rand_l
PRESSE EN, DE, IT, FR, ES

Verfahren gegen “Facebook Ireland Limited”

 

Seit Jahren wird in Europa über die Unzulänglichkeiten beim Datenschutz auf Facebook berichtet, geschimpft und geredet. Abgesehen von ein paar einzelnen Klagen gab es jedoch bisher keine wirklichen Konsequenzen. Oft wird dies damit begründet, dass Facebook ein amerikanisches Unternehmen ist und daher europäische Gesetze nicht anwendbar wären, doch das stimmt nicht:
 

line 

“Wenn du in den USA oder Kanada ortsansässig bist oder dort deinen Hauptgeschäftssitz hast, stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook, Inc. dar. Anderenfalls stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook Ireland Limited dar.”

(Facebooks Nutzungsbedingungen, Kapitel 18. “Sonstiges”)
 

line 

Irland. Aus Steuergründen hat Facebook einen Sitz in Irland. Damit spart sich Facebook nicht nur viel Geld, sondern es ist auch irisches und europäisches Datenschutzrecht und Konsumentenrecht auf Facebook anwendbar. Facebook hat jedoch seine Nutzungsbedingungen weiter ausschließlich nach amerikanischem Konsumenten- und Datenschutzrecht gestaltet.
 

Behörde. In der Republik Irland ist der irische “Data Protection Comissioner” [Bild] für “Facebook Ireland Ltd.” zuständig. Diese Behörde hat 22 Anzeigen (engl. “Complaints”) von europe-v-facebook.org erhalten. Nach der europäischen Datenschutzrichtlinie ist die Republik Irland verpflichtet Verstöße gegen den Datenschutz entsprechend zu verfolgen, bisher gab es jedoch nur eine rechtlich nicht verbindliche “Untersuchung”.
 

Anzeigen. Der Vorteil von Anzeigen, im Vergleich zu einer Klage, ist, dass dadurch keine direkten Kosten für den Anzeigenden entstehen. In Irland ist das Anzeigeverfahren ein Verfahren zwischen zwei Personen. Beide können die Entscheidung der Behörde vor Gericht bekämpfen. Wir haben uns entschlossen die Anzeigen nach einzelnen Funktionen von Facebook zu teilen, um es den Behörden zu ermöglichen den Überblick zu behalten. Derzeit sind daher 22 Anzeigen in Vorbereitung oder Bearbeitung. Die irische Behörde hat jedoch bis dato alles gemacht um nicht verbindlich darüber zu entscheiden.
 

Untersuchung. Ende Dezember 2011 wurde von der irischen Datenschutzkommission ein erster Bericht zu unseren Anzeigen veröffentlicht. Dieser Bericht schreibt “Facebook Ireland Ltd.” eine große Anzahl von Veränderungen vor. Gleichzeitig ist dieser Bericht nicht rechtsverbindlich und behandelt oft nur wenige Teile der eingebrachten Anzeigen. Facebook hat auch viele Vorschläge später nicht umgesetzt. Außerdem bleiben die Vorschläge der irischen Behörde oft weit hinter dem europäischen Mindestniveau im Datenschutz zurück, wie auch einige andere Datenschutzbehörden festgestellt haben. Wir haben daher den Bericht nicht anerkannt und haben eine formelle Entscheidung beantragt.
 

Transparenz. Alle Anzeigen, Antworten und die meisten Schreiben werden hier veröffentlicht. Gewisse Inhalte müssen aus Gründen des Datenschutzes oder aus strategischen Gründen geschwärzt werden oder können gar nicht online gestellt werden.
 


 

line 


Verfahren gegen “Facebook Ireland Ltd.”

 

1. Anzeigen gegen Facebook (August / September 2011)

01

18-AUG-2011

Pokes (Anstupsen).
Die Daten werden nach dem “Entfernen” von Facebook weiter gespeichert und nie wieder gelöscht.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

02

18-AUG-2011

Schattenprofile.
Facebook sammelt im Hintergrund Daten von Personen,  ohne dass der Betroffene dies bemerkt oder dem zustimmt. Betrifft vor allem Personen ohne Facebook.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

03

18-AUG-2011

Markieren.
Markierungen werden ohne Zustimmung des Users (Opt-In) aktiviert. Der User muss die Daten dann “entfernen” (Opt-Out).
Info: Facebook hat Änderungen angekündigt.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

