffentlicht: https://www.facebook.com/help/contact.php?show_form=data_requests

Die Angaben im Formular müssen korrekt sein und denen im Facebook-Profil entsprechen. Wer falsche Angaben im Profil hat, muss diese zunächst ändern.

Im Feld "Zitiere das Gesetz, wonach Du Daten beanspruchst" sollen sich die Antragsteller auf Artikel 12 der Europäischen Datenschutzrichtlinie berufen. Gutjahr und Schrems empfehlen, "Section 4 DPA + Art. 12 Directive 95/46/EG" einzutragen. "DPA" ist ein britisches Gesetz namens "Data Protection Act" von 1988.

Erst eine Drohung mit einer Beschwerde bei der Datenschutzbehörde führte zum Erfolg

Dann müsse noch eine eingescannte Farbkopie oder ein Foto des Personalausweises hochgeladen werden, damit nicht Dritte die Daten eines beliebigen Facebook-Mitglieds anfordern können.

Dass Facebook daraufhin sofort die Daten herausrückt, ist keinesfalls sicher. Schrems musste nach einigen E-Mails des Unternehmens, in denen er abgewimmelt werden sollte, erst mit einer Beschwerde bei der irischen Datenschutzbehörde drohen. Nach spätestens 40 Tagen muss Facebook die Daten aber herausgeben.

Unsichere Übermittlung

Der Jurastudent bekam eine CD-ROM mit seinen Daten. Per Post. Diese waren weder verschlüsselt noch anderweitig geschützt.

Abgesehen von der unsicheren Übermittlung dieser Datensammlung überraschte auch deren Inhalt: Das PDF-Dokument, das auf der CD-ROM gespeichert war, hätte ausgedruckt 1.200 DIN-A4-Seiten ergeben. Aufgelistet waren unter anderem Login-Daten, Browser-Infos, Ortsangaben, Status-Posts und Chat-Protokolle. Unter den angegebenen Daten waren auch solche, die Schrems nach eigener Auskunft längst gelöscht hatte. Mehrere seiner Anzeigen beziehen sich darauf, dass Facebook offenbar Daten nicht zuverlässig löscht, auch wenn Nutzer das wollen.

Gutjahr und andere rufen nun dazu auf, es Schrems gleichzutun und Facebook mit den Anfragen nach der Herausgabe der eigenen Daten unter Druck zu setzen.