Facebook nutzt Anpassung an Datenschutzgrundverordnung, um Gesichtserkennung auch in Europa zu starten
Im Rahmen einer Marketingkampagne kündigt Facebook weitere Mechanismen an, mit denen es sich den neuen europäischen Datenschutzregeln unterwerfen will. Tatsächlich aber bleiben die Veränderungen minimal. Mehr noch: Der Datenkonzern will die Gunst der Stunde nutzen und sich auch das Recht zum Einsatz von Gesichtserkennungssoftware einräumen lassen.
Eine Woche, nachdem Mark „I don’t know“ Zuckerberg vom US-Kongress angehört wurde, kündigt Facebook weitere Maßnahmen an. Diese sollen Nutzer*innen „mehr Kontrolle über ihre Privatsphäre geben und erklären, wie wir Daten nutzen“, heißt es in einem Blogpost des Unternehmens. Zu dem Schritt gehören neue Auswahlmöglichkeiten, um den Datenzugriff für Microtargeting einzuschränken, sowie Schutzmaßnahmen für Jugendliche.
Im Kern sollen die jetzt angekündigten Schritte die Datenpraxis des Unternehmens in Einklang mit den Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) bringen. Es ist das neue Regelwerk der EU, das Facebook in einer beispiellosen Lobbyschlacht jahrelang bekämpfte und jetzt in ganzseitigen Print-Anzeigen begrüßt. Wenig überraschend hält Facebook trotz der neuen Vorschriften, die ab dem 25. Mai 2018 wirksam sind, an seinem Geschäftsmodell fest. Menschen werden weiter analysiert und sortiert, damit Werbekunden ihnen zielgenau kommerzielle und politische Botschaften zukommen lassen können. Die neuen Maßnahmen ermöglichen Nutzer*innen in diesem System nun etwas mehr Mitbestimmung.
Facebook: Mehr Datenschutz, mehr Gesichtserkennung
Dabei zeigt sich allerdings, dass das konkrete Handeln des Unternehmens seine fortwährenden Beteuerungen des guten Willens Lügen straft – wie zuvor schon bei der nebulösen Benachrichtigung der Menschen, deren Daten an Cambridge Analytica geflossen sind.
So behaupten die Verantwortlichen in ihrem Blogpost zwar, Facebook würde im Zuge der jetzt anstehenden Änderungen nicht nach neuen Berechtigungen dafür fragen, „Daten auf Facebook zu sammeln, zu nutzen oder zu teilen“. Tatsächlich aber nutzt der Konzern die Gelegenheit, automatisierte Gesichtserkennung nun auch in der EU und Kanada an den Start zu bringen, die in diesen Regionen aufgrund von Protest bislang nicht ausgerollt wurde. Anders als bei dem ersten Anlauf, das biometrische Verfahren hierzulande einzuführen, sollen Nutzer diesmal um ihr Einverständnis gefragt werden. Das ändert jedoch nichts daran, dass Facebook sich eben doch neue Rechte zur Sammlung und Verwendung von Nutzerdaten einräumen lassen will.
Schließlich basiert die Gesichtserkennung darauf, dass eine Software Fotos analysiert und für Gesichter individuelle Signaturen auf Basis ihrer Merkmale erstellt. Anhand dieser mathematischen Repräsentationen der Gesichter werden Personen dann auf beliebigen Fotos wiedererkannt. In den Vereinigten Staaten wird derzeit eine milliardenschwere Sammelklage gegen den Einsatz der Technologie verhandelt.
Ein Hauch von Selbstbestimmung
Facebook wird seinen Nutzer*innen in den kommenden Tagen ein Entscheidungsmenu anzeigen, in dem sie über bestimmte Datennutzungsarten entscheiden können. Nutzer*innen können beispielsweise auswählen, ob „Daten von Partnern“ für das Zuschneiden von Werbung genutzt werden dürfen. Damit sind solche Daten gemeint, die Facebook über seinen Like-Button oder Tracking-Pixel auf Drittseiten sammelt.
Eine Möglichkeit, Microtargeting mithilfe der Custom-Audiences-Funktion zu unterbinden, gibt es in diesem Zusammenhang jedoch nicht. Mit dieser Funktionen können Werbetreibende Kundenlisten bei Facebook hochladen, um Personen auf der Plattform ausfindig zu machen, die sie bereits kennen.