04

18-AUG-2011

Synchronisieren.
Facebook ‘saugt’ persönliche Daten z.B. mittels iPhone-App oder E-Mail-Import ab und verwendet diese Daten für seine eigenen Zwecke - ohne der Zustimmung des Betroffenen.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

05

18-AUG-2011

Gelöschte Postings.
Postings auf den Seiten der Facebooknutzer werden auch nach dem “Entfernen” weiter gespeichert.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

06

18-AUG-2011

Postings auf fremden Seiten.
Der User kann nicht herausfinden, wer die Daten von ihm auf fremden Seiten hinerlassenen Daten sehen kann.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

07

18-AUG-2011

Messages.
Nachrichten (inkl. Chat-Nachrichten) werden auch nach dem “Löschen” weiter gespeichert. Damit wird die gesamte direkte Kommunikation auf Facebook dauerhaft unlöschbar.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

08

18-AUG-2011

Datenschutzbestimmungen und Zustimmung.
Die Datenschutzbestimmungen sind vage, unklar und widersprüchlich. Nach europäischen Standards ist die Zustimmung ungültig.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

09

18-AUG-2011

Gesichtserkennung.
Die neue Gesichtserkennung ist ein unverhältnis- mäßiger Eingriff in die Privatsphäre der Nutzer. Außerdem fehlen Hinweise und die Zustimmung.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

10

18-AUG-2011

Auskunft mangelhaft.
Die Auskunft, zu welcher Facebook gesetzlich verpflichtet ist, ist in vielen Punkten mangelhaft.
Viele Daten und Informationen fehlen.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

11

18-AUG-2011

Löschen von Markierungen.
Markierungen (z.B. in Fotos), die “Entfernt” werden, werden von Facebook nur deaktiviert.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

12

18-AUG-2011

Datensicherheit.
Facebook sagt in seinen Nutzungsbedingungen, dass es nicht sicherstellen kann, dass Daten sicher sind.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

13

18-AUG-2011

Anwendungen.
Anwendungen von Freunden können auf die Daten des Nutzers zugreifen. Es gibt keine entsprechenden Sicherheiten, dass die Anwendungen europäischen Datenschutzstandards entsprechen.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

14

18-AUG-2011

Gelöschte Freunde.
Freunde, die gelöscht werden, bleiben weiter auf Facebook gespeichert.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

15

18-AUG-2011

Exzessive Datennutzung.
Facebook sammelt unglaubliche Datenmengen als “Host”, die eigene Nutzung ist unlimitiert.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

16

18-AUG-2011

Opt-Out.
Die Verwendung der Daten auf Facebook ist faktisch “Opt-Out” statt “Opt-In”, das widerspricht den europäischen Gesetzen.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

 

24-AUG-2011

Erster Brief der irischen Datenschutzkommission
 

 

Brief (PDF)

 

15-SEPT-2011

Brief an die irische Datenschutzbehörde  bezüglich der neuen Datenschutzrichtlinie und neuen Optionen auf Facebook

 

Brief (PDF)

17

19-SEPT-2011

Like Button.
Der von Facebook derzeit angebotene “Like Button” ist nicht datenschutzkonform und kann zum Ausspionieren der Nutzer verwendet werden.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

18

19-SEPT-2011

Pflichten als Auftragsverarbeiter.
Facebook hat gegenüber den Nutzern die Pflicht die vom Nutzer auf Facebook hinerlegen Daten nicht für eigene Zwecke zu missbrauchen.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

19

19-SEPT-2011

Privatsphäreeinstellungen bei Bildern.
Die User können nur steuern, wer den Link zu einem Bild sehen kann. Das Bild selbst ist für jeden abrufbar, der den Link kennt. Es gibt keine wirkliche Steuerung über Zugriffsrechte.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

20

19-SEPT-2011

Gelöschte Bilder.
Gelöschte Bilder sind weiter abrufbar und werden erst mit großer Verzögerung gelöscht. Nur der Link zum Bild auf facebook.com wird unsichtbar.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

21

19-SEPT-2011

Gruppenmitgliedschaft.
Nutzer können ohne deren Zustimmung zu Gruppen hinzugefügt werden und müssen dann aktiv wieder austreten.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

22

19-SEPT-2011

Änderung der Datenschutzrichtlinien.
Datenschutzbestimmungen werden regelmäßig, ohne entsprechender Information und ohne Zustimmung der User, geändert.

