Für manche eine schöne Aussicht, für andere weniger: Eine technische Lücke im Datenbanksystem von Facebook lädt die Behörden zu Bußgeldern ein.
Bild: Eileen Henderson, Gap in the fence on Black Knowe Head – geograph.org.uk – 550211, CC BY-SA 2.0
Immer noch sehen sich Internetnutzer auf einer Vielzahl von Websites und Apps mit einer andauernden Aufzeichnung ihres Verhaltens durch Facebook konfrontiert. Obwohl das im Bereich der europäischen DSGVO in vielen Fällen eine rechtliche Grauzone darstellt, kommen die entsprechenden Verfahren gegen Facebook nicht richtig in Gang, auch weil die irische Datenschutzbehörde damit entweder überfordert ist oder nicht gegen das umsatzstarke Unternehmen agieren will. Dabei ist für viele Nutzer die massenweise und intransparente Sammlung von Verhaltensdaten auf Websites und Apps außerhalb von Facebook besorgniserregend.
Doch genau in diesem Bereich findet sich auch eine bemerkenswerte, wenig beachtete, technisch-juristische Schwachstelle im Trackingsystem von Facebook, mit dem Internetnutzer gute Chancen haben, die Entfernung des Trackers aus beliebigen Websites oder Apps zu erzwingen. Für diese Erkenntnis muss ich mich bei der Presseabteilung von Facebook bedanken, die mich vor einigen Wochen überhaupt auf die Idee gebracht haben, dieses Problem im Detail zu recherchieren. In einem Artikel über das Facebook-Tracking beim Bayerischen Blutspendedienst schrieb ich bei der Süddeutschen Zeitung:
Die Daten könnten nun bei Facebook profilbezogen gespeichert sein (…).
Facebook forderte mehrmals hartnäckig eine Richtigstellung:
Facebook nutzt Pixel-Daten nicht dafür (…) Interessen zu den Profilen von Nutzern hinzuzufügen.
Ich lehnte die Richtigstellung ab, weil ich meine Formulierung mit den Business AGBs von Facebook belegen konnte und aus gutem Grund „profilbezogen“ geschrieben hatte und nicht „im Profil“, was tatsächlich falsch wäre. Aber warum machte die Pressestelle so viel Theater um diese Formulierung? Es gäbe zumindest einen guten Grund: Der Profilbezug der Trackingdaten ist juristisch entscheidend. Weil die Trackingdaten einen Personenbezug haben, muss Facebook für alle erhobenen Daten die DSGVO-Pflichten erfüllen. Das ist unangenehm – aber es kommt noch schlimmer: Einem Datenschutzaktivisten aus Belgien ist zu verdanken, dass wir mittlerweile wissen, dass Facebook diese Pflichten nach eigenen Angaben aus technischen Gründen kaum erfüllen kann. Paul-Oliver Dehaye hatte von Facebook Einsicht in alle über ihn gespeicherten Pixel-Daten verlangt, vor allem eine Liste aller Websites mit dem Tracker, die er besucht hatte. Die Antwort von der Facebook-Technik nach einigem Hin-und-Her: Die Pixel-Daten seien in Form von Log-Einträgen in einer Hive-Datenbank gespeichert, die nicht pro User indexiert seien. Es sei technisch unmöglich bzw. unverhältnismäßig aufwändig, diese Daten pro User zusammenzustellen. Diese Aussage gegenüber Dehaye spielt mittlerweile auch eine Rolle im Cambridge-Analytica-Skandal und liegt daher dem britischen Parlament vor. Auf meine Anfrage hat Dehaye bestätigt, dass bis heute keine Auskunft zu seinen Daten vorliegt und die Beschwerde weiter ungelöst ist. Eine ganz ähnliche Erfahrung machte der britische Datenschutzaktivist Michael Veale, dem ebenfalls noch die Auskunft über seine Pixel-Daten verweigert wird – auch hier läuft eine Beschwerde gegen Facebook. Facebooks Datenbanksystem ist also offenbar nicht wirklich DSGVO-kompatibel. Zwar versucht man in kleinen Schritten, immer mehr Teile der Daten aus den Business-Tools (z.B. welche Anzeigen durch besuchte Websites ausgelöst wurden) für die Nutzer in ihrem Profil steuerbar zu machen, aber das ist weit entfernt von einer Vollständigkeit. Oder um es mit den Worten von Facebook zu sagen: Es ist nur eine „klar verständliche Repräsentation der Daten“. Auch das angekündigte Tool Off-Facebook Acitivity wird nur eine „Zusammenfassung“ der Daten liefern und vermutlich nicht für Personen ohne Facebook-Account funktionieren.
