Die umstrittene Gesichtserkennung bei Facebook wird abgeschaltet – vorerst. Doch während irische Datenschützer dem Unternehmen gute Noten ausstellen, sehen deutsche Amtskollegen noch viel zu tun.
Überschriften wie „Datenschützer loben Facebook” liest man auch nicht jeden Tag. Aber so recht zum „Mann beißt Hund”-Beispiel taugt diese Meldung trotzdem nicht. Es sind in Anführungszeichen ja „nur” die irischen Datenschützer vom Office of the Data Protection Commissioner, die dem Social Network in ihrem jüngsten Prüfbericht insgesamt ein gutes Zeugnis ausstellen. Unsere einheimischen institutionellen Kämpfer für die informationelle Selbstbestimmung halten den Bericht der Iren indes für „nicht ausreichend”. So gesehen: alles katastrophal wie immer aus deutscher Datenschützer-Sicht, business als usual sozusagen.
Aber mal ganz unabhängig von der jeweiligen Einordnung: Die Tatsache, dass Facebook die überaus umstrittene Gesichtserkennung für seine europäischen Nutzer wieder abschaltet, verdient an dieser Stelle durchaus Würdigung. Die in Deutschland unter dem Namen „Markierungsvorschläge für Fotos” lancierte Funktion wurde ab Dezember 2010 schrittweise eingeführt und sollte es den Nutzern erleichtern, hochgeladene Fotos von Personen schneller mit den Profilen der abgebildeten Nutzer zu verbinden. Dafür scannte eine Software biometrische Merkmale der neuen Fotos ein und glich sie mit schon gespeicherten Bildern ab, auf denen Nutzer bereits markiert worden waren.
Datenschützern war dieses Feature von Anfang an ein Dorn im Auge. „Hochbrisant” nannte der Hamburger Datenschutzbeauftragte Johannes Caspar die Sammlung von biometrischen Merkmalen von Millionen Menschen in einer gigantischen Datenbank, da gebe es erhebliches Missbrauchspotenzial. Ebenso schwer wog der Vorwurf, dass Facebook die Nutzer nicht ausdrücklich vorab von der Neuerung in Kenntnis setzte. Wer diese Fotomarkierung nicht nutzen wollte, war gezwungen, die Funktion zu deaktivieren. Gleichwohl verhinderte dies nicht, dass jede abgelichtete Person auf einem hochgeladenen Foto erst mal in den großen biometrischen Datenpool wanderte. Aber fürs erste ist damit Schluss. Die Datenbank wird gelöscht, das Feature bis zum 15. Oktober abgeschaltet.
Und für wen ist das nun ein Gesichtsverlust? Glaubt man dem Düsseldorfer Web-2.0-Berater Thomas Knüwer, ist das ein schwerer Schlag ins Kontor von deutscher Datenschützern wie Thilo Weichert aus Schleswig-Holstein und ein Hieb gegen die Verbraucherschutzministerin Ilse Aigner. Denn beide verlören „einen Lieblingsfeind, der immer schöne Schlagzeilen lieferte” und mit dem als Gegner man sich medienwirksam (und doch wohlfeil) als Kämpfer für die Belange des kleinen Mannes profilieren konnte. Facebooks europäische Aktivitäten werden von Dublin aus gesteuert, folglich unterwirft sich das Unternehmen irischen Datenschutzregeln und nicht deutschen Bestimmungen. Aufgrund einer umfangreichen Beschwerde eines jungen Österreichers hatte sich daher die irische Datenschutzkommission eingehend mit dem Gebaren des Social-Network-Riesen beschäftigt. Der jetzt veröffentlichte Prüfbericht stellt dem Unternehmen ein überaus wohlwollendes Zeugnis aus: Zwar gebe es in einigen Punkten noch Handlungsbedarf. Die allermeisten Empfehlungen seien aber zur vollsten Zufriedenheit umgesetzt worden: Im Umgang mit den Daten der Nutzer zeige sich Facebook transparenter, die Mitglieder des Netzwerks hätten nun eine größere Kontrolle über die Einstellungen erhalten, in ihrem Profil hinterlegte Elemente wie Bilder oder Beiträge könnten jetzt einfacher wieder gelöscht werden. Auch erhielten Nutzer neuerdings schneller Auskunft, welche persönlichen Daten das Netzwerk überhaupt speichere. Fazit Knüwer: „Nun sehen wir was passiert, wenn Datenschützer mit einem Unternehmen zusammen arbeiten, statt es wütend zu attackieren.” Facebook habe kooperiert, streiche sogar die umstrittene Gesichtserkennung – und erhalte ein Fleißkärtchen. Und das nicht etwa von der Behörde eines fragwürdigen Emerging-Markets-Landes – sondern von einem EU-Mitglied.