Eingebracht bei der irischen DPC

Anzeige (PDF)
Anlagen (ZIP)

23

26-JUN-2013

PRISM
“Facebook Irland” gibt EU Daten an “Facebook USA” weiter die es dann wiederrrum der NSA geben. Export von Daten sit jedoch nur bei “angemessenem Schutz” erlaubt.

Bearbeitung von DPC verweigert.

Anzeige (PDF)

 

 

 

 

 

2. Erster Bericht der irischen Behörde (Dezember 2011)

 

21-DEZ-2011

Erster Bericht der irischen Datenschutzkommission
Dieser Bereicht basiert auf unseren Anzeigen, ist aber ein Paralellverfahren zu unserem Verfahren und ist daher keine finale Entscheidung.
Im Anhang finden sich die entsprechenden technischen Abhandlungen sowie diverse zusätzliche Infos.
Die Behörde hat auch eine entsprechende Presseaussendung herausgegeben. Auch Facebook hat eine Stellungnahme abgegeben.

Veröffentlicht

Bericht (PDF)
Anhänge (PDF)

Erste Stellungnahmen:
europe-v-facebook.org (PDF)
Behörde (PDF)
Facebook (Link)

 

 

Analyse und Reaktion gegenüber der Behörde
Nach genauerem Studium des Berichts haben wir im Jänner 2012 der Behörde mitgeteilt, dass wir nicht der Meinung sind, dass dieser Bericht ausreichen ist. Was im Bericht als “Best Practice” vorgeschlagen wird, entspricht nicht mal dem europäischen Mindeststandards. Es fehlt eine solide rechtliche Würdigung und eine volle Aufarbeitung aller Punkte unsere Anzeigen.

Keine inhaltliche Reaktion

E-Mail Verkehr Jänner 2012 (PDF)

 

 

 

 

 

3. Verhandlungen mit Facebook in Wien (Februar 2012)

 

05-FEB-2012

Vorbereitendes Dokument von Facebook zum Treffen in Wien
Um das Treffen vorzubereiten verlangten wir eine schriftliche Zusammenfassung aller Gegenargumente von Facebook. Erhalten haben wir hingegen eine Zusammenfassung des Berichts der irischen Behörde.

Keine zufrieden- stellende Rekation

Zusammenfassung des Berichts durch FB (PDF)

 

06-FEB-2012

Direktes Treffen mit Facebook in Wien
Nach dem irischen Verfahrensrecht soll eine “gemeinsame Lösung” zwischen den Parteien gefunden werden. Wir haben daher ein Treffen mit Facebook in Wien abgehalten. Um volle Transparenz zu gewährleisten gibt es eine Zusammenfassung der Argumente (Protokoll).

Veröffentlicht

Zusammenfassung der Argumente (PDF, Englisch)

Stellungnahmen (evf):
PA vor dem Treffen (PDF)
PA nach dem Treffen (PDF)
PK nach dem Tr. (YouTube)

 

09-MAR-2012

“Follow Up” durch Facebook
Nach dem bei unserem Treffen in Wien viele Fragen unbeantwortet geblieben sind hat Facebook zugesagt, dass wir die nötigen Informationen nachgeliefert bekommen. Leider hat FB dem nicht entsprochen und sogar weniger Infos als beim Treffen herausgegeben. Die Liste der Daten ist 1:1 aus dem irischen Bericht kopiert. Die Rechtsabteilung hat kein “Okay” gegeben.

Keine zufrieden- stellende Rekation

List der Daten (PDF)
Fragebeantwortung (PDF)

 

 

 

 

 

4. Facebooks neue Datenschutzrichtlinie (Mai/Juni 2012)

 

 

Aufgrund unserer Anzeigen hat Facebook viele kleine Änderungen vorgenommen. Die größte Änderung war, dass die weltweite Datenschutzrichtlinie geändert wurde. Leider nicht wirklich im Sinn der Nutzer. Statt die Fehler zu ändern wurden diese einfach in die Richtlinie geschrieben.
Wir starteten www.our-policy.org und erreichten, dass Facebook zumindest eine Abstimmung über die Richtlinie machen musste. Leider war die Abstimmung so gut versteckt, dass trotz 87% Ablehnung nicht die nötige Anzahl der Nutzer abgestimmt hat und die neue Richtlinie in Kraft getreten ist.

