|
1. Anzeigen gegen Facebook (August / September 2011)
|
|
01
|
18-AUG-2011
|
Pokes (Anstupsen).
Die Daten werden nach dem “Entfernen” von Facebook weiter gespeichert und nie wieder gelöscht.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
02
|
18-AUG-2011
|
Schattenprofile.
Facebook sammelt im Hintergrund Daten von Personen, ohne dass der Betroffene dies bemerkt oder dem zustimmt. Betrifft vor allem Personen ohne Facebook.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
03
|
18-AUG-2011
|
Markieren.
Markierungen werden ohne Zustimmung des Users (Opt-In) aktiviert. Der User muss die Daten dann “entfernen” (Opt-Out).
Info: Facebook hat Änderungen angekündigt.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
04
|
18-AUG-2011
|
Synchronisieren.
Facebook ‘saugt’ persönliche Daten z.B. mittels iPhone-App oder E-Mail-Import ab und verwendet diese Daten für seine eigenen Zwecke - ohne der Zustimmung des Betroffenen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
05
|
18-AUG-2011
|
Gelöschte Postings.
Postings auf den Seiten der Facebooknutzer werden auch nach dem “Entfernen” weiter gespeichert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
06
|
18-AUG-2011
|
Postings auf fremden Seiten.
Der User kann nicht herausfinden, wer die Daten von ihm auf fremden Seiten hinerlassenen Daten sehen kann.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
07
|
18-AUG-2011
|
Messages.
Nachrichten (inkl. Chat-Nachrichten) werden auch nach dem “Löschen” weiter gespeichert. Damit wird die gesamte direkte Kommunikation auf Facebook dauerhaft unlöschbar.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
08
|
18-AUG-2011
|
Datenschutzbestimmungen und Zustimmung.
Die Datenschutzbestimmungen sind vage, unklar und widersprüchlich. Nach europäischen Standards ist die Zustimmung ungültig.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
09
|
18-AUG-2011
|
Gesichtserkennung.
Die neue Gesichtserkennung ist ein unverhältnis- mäßiger Eingriff in die Privatsphäre der Nutzer. Außerdem fehlen Hinweise und die Zustimmung.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
10
|
18-AUG-2011
|
Auskunft mangelhaft.
Die Auskunft, zu welcher Facebook gesetzlich verpflichtet ist, ist in vielen Punkten mangelhaft.
Viele Daten und Informationen fehlen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
11
|
18-AUG-2011
|
Löschen von Markierungen.
Markierungen (z.B. in Fotos), die “Entfernt” werden, werden von Facebook nur deaktiviert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
12
|
18-AUG-2011
|
Datensicherheit.
Facebook sagt in seinen Nutzungsbedingungen, dass es nicht sicherstellen kann, dass Daten sicher sind.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
13
|
18-AUG-2011
|
Anwendungen.
Anwendungen von Freunden können auf die Daten des Nutzers zugreifen. Es gibt keine entsprechenden Sicherheiten, dass die Anwendungen europäischen Datenschutzstandards entsprechen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
14
|
18-AUG-2011
|
Gelöschte Freunde.
Freunde, die gelöscht werden, bleiben weiter auf Facebook gespeichert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
15
|
18-AUG-2011
|
Exzessive Datennutzung.
Facebook sammelt unglaubliche Datenmengen als “Host”, die eigene Nutzung ist unlimitiert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
16
|
18-AUG-2011
|
Opt-Out.
Die Verwendung der Daten auf Facebook ist faktisch “Opt-Out” statt “Opt-In”, das widerspricht den europäischen Gesetzen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
|
24-AUG-2011
|
Erster Brief der irischen Datenschutzkommission
|
|
Brief (PDF)
|
|
|
15-SEPT-2011
|
Brief an die irische Datenschutzbehörde bezüglich der neuen Datenschutzrichtlinie und neuen Optionen auf Facebook
|
|
Brief (PDF)
|
|
17
|
19-SEPT-2011
|
Like Button.