Es ist ein Elefant im Raum, den viele Websites und Apps in Deutschland bei der rechtlichen Bewertung der Marketing-Tools übersehen haben. Bereits mit diesen zwei Fällen und den entsprechenden technischen Statements von Facebook muss man davon ausgehen, dass Facebook die DSGVO-Pflichten (z.B. Recht auf Löschung, Kopie, Berichtigung) für die gesammelten Tracking-Daten grundsätzlich nicht erfüllen kann. Und das hat Konsequenzen für alle, die den Tracker nutzen. Selbst wenn ein Website-Betreiber ein „berechtigtes Interesse“ konstruieren kann oder Nutzer in die Weitergabe eingewilligt haben: ohne die Erfüllung der Auskunfts- und Löschpflichten verstößt das Facebook-Tracking grundsätzlich gegen die DSGVO. Noch ungünstiger wurde die Lage für die Betreiber von Websites und Apps mit einem kürzlichen EuGH-Urteil: Im Fashion-ID-Urteil wurde die gemeinsame Verantwortung von Facebook und Seitenbetreiber für den Einsatz von Plugins bekräftigt. Das Urteil stellt auch fest, dass obwohl ein Websitebetreiber keinen Einfluss auf die rechtmäßige Verarbeitung bei Facebook hat und er nicht direkt für die Verstöße bei Facebook verantwortlich ist, er doch dafür verantwortlich ist, dass er das Plugin einbindet (RN. 78). Durch die gemeinsame Verantwortung ist der Betreiber einer Website oder App mit Facebook-Trackern außerdem nach Art. 26 DSGVO dazu verpflichtet, eine Vereinbarung mit Facebook zu schließen, die die Erfüllung der DSGVO-Pflichten regelt. Das Wesentliche der Vereinbarung muss dem Nutzer zur Verfügung gestellt werden (zum Beispiel in der Datenschutzerklärung). Bisher bietet Facebook eine solche Vereinbarung nur für Fanpages an. Für die Business-Tools ist das vermutlich wegen den oben genannten technischen Gründen nicht möglich. Das ist die Schwachstelle, die man nun nutzen kann.
Wer sich also am Einsatz des Facebook-Trackers stört, kann beim Betreiber der Website oder der App mit Hinweis auf die Dehaye-E-Mails anfragen, wie die Erfüllung der DSGVO-Pflichten geregelt sein soll, wenn Facebooks Datenbank offenbar technisch nicht dafür ausgelegt ist. Kann oder will der Betreiber nicht erklären, wie die Erfüllung der Pflichten entgegen der Behauptungen von Facebook möglich sein soll, muss er den Tracker entfernen. Tut er dies nicht, steht einer Beschwerde gegenüber der Aufsichtsbehörde nichts im Weg. Der Betreiber hat dann gegen Art. 26 DSGVO verstoßen.
Diese Rechtslücke, die vor allem durch die Dehaye-E-Mails entsteht, wurde auch von DSGVO-Anwälten bei ihren zahlreich verfügbaren Ratschlägen für Websitebetreiber kaum erwähnt. Während Facebook zwar tatsächlich versuchen kann, in einem Einzelfall eine Auskunft aus technischen Gründen zu verweigern, ist es schwer vorstellbar, dass die deutschen Behörden deshalb eine Art Generalausnahme für die Unternehmen zulassen, die den Tracker einsetzen. Die Betreiber müssen eine Vereinbarung vorlegen, die die Erfüllung der Auskunfts- und Löschpflichten regelt. Auf den Einzelfall können sie sich nicht berufen, weil von ihnen keine Datenauskunft gefordert wird, sondern ein Beleg dafür, dass diese Auskunft grundsätzlich organisiert und möglich ist. Entsprechend drohen ihnen auch keine Bußgelder wegen Nichterfüllung der DSGVO-Pflichten, sondern wegen dem Fehlen einer gemeinsamen Vereinbarung, die auch die von Facebook geschilderten technischen Probleme für den Standardfall auflösen sollten. Ob das die Behörden und Gerichte dann auch so sehen, muss man natürlich abwarten.
Für Betroffene ist das also eine gute Nachricht: Sie können wegen diesem grundsätzlichen Mangel gegen jede Website oder App eine Datenschutzbeschwerde einlegen, die Facebooks Business-Tools nutzt und keine Angaben zu einer gemeinsamen Vereinbarung macht. Dazu gehören zum Beispiel Like-Button, Facebook SDK, Pixel, Audience Network und Graph (wie man den AGBs entnehmen kann). Das funktioniert selbst dann, wenn die Website vor der Datenweitergabe eine Einwilligung fordert und auch, wenn der Betroffene keinen Facebook-Account benutzt. Eine Musterbeschwerde, die unter anderem diese Schwachstelle aufgreift, werde ich in den nächsten Tagen zusammen mit dem IT-Spezialisten Mike Kuketz zur allgemeinen Verwendung veröffentlichen und über eine damit eingereichte Beschwerde berichten.
War dieser Beitrag hilfreich? Mit einer Spende unterstützt du meine Arbeit in diesem Bereich.
Sehr gut, vielen Dank!
Was denkst du inwieweit man die Angelegenheit auf Dienste von Google übertragen kann? Z.B. die Google-Schriftarten, die website-Betreiber unbedacht einbauen oder auch sehr interessant: eingebundene YouTube-Videos. YouTube wird oft als Hoster angesehen, ist aber natürlich ebenfalls ein soziales Netzwerk. Auch daran zu sehen, dass alles „umsonst“ ist. Nach meinem Empfinden ist Google schlimmer als Facebook.
Ja, schlimmer, nur schwieriger nachzuweisen. Vor allem für das Real Time Bidding kann man ein ähnliches Versagen der Auskunftspflichten annehmen, vor allem wenn der sogenannte GDPR Workaround, den Zach Edwards beschrieben hat, tatsächlich noch fortbesteht. Da laufen bereits generelle Verfahren gegen Google, man müsste sich aber noch einarbeiten, inwieweit das auch über Art. 26 gegen Anwender der Tools hier in Deutschland eingesetzt werden kann.