Facebook weiß selbst nicht, wohin User-Daten gehen

In einem kürzlich von Motherboard geleakten Dokument offenbaren Facebook-Ingenieur:innen die beunruhigende Information:

We do not have an adequate level of control and explainability over how our systems use data.

Facebooks Dilemma mit den „Social“ Daten

Facebook befindet sich in einem intern als „Tsunami“ von Datenschutzbestimmungen deklarierten Umstand, der das Social-Unternehmen zwingt, den Umgang mit personenbezogenen User-Daten zu überarbeiten. Das grundlegende Problem hierbei ist, dass Facebook laut einem internen Dokument selbst nicht weiß, wohin die Benutzer:innendaten gehen oder was mit diesen passiert.

We’ve built systems with open borders. The result of these open systems and open culture is well described with an analogy: Imagine you hold a bottle of ink in your hand. This bottle of ink is a mixture of all kinds of user data (3PD, 1PD, SCD, Europe, etc.) You pour that ink into a lake of water (our open data systems; our open culture) … and it flows … everywhere […]. How do you put that ink back in the bottle? How do you organize it again, such that it only flows to the allowed places in the lake?

heißt es in dem geleakten Dokument (3PD bedeutet Daten von Drittanbieter:innen; 1PD bedeutet Daten von Erstanbieter:innen; SCD bedeutet Daten sensibler Kategorien). In einem anderen Absatz steht:

We can’t confidently make controlled policy changes or external commitments such as ‘we will not use X data for Y purpose.’ And yet, this is exactly what regulators expect us to do.

Das Dokument wurde in dem vergangenem Jahr von Facebook-Datenschutzingenieur:innen verfasst. Jetzt schlagen diese Alarm und rufen Facebook dazu auf, den Umgang mit User-Daten zu ändern, da das Unternehmen andernfalls Probleme mit Aufsichtsbehörden in Europa, den USA und anderen Ländern bekommen würde.

Datenschutz und Facebook: Seit Jahren ein Dorn in den Augen verschiedener Aufsichtsbehörden

Bereits in den vergangenen Jahren forderten Aufsichtsbehörden verschiedener Länder zunehmend strengere sowie transparentere Datenschutzbeschränkungen für Social-Media-Unternehmen. 2020 hatte die Datenschutzbehörde der EU Meta beispielsweise eine vorläufige Anordnung unterbreitet, in der sie die Aussetzung der Datenübertragung in die USA gemäß den Bestimmungen der DSGVO anordnete. Nach Unsicherheiten bezüglich Metas Reaktion regelt nun ein neues, vorläufiges Abkommen den Datenaustausch zwischen der EU und den USA.

Eine der bemerkenswertesten und wichtigsten Vorschriften ist die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die im Mai 2018 in Kraft trat. Im fünften Artikel steht, dass personenbezogene Daten „für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden müssen und nicht in einer Weise weiterverarbeitet, die mit diesen Zwecken unvereinbar ist.“ User-Daten, wie zum Beispiel der Standort oder die religiöse Orientierung, dürfen demnach ausschließlich für einen bestimmten Zweck gesammelt und verwendet und nicht für einen anderes Vorhaben wiederverwendet werden.

Facebook hat jedoch in der Vergangenheit beispielsweise die angegebenen Rufnummern von Usern verwendet, um deren Konten per Zwei-Faktor-Authentifizierung zu schützen, und sie zudem sowohl für die Funktion „Personen, die Sie vielleicht kennen“ verwendet als auch an Advertiser weitergegeben. Durch das Unternehmen Gizmodo und ein Team von Forscher:innen konnten Facebooks nicht datenschutzkonforme Aktivitäten entdeckt und unterbunden werden.

Kann Facebook die Datenschutzbestimmungen in Zukunft erfüllen?

Datenschutzexpert:innen, die schon lange darum bemüht sind, sich gegen Facebooks Umgang mit personenbezogenen Daten zu wehren, sehen das Dokument als Eingeständnis, dass das Social-Unternehmen die Vorschriften nicht einhalten kann.

Laut DSGVO ist diese Art von Datenverwendung ausdrücklich verboten, doch das jetzt durchgesickerte Dokument zeigt, dass Facebook möglicherweise nicht einmal selbst die Möglichkeit hat, einen rechtskonformen Umgang mit User-Daten gewährleisten zu können. Doch inwiefern stimmt es, dass Facebook durch die schier unfassbare Menge an Daten nicht mehr in der Lage ist, Datenschutzbestimmungen einzuhalten? Ein:e Sprecher:in von Facebook zumindest bestreitet diesen Vorwurf in einer E-Mail an Motherboard:

Considering this document does not describe our extensive processes and controls to comply with privacy regulations, it’s simply inaccurate to conclude that it demonstrates non-compliance. New privacy regulations across the globe introduce different requirements and this document reflects the technical solutions we are building to scale the current measures we have in place to manage data and meet our obligations.

Ein:e ehemalige:r Facebook-Mitarbeiter:in berichtet jedoch an Motherboard:

Facebook has a general idea of how many bits of data are stored in its data centers […]. The where [the data] goes part is, broadly speaking, a complete shitshow. It is a damning admission, but also offers Facebook legal cover because of how much it would cost Facebook to fix this mess […]. It gives them the excuse for keeping that much private data simply because at their scale and with their business model and infrastructure design they can plausibly claim that they don’t know what they have.

Facebook plant zumindest, eine Infrastruktur aufzubauen, um die Anforderung der Datenschutzbestimmung erfüllen zu können. Das könnte bedeuten, dass das Unternehmen in entsprechende Tools investiert, die das Analysieren von Benutzer:innendaten und das Nachvollziehen, wohin diese gehen und wohin nicht, stärker automatisieren würden. Dieses Vorhaben würde jedoch erhebliche Investitionen benötigen, die eigentlich nicht auf der Prioritätenliste Facebooks stehen.