Der von Facebook derzeit angebotene “Like Button” ist nicht datenschutzkonform und kann zum Ausspionieren der Nutzer verwendet werden.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
18
|
19-SEPT-2011
|
Pflichten als Auftragsverarbeiter.
Facebook hat gegenüber den Nutzern die Pflicht die vom Nutzer auf Facebook hinerlegen Daten nicht für eigene Zwecke zu missbrauchen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
19
|
19-SEPT-2011
|
Privatsphäreeinstellungen bei Bildern.
Die User können nur steuern, wer den Link zu einem Bild sehen kann. Das Bild selbst ist für jeden abrufbar, der den Link kennt. Es gibt keine wirkliche Steuerung über Zugriffsrechte.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
20
|
19-SEPT-2011
|
Gelöschte Bilder.
Gelöschte Bilder sind weiter abrufbar und werden erst mit großer Verzögerung gelöscht. Nur der Link zum Bild auf facebook.com wird unsichtbar.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
21
|
19-SEPT-2011
|
Gruppenmitgliedschaft.
Nutzer können ohne deren Zustimmung zu Gruppen hinzugefügt werden und müssen dann aktiv wieder austreten.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
22
|
19-SEPT-2011
|
Änderung der Datenschutzrichtlinien.
Datenschutzbestimmungen werden regelmäßig, ohne entsprechender Information und ohne Zustimmung der User, geändert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF)
Anlagen (ZIP)
|
|
|
|
|
|
|
|
2. Erster Bericht der irischen Behörde (Dezember 2011)
|
|
|
21-DEZ-2011
|
Erster Bericht der irischen Datenschutzkommission
Dieser Bereicht basiert auf unseren Anzeigen, ist aber ein Paralellverfahren zu unserem Verfahren und ist daher keine finale Entscheidung.
Im Anhang finden sich die entsprechenden technischen Abhandlungen sowie diverse zusätzliche Infos.
Die Behörde hat auch eine entsprechende Presseaussendung herausgegeben. Auch Facebook hat eine Stellungnahme abgegeben.
|
Veröffentlicht
|
Bericht (PDF)
Anhänge (PDF)
Erste Stellungnahmen:
europe-v-facebook.org (PDF)
Behörde (PDF)
Facebook (Link)
|
|
|
|
Analyse und Reaktion gegenüber der Behörde
Nach genauerem Studium des Berichts haben wir im Jänner 2012 der Behörde mitgeteilt, dass wir nicht der Meinung sind, dass dieser Bericht ausreichen ist. Was im Bericht als “Best Practice” vorgeschlagen wird, entspricht nicht mal dem europäischen Mindeststandards. Es fehlt eine solide rechtliche Würdigung und eine volle Aufarbeitung aller Punkte unsere Anzeigen.
|
Keine inhaltliche Reaktion
|
E-Mail Verkehr Jänner 2012 (PDF)
|
|
|
|
|
|
|
|
3. Verhandlungen mit Facebook in Wien (Februar 2012)
|
|
|
05-FEB-2012
|
Vorbereitendes Dokument von Facebook zum Treffen in Wien
Um das Treffen vorzubereiten verlangten wir eine schriftliche Zusammenfassung aller Gegenargumente von Facebook. Erhalten haben wir hingegen eine Zusammenfassung des Berichts der irischen Behörde.
|
Keine zufrieden- stellende Rekation
|
Zusammenfassung des Berichts durch FB (PDF)
|
|
|
06-FEB-2012
|
Direktes Treffen mit Facebook in Wien
Nach dem irischen Verfahrensrecht soll eine “gemeinsame Lösung” zwischen den Parteien gefunden werden. Wir haben daher ein Treffen mit Facebook in Wien abgehalten. Um volle Transparenz zu gewährleisten gibt es eine Zusammenfassung der Argumente (Protokoll).