 

Mehr Infos:
www.our-policy.org
Site Governance Page (FB)

 

 

 

 

 

5. Irische Datenschutzbehörde bricht Kontakt im laufenden Verfahren ab (Juli 2012)

 

30-JUL-2012

Nach dem wir hinter den Kulissen seit Jänner 2012 in drei Runden versucht haben die Akten und Unterlagen zu unserem eigenen Verfahren zu erhalten hat die irische Behörde jeden Kontakt zu uns abgebrochen - per SMS.
Wir haben darauf hin den - bisher verdeckten - Streit öffentlich gemacht und die diversen E-Mails und Briefe veröffentlicht, welche alle Anfragen nach Akten, Beweismittel und sogar nach den Argumenten von Facebook abgewiesen haben. Eine Begründung für den Kontaktabbruch gibt es bis dato nicht.

 

Runde 1:
Briefe aus Jänner 2012

Runde 2:
Breife aus März/April 2012

Runde 3:
Kommunikation Juli 2012
(inkl. SMS der Behörde)

 

 

 

 

 

6. “Review” durch die irische Behörde (September 2012)

 

21-SEPT-2012

Im September 2012 hat die irische Behörde überprüft ob Facebook die unverbindlichen Vorschläge aus dem Bericht vom Dezember (siehe oben) eingehalten hat. Das Ergebnis dieser Review ist nicht rechtverbindlich, doch hat die Behörde festgestellt, dass Facebook “die meisten” Vorschläge umgesetzt hat. Die Behörde gab Facebook abermals eine Nachfrist für nicht umgesetzte Vorschläge.

Veröffentlicht

Bericht (PDF)
(inkl. Sellungnahme von
Facebook und “FTR Solutions”)

Aufzeichnung der ganzen Telefonkonferenz (MP3)
Ausschnitt zu #evf (MP3)

 

 

 

 

 

7. “Gegenbericht” zum irischen “Untersuchungsverfahren” (Dezember 2012)

 

4-DEZ-2012

Auf über 70 Seiten haben wir aufgezeigt, dass die irische Behörde zwar einige Schritte in die richtige Richtung durchsetzen konnte, aber keine der Beschwerden ausräumen konnte.
In vielen Punkten konnte klargestellt werden, dass die Behörde nicht genau und ordentlich gearbeitet hat. Oft wurden Äußerungen von Facebook unüberprüft übernommen.
Auch die Frage der Akteneinsicht wurde abermals aufgerollt.

Keine Reaktion / Ignoriert

Gegenbericht (PDF)
Presseaussendung (PDF)

 

 

Etwa gleichzeitig hat Facebook die Nutzerabstimmung über Veränderungen der Bestimmungen nach dem Erfolg von “our-policy.org” abgeschafft und zum dritten mal seit dem Anfang unseres Verfahrens eine neue Datenschutz- richtlinie eingeführt.

 

 

 

 

Um uns für eine unrichtige “formelle Entscheidung” der irischen Datenschutzbehörde vorzubereiten haben wir “crowd4privacy.org” gestartet.

 

 

 


7-DEZ-2012


Irische Behörde ignoriert Gegebericht.

Trotz der vorherigen Bitte um unsere Meinung zum Bericht und trotz vielen expliziten Anträgen in diesem Gegenbericht hat die irische Behörde uns wissen lassen, dass sie den Bericht “nicht kommentieren”.
Was das genau bedeutet. Ob die Eingabe abgewiesen, zurückgewiesen oder einfach unbearbeitet bleibt war nicht in Erfahrung zu bringen.
Akteneinsicht wird weiter nicht gewährt - uns bleibt nur noch ein Antrag auf eine formelle Entscheidung.

 


E-Mails der Behörde (PDF)

 


14-JAN-2012


Facebook verweigert “Amicable Resolution”.
Nach irischem Recht muss man vor einer Entscheidung versuchen eine “einvernehmliche Lösung” zu finden. Nach dem das Gespräch mit Facebook im Februar 2012 de facto nichts gebracht hat (Facebook hat versprochene Unterlagen nie geliefert) haben wir abermals bei Facebook um eine Treffen angefragt. Facebook verweigerte ein weiteres Treffen und verwies uns an die irische Datenschutzkommission.
 

