Tag Archives: facebook

DigiGes Wochenrückblick – Folge 3 #dgw003

Es ist wieder einmal Freitag, Zeit für eine neue Folge unseres DigiGes Wochenrückblicks!
Diesmal unter anderem mit Beiträgen zum neuen VDS-Gesetz in Deutschland und der DigiGes-Aktion für mehr freie WLAN-Zugänge.

Wir danken Euch für das Feedback zu den ersten beiden Folgen und freuen uns weiterhin auf alle Anregungen und Kritikpunkte!

Wenn Euch das Video gefällt, gebt uns einen Daumen nach oben und abonniert unsere Kanäle auf Youtube und Soundcloud, um keine Ausgabe zu verpassen.

Bis nächsten Freitag!

Video:

 

 

 

Soundcloud:

 

 

 

2015_01 foerdermitglied_w

Kurzanalyse: Standardvertragsklauseln und Binding Corporate Rules als Ausweg nach der „Safe Harbor“-Entscheidung?

Nachdem der Europäische Gerichtshof (EuGH) heute die „Safe Harbor“-Regelung aus dem Jahr 2000 für ungültig erklärt hat, drängt sich die Frage auf, ob dies zugleich das Ende transatlantischer Datenflüsse bedeutet.

Wir hatten bereits gestern darauf hingewiesen, dass dies mit der Ungültigkeit von „Safe Harbor“ nun zwar grundsätzlich der Fall ist, personenbezogene Daten jedoch in bestimmten Ausnahmefällen selbst dann in Drittstaaten übertragen werden dürfen, wenn diese kein angemessenes Datenschutzniveau aufweisen. Diese Ausnahmen erweisen sich im Hinblick auf Datenübermittlungen in die USA bei näherer Betrachtung jedoch allesamt als problematisch.

Die praktisch wichtigste dieser Ausnahmen in der EU-Datenschutzrichtlinie lässt die Übermittlung personenbezogener Daten zu, wenn die Betroffenen ausdrücklich und zweifelsfrei in die Übermittlung eingewilligt haben. Allerdings setzt diese Ausnahme voraus, dass die Betroffenen zuvor über den Zweck der Übermittlung und Verarbeitung, die Weitergabe an Dritte sowie Bedingungen und Reichweite dieser Weitergabe unterrichtet wurden. Nach US-Recht wiederum ist es Unternehmen, die mit den dortigen Nachrichtendiensten wie etwa der NSA zusammenarbeiten, jedoch untersagt, Informationen über diese Zusammenarbeit preiszugeben. Aus diesem Grund dürfte es datenverarbeitende Unternehmen aus den USA vor große Schwierigkeiten stellen, den Anforderungen der EU-Datenschutzrichtlinie in diesem Punkt zu genügen.

Reaktion der EU-Kommission
In einer ersten Reaktion auf die Entscheidung des EuGH ließ die EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, Vera Jourová, verlauten, dass personenbezogene Daten trotz der Ungültigkeit von „Safe Harbor“ weiterhin in die USA übermittelt werden dürften; Grundlage dafür seien die EU-Standardvertragsklauseln oder die „Binding Corporate Rules“. Diese Auffassung ist aus unserer Sicht jedoch nicht nachvollziehbar.

Spenden

EU-Standardvertragsklauseln
Die Standardvertragsklauseln basieren ebenso wie „Safe Harbor“ auf Entscheidungen der EU-Kommission. Es handelt sich dabei um fest vorgegebene Vertragswerke mit bestimmten Datenschutzgarantien für Datenexporteure und Datenimporteure. Inhaltlich entsprechen die Standardvertragsklauseln den Vorgaben der „Safe Harbor“ Regelung. Der Unterschied zwischen beiden besteht lediglich darin, dass sich „Safe Harbor“ auf das Datenschutzniveau eines ganzen Landes bezieht, die Standardvertragsklauseln hingegen nur auf das Datenschutzniveau innerhalb einzelner Unternehmen. Im Rahmen der Standardverträge muss der Datenimporteur bei Übermittlungen in einen unsicheren Drittstaat wie die USA zusichern, dass dort seines Wissens keine Rechtsvorschriften existieren, die die Garantien aus den Klauseln substanziell beeinträchtigen.

Genau dies hat der EuGH im Rahmen der „Safe Harbor“ Entscheidung in Frage gestellt und moniert, dass sich die Regelung gerade nicht auf die Bereiche der nationalen Sicherheit und der Strafverfolgung in den USA erstreckt. Zudem hat der Gerichtshof klargestellt, dass faktisch unbegrenzte behördliche Zugriffe auf personenbezogene Daten mangels Verhältnismäßigkeit niemals mit dem EU-Datenschutzrecht und den EU-Grundrechten vereinbar sein können. Und tatsächlich erlaubt Sektion 702 des FISA Amendment Act (FAA) von 2008 den US-Geheimdiensten ohne besondere Schranken, die Daten von Nicht-US-Bürgern abzugreifen. Dabei kann die NSA wie im Fall von PRISM mit Online-Unternehmen kooperieren oder wie bei der „Upstream Collection“ genannten Massendatenerfassung direkt selbst an Internetknotenpunkten ansetzen. Die Datenschutzgarantien der Standardvertragsklauseln werden dadurch ebenso unterlaufen wie die Vorgaben von „Safe Harbor“, so dass beide Regelungen letztlich an demselben Fehler leiden. Datenübermittlungen in die USA auf Grundlage der Standardverträge dürften daher ebenso unzulässig sein, wie der EuGH dies heute für Übermittlungen auf der Basis von „Safe Harbor“ angenommen hat.