Für besonders geschützte Datenkategorien wie die zu religiösen oder politischen Ansichten und der sexuellen Orientierung können Nutzer*innen nun einzeln entscheiden, ob diese Informationen von Facebook für das Ausspielen zugeschnittener Werbung genutzt werden dürfen. Das ist in Anbetracht der sonstigen Möglichkeiten zur umfassenden Analyse allerdings nur ein schwacher Trost: Der Skandal um die Datennutzung durch Cambridge Analytica hat veranschaulicht, wie auch vermeintlich harmlose Daten für politische Prognosen genutzt werden können. Um Persönlichkeitsprofile für den Wahlkampf zu erstellen, braucht es nicht die explizite Information über politische Präferenzen.
Jugendliche zwischen 13 und 15 Jahren sollen diese „Features“ erst nach einer Einverständniserklärung ihrer Eltern nutzen können und müssen ansonsten mit einem „weniger personalisierten Facebook“ vorliebnehmen, wie das Unternehmen bedauernd mitteilt.
Soll so eine informierte Einwilligung aussehen?
Auch wenn die Maßnahmen am Ende nicht mehr als Makulatur sind, ist der Vorgang ein durchaus historischer Moment: Auf diese Einverständniserklärungen wird Facebook sich in den kommenden Gerichtsverfahren berufen, wenn Daten- und Verbraucherschutzorganisationen anzweifeln, dass die Datenpraxis des Unternehmens tatsächlich den Normen der Europäischen Union entspricht.
Denn dass die jetzt vorgenommenen Änderungen ausreichen, um Facebooks Geschäftsmodell mit der DSGVO in Einklang zu bringen, darf bezweifelt werden. Wenn der Konzern nun die Einwilligung seiner Nutzer*innen als Rechtsgrundlage für seine Datenpraxis einholt, müsste dies beispielsweise in informierter und freiwilliger Weise erfolgen. Eine Opt-Out-Option aus datenbasierter Werbung – die Voraussetzung für eine freiwillige Datenpreisgabe – bietet Facebook jedoch nicht an.
Zudem wird wohl niemand behaupten, dass die jetzt angekündigten Informationen tatsächlich ausreichend seien, damit Nutzer*innen die konkrete Datennutzung und ihre möglichen Folgen verstehen können. So nennt der Konzern etwa nur einige Beispiele, wofür die Gesichtserkennung genutzt werden könnte – beispielsweise das Auffinden von Fotos der eigenen Person, in denen man noch nicht von anderen markiert wurde. Eine abschließende und somit tatsächlich aufklärende Liste der Einsatzzwecke der Technologie gibt es nicht. Überhaupt kein Thema ist, welche Folgen es für Nutzer*innen haben kann, dass Facebook, Werbekunden und Regierungen sie in Windeseile identifizieren können.
Keine datenschutzfreundlichen Voreinstellungen
Es wird deshalb an den europäischen Datenschutzbehörden und Initiativen wie Max Schrems NOYB liegen, gerichtliche Klärungen herbeizuführen. Solange wird Facebook darauf bestehen, rechtmäßig die Zustimmung seiner Nutzer*innen eingeholt zu haben.
Nutzer*innen sollte sich deshalb auf jeden Fall die Zeit nehmen, sich durch die Einstellungen zu klicken – auch wenn sie vielleicht in einem besonders ungünstigen Moment aufpoppen sollten. Denn ja, Facebook kann erkennen, in welchen Situationen Menschen besonders emotional oder gestresst sind, und könnte ihnen genau dann die Entscheidung über die künftige Datennutzung anzeigen, wenn es für sie am unpassendsten ist.
Wie das US-Magazin TechCrunch kritisiert, macht das Entscheidungsmenu es aufgrund seines Designs zudem deutlich leichter, sein Einverständnis zur vollumfassenden Datennutzung zu geben, als die Einstellungen zu ändern oder abzulehnen. So sollen die Voreinstellungen nicht auf die datenschutzfreundlichste Alternative gestellt sein. Wer nichts an den Einstellungen ändere, stimme der zukünftigen Anwendung von Gesichtserkennung für die eigene Person zu. Man muss die Informationen nicht mal durchgescrollt haben, um „akzeptieren“ zu klicken.