 


Briefe von Facebook (PDF)

8. PRISM zurückgewiesen, Fristsetzung der Behörde

 

25-JUL-2013

Behörde verweigert PRISM Entscheidung
Die irische Behörde sagt es gibt nichts zu untersuchen. Datenweitergabe an den NSA soll durch “Safe Harbor” Entscheidung der EU aus dem Jahr 2000 gedeckt sein. EU soll PRISM “vorausgesehene haben und zugestimmt haben, was die EU bestreitet.
 

 

Briefe der Behörde (PDF)

 

8-AUG-2013

Behörde setzt überraschend Frist bis 30. August
In einem überraschenden Brief setzt die Behörde plötzlich eine Frist bis zum 30. August um einen “Antrag auf eine formelle Entscheidung” einzubringen. Andernfalls wird einfach ohne Antrag über die Beschwerde entschieden. Begründet wurde das mit dem schlechten Image welches das andauernde Verfahren auf die Behörde bringt.
 

 

Briefe der Behörde (PDF)

9. Antrag auf eine formelle Entscheidung

 

28-AUG-2013

Unfreiwilliger “Antrag auf eine formelle Entscheidung”
Nach dem uns die Behörde sonst mit vollkommenem Ausschluss aus dem Verfahren gedroht hat mussten wir - unfreiwillig - einen “Antrag auf eine formelle Entscheidung” einbringen. Der Antrag (150 Seiten) listet alle Beschwerden (01-22) auf und stellt fest, dass Facebook bis dato in keinem Punkt dem Gesetz entspricht. In einigen wenigen Punkten wurden jedoch Verbesserungen erzielt.

 

Antrag  (PDF)

 

 

 

 

 

10. Erste schriftliche Stellungnahme von Facebook

 

30-SEPT-13

Erste schriftliche Stellungnahme von Facebook
Seit gut zwei Jahren haben wir versucht eine Stellungnahme von Facebook zu erhalten. Die irische Behörde hat bis dato jede Art von Gegenargumenten unterdrückt.

Nun haben wir überraschend mehr als 200 Seiten “Gegenargumente” erhalten. Leider geht Facebook dabei oft nicht auf die Beschwerden sondern schreibt über Dinge die Großteils irrelevant scheinen. Auch werden unsere Beschwerden “uminterpretiert” bevor diese behandelt werden. Auf die rechtlichen Argumente wird mit keinem Wort eingegangen. Inhaltlich wird im Kern auf die Berichte der irischen Behörde verwiesen. Beweise werden nicht vorgelegt. Trotzdem sind wir froh diese Unterlagen hier veröffentlich zu können.

Zum Vergleich empfehlen wir dringend unseren “Antrag auf eine formelle Entscheidung” (oben) zu lesen.

01 Pokes (Anstupsen)
02 Schattenprofile
03 & 11 Markieren & Löschen
04 Synchronisieren
05 Gelöschte Postings
06 Postings auf fremden Seiten
07 Messages
08 & 16 Datenschutzbestimmungen und Zustimmung & Opt-Out
09 Gesichtserkennung
10 Auskunft mangelhaft
12 Datensicherheit
13 Anwendungen
14 Gelöschte Freunde
15 Exzessive Datennutzung
17 Like Button
18 Pflichten als Auftragsverarbeiter
19 & 20 Privatsphäreeinstellungen bei Bildern & Gelöschte Bilder
21 Gruppenmitgliedschaft
22 Änderung der Datenschutzrichtlinien
 

 

31-OCT-2013

Antwort auf Facebook’s Stellungnahme
In einer kurzen Gegendarstellung haben wir klar gemacht, dass die Stellungnahme von Facebook nicht ausreichend ist und in den meisten Punkten vollkommen irrelevant sind.

 

Antwort (PDF)

 

 

 

 

 

Formelle Entscheidung

 

 

Nach dem wir und Facebook einen Entwurf einer Entscheidung bekommen und diese kommentieren können, wird von der irischen Behörde eine finale Entscheidung getroffen. Wir und Facebook können diese Entscheidung dann vor den irischen Gerichten anfechten.

 

 

 

 

 

 

 

Rechtsmittel gegen mögliche Entscheidung entgegen EU-Recht

 

 

Leider ist derzeit zu erwarten, dass die irische Datenschutzbehörde das EU-Recht gegen Facebook nicht voll durchsetzt. Wir können dagegen vor den Gerichten vorgehen, aber die Kosten liegen bei bis zu €300.000.
Wir sammeln schon jetzt das nötige Geld via “Crowd Funding” auf www.crowd4privacy.org

 

 

 

 

 

 

 

rand_r