Binding Corporate Rules
Auch die „Binding Corporate Rules“ bieten hier keinen Ausweg. Im Unterschied zu den Standardvertragsklauseln sind sie nicht fest vorgegeben, sondern können insbesondere von multinationalen Konzernen für Fälle konzerninterner Datenübermittlungen selbst gestaltet werden. Diese Regeln bedürfen der Genehmigung durch eine federführende sowie zwei weitere europäische Datenschutzbehörden, um wirksame Grundlage für die Datenübermittlung in einen unsicheren Drittstaat zu sein. Dabei müssen die Behörden prüfen, ob durch die selbst auferlegten Regeln ein angemessenes Datenschutzniveau innerhalb des jeweiligen Konzerns gewährleistet ist. Spätestens an diesem Punkt kommen wiederum die Überwachungsbefugnisse der US-Nachrichtendienste ins Spiel. Daher können Unternehmen mit Sitz in den Vereinigten Staaten auch im Wege der „Binding Corporate Rules“ ein angemessenes Datenschutzniveau nicht garantieren.

Fazit
Ganz so einfach, wie es EU-Kommission und Unternehmen wie Facebook nun vorgeben, werden die Auswirkungen des EuGH-Urteils nicht zu bewältigen sein. Ein zulässiger Ausweg kann jedenfalls nicht darin bestehen, die Datenübermittlung künftig schlicht auf eine andere formale Grundlage zu stellen. Den materiellen Anforderungen des EU-Datenschutzrechts ist auf diese Weise nicht auszuweichen. Vielmehr bedarf es substanzieller Änderungen bei den Überwachungspraktiken der US-Geheimdienste ebenso wie bei ihrer Aufsicht und den Rechtsmitteln für Personen, die nicht in den USA ansässig sind.

2015_01 foerdermitglied_w

Safe Harbor: Europäischer Gerichtshof setzt historisches Zeichen gegen anlasslose Massenüberwachung

„Der Europäische Gerichtshof hat heute ein historisches Zeichen für den Datenschutz und gegen anlasslose Massenüberwachung gesetzt. Die Safe Harbor-Entscheidung macht unmissverständlich klar, dass geheimdienstliche Spähexzesse den Grundrechten und der Online-Wirtschaft schweren Schaden zufügen und mit freien transatlantischen Datenflüssen schlichtweg unvereinbar sind. Die politisch Verantwortlichen in Europa und den USA stehen nun in der Pflicht, die Missstände abzustellen und die längst überfälligen Reformen bei Aufsicht und Befugnissen der Geheimdienste vorzunehmen.“, kommentiert Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

In dem Rechtsstreit zwischen dem österreichen Datenschutzaktivisten Max Schrems und Facebook hat der Europäische Gerichtshof (EuGH) heute entschieden, dass die vor rund 15 Jahren ergangene „Safe Harbor“ Entscheidung der EU-Kommission ungültig ist. Die Entscheidung bildete bislang die rechtliche Grundlage für die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten, wo US-Unternehmen wie Facebook diese Daten speichern und verarbeiten. Sie besagte im Kern, dass in den USA ein angemessenes Schutzniveau für die Daten von Nutzerinnen und Nutzern aus der EU herrsche. Dieser pauschalen Annahme hat der EuGH nun vor dem Hintergrund der anlasslosen Massenüberwachung durch die NSA eine klare Absage erteilt.

Anders als teilweise im Vorfeld der Entscheidung von US-Seite zu vernehmen war, bedeutet das gerichtliche Votum keineswegs das Ende transatlantischer Datenflüsse. So sieht das europäische Datenschutzrecht zahlreiche Ausnahmen für die Übermittlung personenbezogener Daten auch ohne eine „Safe Harbor“ Regelung vor. Diese Ausnahmen greifen allerdings nur dann, wenn Nutzerinnen und Nutzer zunächst umfassend über den Verwendungszweck und die Weitergabe ihrer Daten an Dritte unterrichtet wurden. Datenverarbeitende Unternehmen aus den USA müssen europäische Nutzerinnen und Nutzer daher auch über die geheimdienstlichen Zugriffsmöglichkeiten auf ihre Daten informieren, damit diese weiterhin übermittelt werden dürfen. Aufgrund der Verschwiegenheitseverpflichtungen nach US-Recht dürfte dies für die Unternehmen allerdings kaum möglich sein. Der Ball liegt daher im Spielfeld der politisch Verantwortlichen auf beiden Seiten des Atlantiks. Sie stehen in der Pflicht, der geheimdienstlichen Massenüberwachung und damit einem der größten Hindernisse für freie Datenflüsse zwischen der EU und den USA endlich ein Ende zu bereiten. Online-Unternehmen und Zivilgesellschaft müssen diese Reformen nun selbstbewusst und unnachgiebig einfordern.

Eine ausführliche Analyse zu den Auswirkungen und Implikationen des Urteils finden Sie hier.

Spenden

Safe-Harbor-Entscheidung des Europäischen Gerichtshofs: Das Ende transatlantischer Datenflüsse?