|
Veröffentlicht
|
Zusammenfassung der Argumente (PDF, Englisch)
Stellungnahmen (evf):
PA vor dem Treffen (PDF)
PA nach dem Treffen (PDF)
PK nach dem Tr. (YouTube)
|
|
|
09-MAR-2012
|
“Follow Up” durch Facebook
Nach dem bei unserem Treffen in Wien viele Fragen unbeantwortet geblieben sind hat Facebook zugesagt, dass wir die nötigen Informationen nachgeliefert bekommen. Leider hat FB dem nicht entsprochen und sogar weniger Infos als beim Treffen herausgegeben. Die Liste der Daten ist 1:1 aus dem irischen Bericht kopiert. Die Rechtsabteilung hat kein “Okay” gegeben.
|
Keine zufrieden- stellende Rekation
|
List der Daten (PDF)
Fragebeantwortung (PDF)
|
|
|
|
|
|
|
|
4. Facebooks neue Datenschutzrichtlinie (Mai/Juni 2012)
|
|
|
|
Aufgrund unserer Anzeigen hat Facebook viele kleine Änderungen vorgenommen. Die größte Änderung war, dass die weltweite Datenschutzrichtlinie geändert wurde. Leider nicht wirklich im Sinn der Nutzer. Statt die Fehler zu ändern wurden diese einfach in die Richtlinie geschrieben.
Wir starteten www.our-policy.org und erreichten, dass Facebook zumindest eine Abstimmung über die Richtlinie machen musste. Leider war die Abstimmung so gut versteckt, dass trotz 87% Ablehnung nicht die nötige Anzahl der Nutzer abgestimmt hat und die neue Richtlinie in Kraft getreten ist.
|
|
Mehr Infos:
www.our-policy.org
Site Governance Page (FB)
|
|
|
|
|
|
|
|
5. Irische Datenschutzbehörde bricht Kontakt im laufenden Verfahren ab (Juli 2012)
|
|
|
30-JUL-2012
|
Nach dem wir hinter den Kulissen seit Jänner 2012 in drei Runden versucht haben die Akten und Unterlagen zu unserem eigenen Verfahren zu erhalten hat die irische Behörde jeden Kontakt zu uns abgebrochen - per SMS.
Wir haben darauf hin den - bisher verdeckten - Streit öffentlich gemacht und die diversen E-Mails und Briefe veröffentlicht, welche alle Anfragen nach Akten, Beweismittel und sogar nach den Argumenten von Facebook abgewiesen haben. Eine Begründung für den Kontaktabbruch gibt es bis dato nicht.
|
|
Runde 1:
Briefe aus Jänner 2012
Runde 2:
Breife aus März/April 2012
Runde 3:
Kommunikation Juli 2012
(inkl. SMS der Behörde)
|
|
|
|
|
|
|
|
6. “Review” durch die irische Behörde (September 2012)
|
|
|
21-SEPT-2012
|
Im September 2012 hat die irische Behörde überprüft ob Facebook die unverbindlichen Vorschläge aus dem Bericht vom Dezember (siehe oben) eingehalten hat. Das Ergebnis dieser Review ist nicht rechtverbindlich, doch hat die Behörde festgestellt, dass Facebook “die meisten” Vorschläge umgesetzt hat. Die Behörde gab Facebook abermals eine Nachfrist für nicht umgesetzte Vorschläge.
|
Veröffentlicht
|
Bericht (PDF)
(inkl. Sellungnahme von
Facebook und “FTR Solutions”)
Aufzeichnung der ganzen Telefonkonferenz (MP3)
Ausschnitt zu #evf (MP3)
|
|
|
|
|
|
|
|
7. “Gegenbericht” zum irischen “Untersuchungsverfahren” (Dezember 2012)
|
|
|
4-DEZ-2012
|
Auf über 70 Seiten haben wir aufgezeigt, dass die irische Behörde zwar einige Schritte in die richtige Richtung durchsetzen konnte, aber keine der Beschwerden ausräumen konnte.