Also alle happy? Nein, nicht wirklich. Der Blogger und Journalist Richard Gutjahr rückt die irische Datenschutzaufsicht tatsächlich ein wenig in Richtung Entwicklungsland: Irlands Datenschutzkommission sei untergebracht in einem Supermarkt „mitten in der irischen Pampa, wo Schafe grasen und wo verlassene Industrieanlagen von besseren Zeiten zeugen”, hämt Gutjahr. Zudem beschäftige die 22köpfige Kommission keinen einzigen Juristen. Facebook profitiere sicherlich auch davon, dass es Irland scheinbar nicht immer ganz so genau nehme dem Datenschutz. Man wolle schließlich den Konzern im Land behalten, der darüber nachdenkt, seine Präsenz in Irland weiter auszubauen und neue Arbeitsplätze zu schaffen.
Konkreter kritisiert der österreichische Jurastudent Max Schrems und Gründer der Initiative „Europe Versus Facebook” den Bericht: Dass Facebook bei weitem nicht alle Vorschläge des irischen Datenschutzbeauftragten umgesetzt hat, scheine keinerlei Konsequenzen zu haben. De facto genieße ein Großkonzern wie Facebook „Immunität gegenüber den Datenschutzgesetzen”. Nun waren zwar die ingesamt 22 Beschwerden der Studenten-Initiative Auslöser der Prüfung durch den irischen Datenschutzbeauftragten, aber dessen Prüfbericht ist nicht gleichbedeutend mit einer formalen Entscheidung über diese Beschwerden. Eine rechtlich bindende Entscheidung hat die Datenschutzkommission für Ende des Jahres in Aussicht gestellt. Im Rahmen dieses Beschwerdeverfahrens erhält der Beschwerdeführer allerdings keinerlei Akteneinsicht oder Informationen über die Argumention der Gegenseite. Man sei gewissermaßen im behördlich erzwungenen Blindflug unterwegs, klagt Schrems.
Aber wie oben im ersten Absatz schon angedeutet: Die Sorge von Thomas Knüwer, dass die deutschen Datenschützer so einfach ihres Lieblingsfeindes Facebook verlustig gehen könnten, scheint unbegründet. Der schleswig-holsteinische Datenschützer Thilo Weichert hält den Bericht der irischen Kollegen für „nicht ausreichend”: Wichtige Fragen, zum Beispiel bei der Verarbeitung von Cookie- und Social-Plugin-Daten, blieben unbeantwortet, eine rechtliche Prüfung der Datenverarbeitung habe überhaupt nicht stattgefunden. Weicherts Dienststelle, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) will laut Spiegel Online nun selbst eine umfassende rechtliche Prüfung der Facebook-Datenverarbeitung erarbeiten.
Schauplätze künftiger Auseinandersetzungen zeichnen sich auch bereits ab: Wie heise.de Ende August berichtete, bastelt Facebook an neuen Angeboten für werbetreibende Unternehmen: So soll es Firmen bald möglich sein, E-Mail-Adressen und Telefonnummern ihrer Kunden in der Advertising-Schnittstelle “Premium Power Tool” hochzuladen und mit den Beständen von Facebook abzugleichen. Facebook wird dann dem Blog „inside Facebook” zufolge Unternehmen die Möglichkeit geben, Kunden, die auch Facebook-Mitglieder sind, gezielt über die soziale Plattform anzusprechen. Ob eine solche Funktion mit dem deutschen Datenschutzrecht vereinbar ist, scheint zumindest zweifelhaft. Und es ist auch nicht so, dass die umstrittene Gesichtserkennung jetzt für alle Zeiten beerdigt wäre. Das IT-Fachblog techcrunch zitiert einen Facebook-Sprecher mit der Aussage: „Sobald wir uns mit der irischen Datenschutzkommission auf einen gangbaren Weg verständigt haben, die Nutzer in Kenntnis zu setzen, werden wir dieses nützliche Werkzeug wieder zur Verfügung stellen.” Langeweile wird bei den Datenschützern in Sachen Facebook auch künftig nicht aufkommen.