Vor rund 15 Jahren entschied die EU-Kommission, dass die USA ein „sicherer Hafen“ für personenbezogene Daten aus der EU seien. Diese sogenannte „Safe Harbor“ Entscheidung bildet seither die Grundlage für einen ungehinderten transatlantischen Datenfluss. Davon profitieren vor allem US-amerikanische IT-Konzerne wie Google oder Facebook, welche die Daten europäischer Nutzerinnen und Nutzer auf Servern in den Vereinigten Staaten speichern und verarbeiten. Am morgigen Dienstag könnte der Europäische Gerichtshof (EuGH) die „Safe Harbor“ Entscheidung für ungültig erklären. Doch welche Folgen hätte ein solcher Richterspruch für die Datenübermittlung in die USA und für die Nutzung US-amerikanischer Online-Dienste in Europa?

Bei der mit Spannung erwarteten EuGH-Entscheidung in dem Verfahren des österreichischen Datenschutzaktivisten Max Schrems gegen Facebook geht es im Kern um die Frage, ob das Datenschutzniveau in den USA, wo Facebook die Daten seiner Nutzerinnen und Nutzer speichert, gemessen an europäischen Maßstäben als angemessen angesehen werden kann. Nur wenn dies der Fall ist, so schreibt es die EU-Datenschutzrichtlinie von 1995 vor, dürfen personenbezogene Daten überhaupt aus der EU über den Atlantik gesendet werden.

Was ist „Safe Harbor“?

Die Richtlinie sieht außerdem vor, dass die EU-Kommission in Einzelfällen anerkennen kann, dass ein Land über ein angemessenes Datenschutzniveau verfügt. Genau dies hat sie im Fall der USA im Jahr 2000 getan. Datenverarbeitende Unternehmen, die personenbezogene Daten aus der EU in die Vereinigten Staaten übertragen möchten, erklären im Gegenzug gegenüber der US-Handelskommission (Federal Trade Commission, FTC), dass sie bestimmte Datenschutzprinzipien einhalten werden. So müssen die Unternehmen unter anderem versprechen, personenbezogene Daten nur mit Einwilligung der Betroffenen zu sammeln und zu verwenden, diese Daten vor dem Zugriff Dritter zu schützen und sie nicht ohne Zustimmung der Betroffenen an Dritte weiterzugeben.

Ob und inwieweit die Unternehmen diese Versprechen tatsächlich einhalten, wurde von der EU-Kommission allerdings gar nicht und von der zuständigen FTC lediglich lax kontrolliert. Hinzu kommt, dass die Selbstverpflichtung der Unternehmen sich gerade nicht auf Datenübermittlungen in den Bereichen der nationalen Sicherheit und der Strafverfolgung erstreckt. Nicht zuletzt aus diesem Grund kritisieren Datenschutzbehörden und zivilgesellschaftliche Organisationen ebenso wie das EU-Parlament die „Safe Harbor“ Entscheidung schon seit Jahren.

2015_01 foerdermitglied_w

Die Kritik des Generalanwalts

Auch Generalanwalt Yves Bot, Rechtsgutachter in dem nun zur Entscheidung anstehenden EuGH-Verfahren, kam vor knapp zwei Wochen zu dem Ergebnis, dass die „Safe Harbor“ Entscheidung die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten verletze und daher ungültig sei. Seinen Befund begründete Bot vor allem mit dem Umstand, dass US-amerikanische Geheimdienste wie die NSA faktisch unbeschränkten Zugriff auf die bei den dortigen Unternehmen gespeicherten Daten haben. Darüber hinaus vermisste der Generalanwalt eine wirksame unabhängige Kontrolle dieser Zugriffe ebenso wie effektive Rechtsmittel, mit denen sich Betroffene aus der EU gegen die Verwendung ihrer Daten durch Geheimdienste wehren können. Ein weiteres Indiz für die Unzulänglichkeiten der „Safe Harbor“ Entscheidung sah Bot in den aktuell laufenden Verhandlungen über ein neues Datenschutzabkommen zwischen der EU und den USA.

Das US-Außenministerium reagierte umgehend auf das Votum des Generalanwalts und erklärte, die Vereinigten Staaten seien „nicht dabei, irgendjemanden unüberlegt zu überwachen, auch keine normalen europäischen Bürger“; der Generalanwalt habe hinsichtlich der geheimdienstlichen Massenüberwachung Schlussfolgerungen der gerichtlichen Vorinstanz, dem irischen High Court, lediglich ungeprüft übernommen; das Privacy and Civil Liberties Oversight Board, ein der US-Regierung beigeordnetes Datenschutzgremium, sei nach eingehender Prüfung zu dem Ergebnis gelangt, dass es sich bei dem NSA-Programm PRISM nicht um Massenüberwachung handele. Unerwähnt blieb in der Stellungnahme, dass PRISM nur einen Baustein in der umfangreichen Überwachungsmaschinerie der NSA darstellt und keineswegs die einzige Methode ist, mit welcher der Dienst sich Zugriff auf personenbezogene Daten verschafft. Darüber hinaus darf die Einschränkung, dass die Überwachung nicht „unüberlegt“ sei, durchaus als Eingeständnis einer tatsächlich stattfindenden Überwachung gewertet werden.

