DSFA zurstaatlichen Nutzung von Facebook Pages: sieben hohe Risiken für den Schutzpersonenbezogener Daten
Privacy Company hat im Auftrag des niederländischen Ministeriums für Inneres und die Beziehungen des Königreichs die Risiken für den Schutz personenbezogener Datenfür die staatliche Nutzung von Facebook Pages untersucht. Facebook wurde im Januar 2022 in Meta Platform Inc. umbenannt. Obwohl Meta auch von weiteren Applikationen Gebrauch macht, unter anderem WhatsApp und Instagram, bezieht sich dieser Blog nur auf Facebook Pages.
Facebook Pages
Jeder mit einem Facebook Account kann eine Seite erstellen, um Informationen und Nachrichten auszutauschen. Unternehmen, staatliche Organisationen, berühmte Menschen und Marken können dies ebenfalls tun. Durch eine Facebook-Seite können Informationen mit Freunden, mit Freundesfreunden und einem breiteren Publikum ausgetauschtwerden. Wenn ein Facebook-Nutzer einer Seite einen Like gibt oder ihr folgt, erhält er vom Facebook-Seiten-Besitzer Benachrichtigungen in seinen News-Feed.
Facebook legt denInhalt des News-Feed durch kluge Algorithmen fest, die nicht nur auf Nutzereinstellungen und -aktivitäten basieren, sondern auch auf Aktivitäten und Bewertungen (Likes) von Freunden.
Untersuchungder Datenverarbeitung
Privacy Company hat eine technische und rechtliche Untersuchung über die Verarbeitung von personenbezogenen Daten durchgeführt, die Facebook verarbeitet, wenn man die Facebook-Seite einer staatlichen Organisation besucht. Diese Untersuchung bezeichnet man als DSFA, Datenschutz-Folgenabschätzung. Der Datenschutz-Grundverordnung (DSGVO) zur Folge muss eine Organisation eine solche Untersuchung durchführen, wenn die Verarbeitung von personenbezogenen Daten ein hohes Datenschutzrisiko für Menschen vermuten lässt. Privacy Company hat ebenfalls eine Untersuchung in größerem Umfang über die Auswirkung auf Menschenrechtedurch den Gebrauch von Facebook Pages durchgeführt, einen sogenannten HRIA, Human Rights Impact Assessment (Menschenrecht-Folgenabschätzung).
Für die DSFA wurde eine staatliche fake-Seite erstellt, die des (fiktiven) Datenschutzministeriums. Mit zwei brandneuen Facebook Accounts und einem existierenden Facebook Account (im Namen des Untersuchenden) wurde die Seite einen Monat lang jeden Tag besucht. Beide Accounts haben zufällig auf die empfohlenen Inhalte geklickt. Der eine Account hat nennenswerte anti-regierungs-Nachrichtenerhalten. Dazu weitere Details in dem HRIA. Alle Untersuchungen wurden verzeichnet, der ausgehende Datenverkehr zu den Facebook Servern wurde abgefangen und am Ende wurden drei Anträge betroffener Personen für die drei Accounts erhoben.
Befunde
Rechtlich gesehen bezeichnet sich Facebook als unabhängiger Verantwortlicher für jegliche Erhebung personenbezogener Daten von Besuchern auf Regierungsseiten. Facebook ist der Ansicht diese personenbezogenen Daten für seine eigenen Zwecke verarbeiten zudürfen. Die DSFA beschreibt 15 Hauptzwecke, einschließlich Profiling und Zeigen personalisierter Informationen und Werbebotschaften (Ads). Facebook macht Gebrauch von Tracking Cookies für diese Personalisierung und erfasst damit auch Daten von Seiten-Besuchern, die keinen Facebook Account haben. Facebook möchte Regierungsorganisationen für diese Datenverarbeitungen keine Datenverarbeitungsvereinbarung anbieten, um als gemeinsam für die Verarbeitung Verantwortliche dazustehen. So eine Vereinbarungbietet Facebook nur in sehr geringem Umfang an: Übermittlung von Seitenstatistiken für Seitenbesitzer. Der Mangel vertraglicher Verarbeitungsvereinbarungenüber den Eisberg der unterliegenden Datenvereinbarungen führt durch den Seitengebrauch zur einer Datenweitergabe an Dritte: Regierungsorganisationen müssen Facebook als kommerziellen Dritten betrachten, an den sie personenbezogene Daten ihrer Seitenbesucher weitergeben. Die Weitergabe personenbezogener Daten ist für Regierungsorganisationen in dieser Form nicht erforderlich. Weil Facebook nicht deutlich informiert, was es mit diesen Daten tut und wie es festlegt, welche Inhalte die Seitenbesucher in ihrem News-Feed zu sehen bekommen, könnendie Seitenbesucher, falls Facebook überhaupt danach fragt, keine gültige Einwilligung abgeben.
Technisch gesehen benutzt Facebook Tracking Cookies in irreführender Weise: Facebook gibt vor, dass der Daten-Tracking-Cookie unbedingt erforderlich ist. Facebook erfasst eine große Anzahl Daten über das Verhalten der Seitenbesucher, enthüllt allerdings nicht die Logik wie diese Daten benutzt werden um personalisierte Inhalte, Empfehlungenüber andere Inhalte und Werbebotschaften (Ads) anzuzeigen.
Darüber hinaus kommen noch die Probleme mit Übertragungen personenbezogener Daten in die Vereinigten Staaten, was ein Land ohne angemessenes Datenschutzniveau ist. Durch Facebook veröffentlichte Transparenzstatistiken bezüglich der Datenweitergabe an Rechtsvollzugsbehörden und Geheimdienste in den USA zeigen ein reelles Risiko, dass solche Anweisungen zur Datenweitergabe auch Besucher von niederländischen Facebook Seiten betreffen können.
Ergebnis: 7 hohe, 1 niedriges Datenschutzrisiko
Die DSFA kommt zudem Schluss, dass 7 hohe Datenschutzrisiken bestehen und 1 niedriges, wenn eine Regierungsorganisation eine Facebookseite benutzt, um mit der breiten Öffentlichkeit zu kommunizieren.
Stellungnahme Meta
Meta ist mit den Befunden und Ergebnissen uneinig. Eine Zusammenfassung von Metas Antwort sowie die Antwort von Privacy Company sind der DSFA beigefügt.
Schlussfolgerung und nächste Schritte
Diese DSFA kommt zu dem Schluss, dass Regierungsorganisationen die Nutzung von Regierungsseiten einstellen sollten, wenn Facebook keine Maßnahmen zur Reduzierung der hohen Risiken ergreift. Die niederländische Regierung wird unverzüglich einen Dialogmit Facebook aufnehmen.
Mehr lesen: Die englischsprachige DSFA
Wir veröffentlichen die Ergebnisse in diesem Blog mit der Genehmigung des niederländischen Ministeriums für Inneres und die Beziehungen des Königreichs. Für Fragen bezüglich der Untersuchung wenden Sie sich bitte and den/die Pressesprecher/-in des Ministeriums, 00 31 70 426 88 88.
.png)
