Autor: admin

Laut einer Mitteilung der österreichischen Studentengruppe „Europe-v-Facebook“ möchte diese gegen den Facebook-Prüfbericht von der irischen Datenschutzbehörde gerichtlich vorgehen. In der Mitteilung heißt es, dass dieses Verfahren zu einem der größten Musterverfahren im Datenschutz werden könnte. Außerdem hätte es gute Chancen bis zum Europäischen Gerichtshof zu laufen.

Seit langer Zeit drängt die Gruppe auf einen verbesserten Datenschutz bei Facebook und hat diverse Anzeigen gegen Facebook eingebracht.

Die europäische Tochter von Facebook hat ihren Sitz in Irland. Seit dem Eingang der Anzeigen kümmert sich die irische Datenschutzbehörde.

Facebook habe zwar mittlerweile auf ein paar Kritikpunkte reagiert, indem z.B. die Gesichtserkennung abgeschaltet wurde und die Datenschutzrichtlinie geändert wurde, dies ist aber für die Studentengruppe bei weitem nicht genug. Sie glauben, dass ihre Anzeigen bei den Behörden nicht ausreichend bei der Prüfung berücksichtigt werden und dass die Iren „massiv vom gemeinsamen Rechtsverständnis der Europäischen Union“ abweichen würden.

Thilo Weichert, der schleswig-holsteinische Datenschützer, hat den Bericht bereits im September als nicht ausreichend kritisiert. Wichtige Fragen, wie die Verarbeitung von Cookie- und Social-Plugin-Daten, werden nicht beantwortet und es gebe keine rechtliche Prüfung der Datenverarbeitung.

Eine rechtskonforme Lösung der Behörde scheint nicht absehbar. Deshalb bereitet sich die Gruppe nach ihren Angaben nun auf ein Gerichtsverfahren gegen die irische Datenschutzbehörde vor. Nach Einschätzung der Studentengruppe benötigen sie hierfür allerdings 100.000 bis 300.000 Euro.

Man versucht nun, diesen Betrag unter anderem über die Spendenplattform „Gemeinsam für ernsthaften Datenschutz“, (https://www.crowd4privacy.org/) im Internet zu sammeln.

Mitte Oktober 2012 trieb Facebook den Datenschützern einmal mehr die Schweißtropfen auf die Stirn. Um das eigene Konto zusätzlich zu sichern, konnten die Nutzer ihre Handynummer eingeben. Diese wurde von Facebook – und zwar ohne die Einverständniserklärung der Nutzer – zur Rückwärtssuche freigegeben. Das bedeutet, wer nach der Nummer suchte, erhielt Name, Geschlecht und Profilbild.

Wenige Tage später hat ein Unbekannter, der unter dem Namen Suriya Prakas auftrat, eine Liste mit mehr als 850 Namen und Telefonnummern veröffentlicht. Mit Hilfe von einem einfachen Script erzeugte er Zufallstelefonnummern und fragte über Facebook ab, ob es ein dazugehöriges Profil gäbe. Wenn das Script fündig wurde, speicherte es die dazugehörigen bei Facebook registrierten Namen und Nummern ab.

Bemerkenswerterweise wurde Suriya Prakas beim Abruf der massenhaften Datensätze (zehntausend Datensätze in einem Durchlauf) über die mobile Version von Facebook nicht blockiert. Erst als eine E-Mail mit einem Hinweis auf ein Sicherheitsproblem eintraf, wurde nach einigen Tagen der Massenzugriff gestoppt.

Facebook hat die Darstellung des Unbekannten nicht bestritten. Ein Sprecher bemerkte, dass eine Zugriffssperre bei zu vielen Datenabrufen greifen würde und dass man die Obergrenze nach den Enthüllungen reduziert hätte.

Ab dem 1. September 2012 gelten auch für die Nutzung von Alt-Adressbeständen die Neuregelungen der BDSG-Novelle II. Unternehmen, die noch vor dem 1. September 2009 erhobene Daten verwenden, sollten ihre Datenbestände entsprechend überprüfen.

Sollten Sie Ihre Kundendatei bis zum 1. September 2012 nicht “sauber” gehabt haben, laufen Sie Gefahr Ihre Daten löschen zu müssen.

Es besteht das Risiko, von den Aufsichtsbehörden ein Bußgeld zu bekommen oder wegen Wettbewerbsverstößen belangt zu werden.

Der Gesetzgeber hat im Rahmen der Novellierung des BDSG auch die Nutzung von personenbezogenen Daten für eigene Geschäftszwecke (wie z.B. Werbung) in § 28 BDSG neu geregelt und strengere Auflagen als bisher festgesetzt.

In § 28 Abs. 3 ff. BDSG werden die Voraussetzungen festgelegt, welche zur Verwendung der Adressen für Werbezwecke erfüllt sein müssen:

• Die Verarbeitung oder Nutzung personenbezogener Daten für Zwecke der Werbung ist zulässig, soweit der Betroffene (z.B. Kunde) eingewilligt hat. (§ 28 Abs. 3 BDSG) (Datenschutzerklärung)

• Sofern keine schriftliche Einwilligung vorliegt, hat die verantwortliche Stelle (Sie als Unternehmer) dem Betroffenen (z.B. Kunden) den Inhalt der Einwilligung schriftlich zu bestätigen. (§ 28 Abs. 3a BDSG)

• Wurde die Einwilligung elektronisch abgegeben, muss diese protokolliert und jederzeit abrufbar sein. (§ 28 Abs. 3a BDSG)

• Außerdem muss der Betroffene (z.B. Kunde) die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen können. (§ 28 Abs. 3a BDSG)

Wenn ein Kunde seine Datenschutzerklärung widerruft, ist die verantwortliche Stelle aufgefordert, die Daten zu löschen.

Was ist also nun zu tun?

Wenn Sie feststellen, dass die Einwilligung fehlt bzw. nicht belegbar ist, sollten alleine schon zur Minimierung Ihres Risikos bei der Verwendung von Kundendaten ab dem 1. September 2012 alle Datensätze gelöscht oder zumindest gesperrt werden, wenn sie nicht auf Grundlage eines der hier genannten Verfahren verifiziert wurden.

Beachten Sie hierbei auch unbedingt alle bei Ihnen bisher eingegangenen Widerrufsforderungen.

Sollten Sie einen Betroffenen trotz dessen Widerruf zur Nutzung seiner Daten für Werbezwecke “versehentlich” anschreiben, kann sich dieser mit der unrechtmäßigen Verwendung seiner Daten an die Aufsichtsbehörden wenden.

Diese wären dann zur Prüfung verpflichtet und könnten dabei noch weitere Fälle bei Ihnen entdecken. Die Aufsichtsbehörden können im günstigsten Fall die Löschung der Daten fordern oder aber Bußgelder in Höhe von 50.000 EUR und mehr verhängen.