Die Entscheidung des EuGH und die Folgen

Der EuGH ist an das Votum des Generalanwalts zwar nicht gebunden, folgt ihm jedoch in den meisten Fällen. Es ist daher durchaus wahrscheinlich, dass der Gerichtshof „Safe Harbor“ als ungültig verwerfen wird. Sollte das tatsächlich geschehen, wären transatlantische Übermittlungen personenbezogener Daten in rechtlicher Hinsicht zwar nicht gänzlich unmöglich, sie würden jedoch deutlich erhöhten Hürden unterliegen. Noch erheblicher könnten die politischen Konsequenzen einer solchen Entscheidung ausfallen.

Ist „Safe Harbor“ ungültig, so würden die USA zunächst nicht mehr als Drittstaat mit angemessenem Datenschutzniveau im Sinne des europäischen Datenschutzrechts gelten. Dies hätte zur Folge, dass personenbezogene Daten grundsätzlich nicht mehr in die Vereinigten Staaten übermittelt werden dürfen. Personenbezogene Daten zeichnen sich dadurch aus, dass sie einer bestimmten Person zugeordnet werden können, dass also die hinter dem jeweiligen Datum stehende Person bestimmbar ist.

Überwachung bekämpfen

Übermittlung nicht personenbezogener Daten

Soweit nur Daten ohne einen solchen Personenbezug übertragen werden sollen, ändert sich für Online-Dienste, Nutzerinnen und Nutzer daher nichts. Anonyme Suchanfragen wären grundsätzlich ebenso weiterhin möglich wie nicht personalisierte Webseitenzugriffe. Als problematisch könnte sich in diesem Zusammenhang allerdings der Umstand erweisen, dass bei jedem Zugriff auf eine Webseite auch die jeweilige IP-Adresse übermittelt wird.

Hier sind sich Juristen uneinig, ob es sich bei einer IP-Adresse um ein personenbezogenes Datum handelt. Manchen reicht für den Personenbezug schon die abstrakte Möglichkeit aus, notfalls unter Heranziehung Dritter, wie etwa dem Telekommunikationsprovider, die dahinter stehende Person zu bestimmen. Nach dieser Ansicht, die auch wir für richtig halten, sind IP-Adressen stets personenbezogene Daten. Andere wollen nur dann den Personenbezug bejahen, wenn die datenverarbeitende Stelle allein mit eigenen Mitteln in der Lage ist, aus der IP-Adresse die betreffende Person abzuleiten. Der EuGH hat sich in einem Urteil von 2011 (Urt. v. 24. November 2011, C-70/10) der erstgenannten Meinung angeschlossen. IP-Adressen, egal ob dynamisch oder statisch, weisen nach Ansicht des Gerichtshofs immer einen Personenbezug auf. Bleibt der EuGH in der morgigen Entscheidung bei dieser Auffassung, so ist jegliche Nutzung US-amerikanischer Online-Dienste stets zwingend mit der Übermittlung personenbezogener Daten verknüpft.

Übermittlung personenbezogener Daten

Zwar verbietet das EU-Recht die Übermittlung personenbezogener Daten in einen Drittstaat ohne angemessenes Datenschutzniveau, jedoch sieht es zugleich eine Reihe von Ausnahmen vor. So dürfen personenbezogene Daten jedenfalls dann in einen solchen Staat versendet werden, wenn dies für die Erfüllung eines Vertrages, für die Wahrung lebenswichtiger Interessen der Betroffenen oder für die gerichtliche Geltendmachung von Ansprüchen erforderlich ist. Bei der Nutzung von Online-Diensten dürften diese Ausnahmen in der Regel jedoch nicht greifen, sieht man einmal von gezielten Einkäufen oder Reisebuchungen ab.

Gerade für die Verwendung von sozialen Netzwerken und Suchmaschinen, deren Geschäftsmodelle im Wesentlichen auf der Verarbeitung und Vermarktung personenbezogener Daten beruhen, dürfte jedoch eine andere Ausnahme wichtig werden: Haben Nutzerinnen und Nutzer der Übermittlung ihrer personenbezogenen Daten zweifelsfrei ausdrücklich zugestimmt, dürfen die Informationen in einen Drittstaat ohne angemessenes Datenschutzniveau übertragen werden. Voraussetzung dafür ist jedoch stets, dass sie vor Abgabe der Einwilligung über die betroffenen Daten, über den genauen Verwendungszweck und die Reichweite der Datenverarbeitung, insbesondere eine eventuelle Weitergabe an Dritte, unterrichtet wurden. Online-Dienste in den USA müssten Nutzerinnen und Nutzer aus der EU daher zunächst darüber aufklären, welche Daten sie genau erheben, was sie mit diesen Daten anstellen und an wen sie die Daten unter welchen Bedingungen weitergeben.

Fazit

Gerade bei sozialen Netzwerken geschieht dies weitestgehend bereits heute im Wege allgemeiner Geschäftsbedingungen (AGB), denen Nutzerinnen und Nutzer vor der Verwendung des Dienstes zustimmen müssen. Bei anderen Diensten, etwa Suchmaschinen, ist das bisher hingegen eher unüblich, so dass sich hier tatsächlich eine Änderung ergeben würde – vor der Eingabe einer Suchanfrage müsste dann zunächst per Mausklick den AGB zugestimmt werden. Zudem müsste in den AGB auch darauf hingewiesen werden, dass und unter welchen Umständen US-Geheimdienste auf die bei den Anbietern gespeicherten personenbezogenen Daten zugreifen können. Dies dürfte für amerikanische Online-Dienste zugleich die heikelste Folge der Ungültigkeit von „Safe Harbor“ sein: Sie wären gezwungen, gegenüber ihren europäischen Nutzerinnen und Nutzern ihre Mithilfe an den Massenüberwachungsprogrammen der NSA offenzulegen. Das könnte sie vor unlösbare Probleme stellen, da es ihnen nach US-amerikanischem Recht untersagt ist, ihre Zusammenarbeit mit der NSA in irgendeiner Form öffentlich zu machen. Selbst die Tatsache, dass den Online-Diensten Äußerungen über die Kooperation verboten sind, dürfen sie der Allgemeinheit nicht mitteilen.