In vielen Punkten konnte klargestellt werden, dass die Behörde nicht genau und ordentlich gearbeitet hat. Oft wurden Äußerungen von Facebook unüberprüft übernommen.
Auch die Frage der Akteneinsicht wurde abermals aufgerollt.
|
Keine Reaktion / Ignoriert
|
Gegenbericht (PDF)
Presseaussendung (PDF)
|
|
|
|
Etwa gleichzeitig hat Facebook die Nutzerabstimmung über Veränderungen der Bestimmungen nach dem Erfolg von “our-policy.org” abgeschafft und zum dritten mal seit dem Anfang unseres Verfahrens eine neue Datenschutz- richtlinie eingeführt.
|
|
|
|
|
|
Um uns für eine unrichtige “formelle Entscheidung” der irischen Datenschutzbehörde vorzubereiten haben wir “crowd4privacy.org” gestartet.
|
|
|
|
|
7-DEZ-2012
|
Irische Behörde ignoriert unseren Gegebericht.
Trotz der vorherigen Bitte um unsere Meinung zum Bericht und trotz vielen expliziten Anträgen in diesem Gegenbericht hat die irische Behörde uns wissen lassen, dass sie den Bericht “nicht kommentieren”.
Was das genau bedeutet. Ob die Eingabe abgewiesen, zurückgewiesen oder einfach unbearbeitet bleibt war nicht in Erfahrung zu bringen.
Akteneinsicht wird weiter nicht gewährt - uns bleibt nur noch ein Antrag auf eine formelle Entscheidung.
|
|
E-Mails der Behörde (PDF)
|
|
|
14-JAN-2012
|
Facebook verweigert “Amicable Resolution”.
Nach irischem Recht muss man vor einer Entscheidung versuchen eine “einvernehmliche Lösung” zu finden. Nach dem das Gespräch mit Facebook im Februar 2012 de facto nichts gebracht hat (Facebook hat versprochene Unterlagen nie geliefert) haben wir abermals bei Facebook um eine Treffen angefragt. Facebook verweigerte ein weiteres Treffen und verwies uns an die irische Datenschutzkommission.
|
|
Briefe von Facebook (PDF)
|
|
|
|
|
|
|
|
8. Antrag auf eine formelle Entscheidung
|
|
|
|
Bald werden wir Anträge auf eine formelle Entscheidung einbringen. Bisher verweigert die Behörde die Herausgabe der nötigen Unterlagen.
Erst ein solcher Antrag soll eine formelle, rechtsgültige Entscheidung durch die irische Behörde auslösen.
|
|
|
|
|
|
|
|
|
|
9. Formelle Entscheidung
|
|
|
|
Nach dem wir und Facebook einen Entwurf einer Entscheidung bekommen und diese kommentieren können, wird von der irischen Behörde eine finale Entscheidung getroffen.
Wir und Facebook können diese Entscheidung dann vor den irischen Gerichten anfechten.
|
|
|
|
|
|
|
|
|
|
10. Rechtsmittel gegen mögliche Entscheidung entgegen EU-Recht
|
|
|
|
Leider ist derzeit zu erwarten, dass die irische Datenschutzbehörde das EU-Recht gegen Facebook nicht voll durchsetzt. Wir können dagegen vor den Gerichten vorgehen, aber die Kosten liegen bei bis zu €300.000.
Wir sammeln schon jetzt das nötige Geld via “Crowd Funding” auf www.crowd4privacy.org
|
|
|
|
|
|
|
|
|
“Wenn du in den USA oder Kanada ortsansässig bist oder dort deinen Hauptgeschäftssitz hast, stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook, Inc. dar. Anderenfalls stellt diese Erklärung eine Vereinbarung zwischen dir und Facebook Ireland Limited dar.” 