Spätestens an dieser Stelle wird noch einmal besonders deutlich, warum das US-Außenministerium so vehement auf das Votum des Generalanwalts beim EuGH reagiert hat. Eine Ungültigkeit von Safe Harbor würde zwar nicht unbedingt das Ende transatlantischer Datenflüsse bedeuten; im Interesse ihrer eigenen Online-Wirtschaft würde es die USA aber zu politischen Konsequenzen und Reformen im Bereich der geheimdienstlichen Massenüberwachung zwingen. Daher darf sich die europäische Öffentlichkeit auch nicht von der nach der Entscheidung zu erwartenden EuGH-Schelte blenden lassen, sondern muss diese Konsequenzen und Reformen selbstbewusst einfordern. Dadurch könnte sich schließlich die Erkenntnis durchsetzen, dass die geheimdienstlichen Spähexzesse nicht nur Grundrechte verletzen und die Rechtsstaatlichkeit erodieren, sondern auch schwerwiegende wirtschaftliche Schäden nach sich ziehen. Damit wäre ein entscheidender Beitrag zum Beginn eines politischen Umdenkens in Fragen der Massenüberwachung auf beiden Seiten des Atlantik geleistet.

Spenden

EU-Generalanwalt: Massenüberwachung durch US-Dienste verletzt Grundrechte

„Der Generalanwalt tut einen überfälligen Schritt, um dem politischen Rumgeeiere bei der geheimdienstlichen Massenüberwachung ein Ende zu setzen. In seinem Votum stellt er nicht nur klar, dass die Kommission den Schutz personenbezogener Daten seit Jahren schleifen lässt. Er plädiert auch dafür, die von Edward Snowden enthüllte Totalüberwachung der elektronischen Kommunikation durch US-Dienste erstmals höchstrichterlich zu bestätigen. Folgt das Gericht dem Votum, so können politische Entscheidungsträger in Deutschland und Europa die Massenüberwachung künftig nicht mehr als unbewiesene Behauptung abtun.“, erklärt Alexander Sander, Geschäftsführer des Vereins Digitale Gesellschaft.

Der Generalanwalt beim EuGH, Yves Bot, hält die Safe Harbor Entscheidung der EU-Kommission zur Datenübermittlung zwischen Europa und den USA für ungültig. In seinem heute veröffentlichten Votum legt er dar, dass US-Geheimdienste bei amerikanischen Social-Media-Plattformen unbeschränkt und ohne jegliche unabhängige Aufsicht vollen Zugriff auf die personenbezogenen Daten europäischer Bürgerinnen und Bürger nehmen. Die Übermittlung und Speicherung der Daten in den USA verstoße daher gegen die EU-Grundrechte auf Privatsphäre und den Schutz personenbezogener Daten sowie das Recht auf effektiven Rechtsschutz. Die Safe Harbor Entscheidung, welche abweichend vom EU-Datenschutzrecht die Übermittlung erlaubt, beruhe auf der falschen Annahme, dass das Datenschutzniveau in den USA dem in der EU entspreche, so Bot. Mit dem Votum schlägt der Generalanwalt eine Entscheidung in dem Rechtsstreit zwischen dem Datenschutzaktivisten Max Schrems und Facebook vor, welcher derzeit beim EuGH anhängig ist.

 

Facebook: Tipps zur Wahrung der Privatsphäre

Zum 30. Januar 2015 hat Facebook seine Datenschutzbestimmungen und seine Cookies-Richtlinie geändert. Auf welche Neuerungen sich Nutzerinnen und Nutzer des sozialen Netzwerks deswegen einstellen müssen und was das für den Schutz ihrer Privatsphäre bedeutet, haben wir bereits im Dezember in einem Blogbeitrag zusammengefasst. Doch wie kann man sich vor dem Datenhunger des Unternehmens schützen, wenn man weiterhin bei Facebook bleiben möchte? Im Folgenden haben dazu wir einige nützliche Tipps zusammengestellt.

A. Tipps für PC und Laptop

Greift man über einen PC oder Laptop auf Facebook zu, hat man die besten Chancen, die Verfolgung des eigenen Surfverhaltens zu verhindern oder zumindest zu erschweren:

1. Zwei unterschiedliche Browser für Facebook und anderes verwenden

Facebook verfolgt die Nutzer über sogenannte Cookies. Das sind kleine Textdateien, die beim Besuch einer Webseite in einem Browserverzeichnis gespeichert werden. Sobald man sich einloggt, legt FB in einem auf den jeweiligen Browser beschränkten Verzeichnis eine solche Datei ab. Besucht man nun eine andere Seite, auf der ebenfalls ein Facebook-Script läuft, kann diese Seite das zuvor abgelegte Cookie lesen, Nutzerinnen und Nutzer auf diese Weise wiedererkennen und die Datei mit weiteren Informationen über das Surfverhalten anreichern.

Um diese Zugriffe zu verhindern, empfiehlt es sich, zwei unterschiedliche Browser zu verwenden – etwa mit einem Chrome-Browser ausschließlich Facebook zu nutzen und für alle anderen Aktivitäten im WWW zB Firefox zu verwenden. Firefox kann nicht auf die Chrome-Cookies zugreifen, und umgekehrt. Auf diese Weise erhält Facebook ausschließlich Daten über das, was die Nutzerinnen und Nutzer auf dem sozialen Netzwerk selbst tun, nicht aber über ihr sonstiges Verhalten im Netz.

2. Browsereinstellungen anpassen

Eine weitere Möglichkeit der Verfolgung durch Cookies zu entgehen, besteht darin, dem Browser das Speichern der Cookies von besuchten Webseiten und Drittanbietern zu verbieten. Im Einstellungsmenü von Firefox kann man dies unter dem Reiter “Datenschutz” vornehmen. Leider müssen Nutzerinnen und Nutzer bei dieser Variante mit Funktions- und Bequemlichkeitseinbußen beim Besuch von Webseiten rechnen.

3. BetterPrivacy beseitigt hartnäckige “Super-Cookies”

Neben den gewöhnlichen Cookies, die im Verzeichnis des jeweiligen Browsers gespeichert werden, gibt es auch noch sogenannte “Super Cookies”. Diese Dateien werden als “Locally Shared Objects” (LSOs) in einem zentralen Verzeichnis auf dem jeweiligen Rechner abgelegt und beim Beenden des Browsers nicht automatisch gelöscht. Das Plugin “Better Privacy” kann LSOs jedoch wahlweise beim Starten oder Beenden des Browsers effektiv löschen. Außerdem erlaubt es das Plugin auf Wunsch auch, einzelne LSOs gezielt zu beseitigen. Hat man “Better Privacy” installiert, sollte man also nach einer Facebook-Session einmal den Browser schließen und so das Löschen der vorhandenen LSOs herbeiführen oder zumindest gezielt die vorhandenen LSOs “von Hand” löschen.

4. NoScript blockt Javascript

Ein weiteres unerlässliches Browser-Plugin zum Schutz der Privatsphäre ist NoScript. NoScript blockt standardmäßig sämtliche Javascripte, so dass sie beim Besuch einer Webseite zunächst nicht ausgeführt werden. Das hat in der Regel zur Folge, dass Webseiten nicht mehr richtig funktionieren. Nutzerinnen und Nutzer haben deshalb die Möglichkeit, gezielt einzelne oder pauschal alle auf einer Seite laufenden Scripte temporär oder permanent zu erlauben. Beim Besuch von Facebook selbst sind eigentlich nur die Scripte “facebook.com” und “akamaihd.net” für den Betrieb der Seite erforderlich.  Bei vielen anderen Seiten laufen ebenfalls Scripte von Facebook oder kooperierenden Werbenetzwerken im Hintergrund, die für die Funktionalität dieser Seiten aber nicht zwingend benötigt werden. Bleiben diese Scripte geblockt, so kann Facebook einen Nutzer beim Besuch dieser Seite nicht wiedererkennen.

5. Ghostery blockt Tracker, Beacons und Widgets

Ebenfalls dringend zu empfehlen ist das Browser-Plugin “Ghostery”. Es blockt verschiedenste Techniken zur Ausforschung der Privatsphäre wie Werbetracker, Beacons (Zählpixel) und Widgets (kleine Anwendungen). So wirkt Ghostery zugleich als wirksamer Adblocker. Während manche Seiten (vor allem Online-Portale von TV-Sendern) nur funktionieren, wenn all diese Techniken nicht geblockt werden, sind sie für die Funktion der meisten Webseiten nicht erforderlich. Ghostery kann daher verhindern, dass Werbenetzwerke, die mit Facebook zusammenarbeiten und deren Tracker auch auf vielen anderen Webseiten laufen, Nutzerinnen und Nutzer wiedererkennen und ihre Profile mit weiteren Informationen über ihr Surfverhalten anreichern können.

6. Nützliche Webseiten

Auf Seiten wie www.meine-cookies.org können selbst Ungeübte den Status der Cookies auf dem eigenen Rechner überprüfen. Facebook selbst verweist in den Datenschutzeinstellungen außerdem auf die Online-Dienste www.aboutads.info und www.youronlinechoices.com, über die sich Cookies, Zählpixel und die von Facebook ebenfalls verwendete lokale Speicherung deaktivieren lassen.

7. Datenschutzeinstellungen von Facebook

In den Datenschutzeinstellungen können Nutzerinnen und Nutzer von Facebook Vorgaben zu “Webseiten Dritter” sowie “Werbeanzeigen und Freunde” machen. In den Optionen sollte stets “Niemand” ausgewählt und danach gespeichert werden, um die Verfolgung durch Facebook einzudämmen. Etwas schwieriger ist es bei “Werbeanzeigen basierend auf einer Nutzung von Webseiten oder Apps außerhalb von Facebook”. Hier besteht nur die Möglichkeit, über die nicht zu Facebook gehörenden Plattformen About Ads und Your Online Choices Werbeanbieter auszuschalten. Die betreffenden Firmen, neben Facebook auch große Unternehmen wie Amazon und Google sowie zahlreiche kleinere Anbieter, sind dann gehalten, das Surfverhalten der Nutzerinnen und Nutzer nicht weiter zu verfolgen. Ob sich diese Firmen tatsächlich an diese Vorgabe halten, ist allerdings kaum zu überprüfen.

Spenden

B. Tipps für Smartphones und Tablets

Bei der Nutzung von mobilen Geräten wie Smartphones und Tablets haben Nutzerinnen und Nutzer generell weniger direkte Konfigurationsmöglichkeiten als auf dem PC oder Laptop. Gleichwohl gibt es auch hier Möglichkeiten, die eigene Privatsphäre zu schützen. Je nach Betriebssystem stehen dafür unterschiedliche Apps zumeist kostenlos zur Verfügung.

Für Smartphones und Tablets mit Android-Betriebssystem sind vor allem folgende Apps zu empehlen:

1. Tinfoil

Mit der kostenlosen App Tinfoil wird Facebook nur abgeschirmt vom Rest des Systems im sogenannten Sandkasten-Modus (sandbox mode) ausgeführt. Auf diese Weise kann die App den Datenverkehr zwischen Facebook und dem eigenen Smartphone kontrollieren und begrenzen.

2. Privacy Fix

Die Gratis-App Privacy Fix bietet ein übersichtliches Dashboard, auf dem Nutzerinnen und Nutzer verfolgen können, mit wem sie welche Inhalte bei Facebook, Google, Twitter und LinkedIn teilen.

3. Privacy Scanner für Facebook

Der nur in englischer Sprache, dafür aber kostenlos verfügbare Privacy Scanner für Facebook überprüft die Datenschutz-Einstellungen eines Facebook-Kontos und empfiehlt Nutzerinnen und Nutzern Änderungen, mit dem sie den Schutz ihrer Privatsphäre verbessern können.

4. Permission Manager

Über den kostenlosen Permission Manager haben Nutzerinnen und Nutzer Zugriff auf versteckte Parameter (sogenannte App Ops), die nicht im Einstellungsmenü des jeweiligen Android-Gerätes angezeigt werden. Außerdem schlägt der Permission Manager Alarm, wenn Apps versuchen, private Informationen abzurufen. Auf diese Weise können die Privatsphäreeinstellungen für sämtliche Apps vorgenommen und effektiv kontrolliert werden.

Für Telefone und Tablets mit Apples iOS-Betriebssystem können folgende Apps beim Schutz der Privatsphäre nützlich sein:

1. Permission Manager

Den oben bereits dargestellten Permission Manager gibt es auch für Geräte mit iOS-Betriebssystem.

2. Wickr

Um Facebook das Mitlesen und Analysieren von Chatinhalten im Rahmen seines Messenger-Dienstes zu erschweren, können mit der Gratis-App Wickr selbstzerstörende Nachrichten versandt werden. Wickr wandelt Nachrichten in einen Link um, den man statt des eigentliches Textes in den Facebook-Messenger kopiert. Klickt der Empfänger auf den Link, so zeigt Wickr die eigentliche Nachricht an und bietet außerdem die Möglichkeit, diese sogleich zu löschen. Auf diese Weise laufen die Analyse-Algorithmen von Facebooks ins Leere.

C. Generelle Tipps für Smartphones und Tablets

Statt auf mobilen Endgeräten die Facebook-App zu verwenden, kann man das soziale Netzwerk ähnlich wie auf einem PC auch über einen Browser nutzen. Dies hat den Vorteil, dass sich über das Einstellungsmenü Funktionen wie „Kein Tracking“ aktivieren und der Einsatz von Cookies blockieren lassen.

Wer weiter auf die Facebook-App setzen möchte, sollte in den Datenschutzeinstellungen die Berechtigungen für den Zugriff auf die eigenen Daten möglichst strikt halten. Bei iOS-Systemen empfiehlt es sich, im Menü Einstellungen-Datenschutz unerwünschte Berechtigungen wie etwa die Ortungsfunktion abzuschalten.

Facebooks neuer Datenschutz: Ein wenig Zucker und viel bittere Medizin

Seit einigen Tagen informiert Facebook seine Nutzerinnen und Nutzer über bevorstehende Veränderungen bei den Datenschutzbestimmungen, den Nutzungsbedingungen und der Cookies-Richtlinie. Die veränderten Regeln sollen künftig nicht nur für Facebook selbst, sondern auch für andere Dienste und Anwendungen des Unternehmens wie zum Beispiel WhatsApp und Instagram gelten. Während Facebook versucht, die Neuerungen als Fortschritt in Sachen Datenschutz und Privatsphäre zu vermarkten, geht es dem sozialen Netzwerk tatsächlich aber darum, Zielgenauigkeit und Preise seiner Werbung zu erhöhen. Leitendes Interesse für die Neuerungen ist nicht das Wohl der Nutzerinnen und Nutzer, sondern Wert und Gewinn des börsennotierten Unternehmens Facebook Inc.

Neu ist zunächst, dass Nutzerinnen und Nutzer von Facebook ungewollte Werbung und Werbeformen nicht mehr nur auszublenden können, sondern auch Informationen darüber erhalten, warum eine Anzeige als für sie relevant betrachtet wird. Indem sie sich dabei auch noch selbst direkt bestimmten Werbezielgruppen zuordnen, nehmen sie Facebook ganz nebenbei die Marktforschungsarbeit ab, sogar zum Nulltarif. So kann die Werbung sie künftig noch zielgenauer erreichen, was es Facebook erlaubt, seine Anzeigen noch hochpreisiger zu vermarkten.

Außerdem plant das soziale Netzwerk, Ortsangaben stärker in die personalisierte Werbung einzubeziehen und eine „Kaufen“-Schaltfläche einzuführen. Sie soll den Erwerb von Produkten ermöglichen, ohne Facebook dafür verlassen zu müssen. Unerwähnt bleibt, dass das Unternehmen auf diese Weise auch das Konsumverhalten seiner Nutzerinnen und Nutzer erheben und auswerten kann. Was Facebook als Verbesserung des Nutzungserlebnisses beschönigt, ist nichts weiter als der dreiste Versuch, die Ausweitung des Portfolios an gesammelten und zu Werbezwecken genutzten personenbezogenen Informationen mit Zuckerguss zu überziehen.

DG-Spende-klein

Facebook gab außerdem bekannt, dass es demnächst die Werbeplattform Atlas einsetzen wird. Das System ermöglicht es, das Surfverhalten der Nutzerinnen und Nutzer auch außerhalb von Facebook geräteübergreifend zu verfolgen und auszuforschen. Über die Mitgliedschaft bei Facebook und die Gerätenummern kann Atlas Personen eindeutig identifizieren und Informationen über ihr Tun im Netz sammeln. Nutzerinnen und Nutzer müssen dazu nicht einmal mehr eine bestimmte Aktion ausführen, wie etwa das Betätigen eines Like-Buttons – es reicht, dass sie Apps nutzen oder Webseiten besuchen, bei denen im Hintergrund das Atlas-System läuft. Faktisch bedeutet dies eine durchgängige Überwachung der Menschen, wann und wo auch immer sie sich im Netz bewegen. Dadurch wird es für Nutzerinnen und Nutzer demnächst beinahe unmöglich, sich dem Datenhunger des Unternehmens zu entziehen – es sei denn, sie verzichten auf die Verwendung von Facebook.

Umgekehrt schafft Facebook zumindest oberflächlich betrachtet auch ein klein wenig mehr Transparenz in eigener Sache: wer sich durch die neuen Richtlinien und Bedingungen klickt, kann in einer bislang unbekannten Offenheit von den angewandten Techniken zur Datensammlung und -verarbeitung lesen – jedoch ohne etwas über den Gesamtzusammenhang der allumfassenden Kommunikationsauswertung zu erfahren. Nutzerinnen und Nutzer haben darüber hinaus ohnehin keine Möglichkeit, der Anwendung dieser Methoden zu widersprechen – wer Facebook ab dem 01.01.2015 nutzt, stimmt den Veränderungen der Nutzungsbedingungen und Richtlinien automatisch zu. Facebook lässt sich damit den Einsatz von intrusiven Technologien wie Cookies und Pixeltags/iBeacons offiziell absegnen.

Vor diesem Hintergrund trägt auch die neu geschaffene Rubrik „Grundlagen zum Datenschutz“ kaum zu einer Verbesserung bei. Facebooknutzerinnen und -nutzer erhalten dort zwar eine Anleitung, wie sie kontrollieren können, was andere Nutzerinnen und Nutzer über sie erfahren. Doch auch dieser Versuch bleibt halbherzig. So ist bereits fraglich, ob Menschen die „Grundlagen zum Datenschutz“ überhaupt jemals aufrufen. Und wenn doch, sind sie vermutlich schnell von der Masse an Informationen erschlagen, die ihnen dort angeboten wird. Das schlichte Design soll Übersichtlichkeit simulieren – sich durch die einzelnen Infobereiche und Kurzpräsentationen zu klicken, ohne den Überblick zu verlieren, ist jedoch beinahe unmöglich.

Und hier schließt sich der Kreis: dass Menschen viele personenbezogene Informationen über sich preisgeben, ist Teil des Geschäftsmodells von Facebook. Das Unternehmen will die Kommunikation der Nutzerinnen und Nutzer untereinander stimulieren, weil ihm jede Kommunikation weitere Informationen liefert, mit denen es sein Werbenetzwerk optimieren kann. Die Preisgabe und Verwertung persönlicher Informationen sind das Kernanliegen des Unternehmens – zu behaupten, Facebook sei der Datenschutz besonders wichtig, wäre geradezu höhnisch.

Wer seine Privatsphäre wirklich schützen will, sollte deshalb selbst Maßnahmen ergreifen, statt dem Marketing von Facebook zu vertrauen. In den Browsereinstellungen lässt sich die Nutzung von Cookies deaktivieren oder zumindest eine Löschung nach jeder Sitzung anordnen. Auf www.youronlinechoices.com/de/praferenzmanagement können Nutzerinnen und Nutzer angeben, dass sie von personalisierter Werbung nicht erreicht werden möchten. Mit Browsererweiterungen wie NoScript und uBlock Origin können Javascript und Beacons blockiert werden. Wer nach so viel bitterer Medizin allerdings endgültig von Facebook geheilt ist, hat natürlich auch die Möglichkeit, ganz auf eine Mitgliedschaft in dem sozialen Netzwerk zu verzichten und sich stattdessen alternativen Plattformen, wie zum Beispiel Ello, zuzuwenden.