Facebook soll die bisher größte Strafe der FTC für die Verletzung der Privatsphäre von Benutzern begleichen und mehrere Sicherheitsvorkehrungen für WhatsApp und Instagram treffen?
Facebook und die US-amerikanische Federal Trade Commission (FTC) werden die höchste jemals gegen eine digitale Plattform verhängte Geldbuße begleichen. Zusammen mit der Geldstrafe muss Facebook auch eine umfassende Überarbeitung der Datenschutzpraktiken und -protokolle der Benutzer vornehmen. Die weitreichenden Änderungen müssen auf allen Plattformen vorgenommen werden, die Facebook derzeit besitzt und betreibt, einschließlich der beliebtesten Social-Media-Plattform WhatsApp und Instagram. Durch die massive Einigung von Facebook mit der FTC in Höhe von 5 Milliarden US-Dollar wird CEO Mark Zuckerberg auch als alleiniger Entscheidungsträger für den Datenschutz von Facebook entfernt.
Nach einer einjährigen Untersuchung und inmitten intensiver Spekulationen hat die FTC endlich eine massive Einigung mit Facebook angekündigt. Neben der enormen Geldstrafe in Höhe von 5 Milliarden US-Dollar hat die FTC auch die vielen Bedingungen ihrer Einigung mit dem Social-Media-Riesen bekannt gegeben. Mit der Entscheidung wurde Facebook schließlich offen für bedeutende Datenschutzbedenken aufgerufen, die seit langem auf verschiedenen offiziellen, inoffiziellen und rechtlichen Plattformen geäußert wurden. Das auftragsgebundene umfassende Datenschutzprogramm der FTC umfasst nicht nur das Facebook-eigene WhatsApp und Instagram, sondern auch die gleichnamige soziale Plattform von Facebook.
Warum wurde Facebook von der FTC bestraft und was bedeutet das?
Die Ermittlungen der FTC gewannen nach dem berüchtigten Cambridge Analytica-Skandal an Fahrt, bei dem Facebook angeblich mehrfach oder wiederholt „betrügerische Offenlegungen und Einstellungen verwendet hat, um die Datenschutzpräferenzen der Benutzer zu untergraben“. Noch besorgniserregender ist, dass Facebook bereits 2012 ausdrücklich behauptet hatte, bereits angemessene Maßnahmen zum Schutz der Privatsphäre der Nutzer zu ergreifen. Die FTC behauptet weiter, dass der Social-Media-Riese mit Apps und Web-Plattformen, die das Unternehmen gut kannte, immer wieder nachsichtig war und gegen seine Richtlinien in Bezug auf Datenschutz und Vertraulichkeit verstieß.
„Diese Taktiken ermöglichten es dem Unternehmen, die persönlichen Daten der Benutzer mit Apps von Drittanbietern zu teilen, die von den Facebook-Freunden des Benutzers heruntergeladen wurden. Die FTC behauptet, dass viele Benutzer nicht wussten, dass Facebook solche Informationen weitergibt, und daher nicht die erforderlichen Schritte unternommen haben, um die Weitergabe zu deaktivieren. “
Zu dem Vergleich sagte der Vorsitzende der FTC, Joe Simons, in einer offiziellen Erklärung: „Trotz wiederholter Versprechen an seine Milliarden von Nutzern weltweit, dass sie kontrollieren könnten, wie ihre persönlichen Daten weitergegeben werden, hat Facebook die Entscheidungen der Verbraucher untergraben. Die Höhe der Strafe in Höhe von 5 Milliarden US-Dollar und die umfassenden Verhaltenserleichterungen sind in der Geschichte der FTC beispiellos. Die Erleichterung soll nicht nur zukünftige Verstöße bestrafen, sondern, was noch wichtiger ist, die gesamte Datenschutzkultur von Facebook ändern, um die Wahrscheinlichkeit weiterer Verstöße zu verringern. Die Kommission nimmt die Privatsphäre der Verbraucher ernst und wird FTC-Bestellungen im größtmöglichen Umfang durchsetzen.“
Was bedeuten die Geldbuße und die Abrechnungsbedingungen der FTC für Facebook und die zugehörigen Social-Media-Plattformen?
Die Einigung in Höhe von 5 Milliarden US-Dollar ist selbst die größte in der Geschichte der FTC. Die größte Geldstrafe, die die FTC zuvor verhängt hatte, war 2012 gegen Google. Mit 22,5 Millionen US-Dollar ist sie im Vergleich jedoch recht winzig. Übrigens hat Facebook mit der US-Börsenaufsicht SEC auch eine Einigung über 100 Millionen US-Dollar erzielt, weil sie „irreführende Angaben zum Risiko des Missbrauchs von Facebook-Benutzerdaten gemacht hat“. Die SEC behauptet, dass der Social-Media-Riese sich des Missbrauchs von Benutzerdaten im Jahr 2015 bewusst war. Trotzdem versuchte Facebook etwa zwei Jahre lang, die Schwere der Anfälligkeit und Offenlegung von Benutzerdaten und Privatsphäre herunterzuspielen.
Der wichtigste Aspekt des Vergleichs ist neben der Geldstrafe, dass einige der Rechte und Befugnisse des Gründers, CEO und Mehrheitsstimmrechtsinhabers von Facebook, Mark Zuckerberg, in Bezug auf die Privatsphäre der Nutzer entzogen werden. Im Wesentlichen wird Zuckerberg keine „uneingeschränkte Kontrolle“ über die Datenschutzentscheidungen der Benutzer mehr haben. Facebook muss jetzt viel mehr Rechenschaftspflicht auf Vorstandsebene einbringen. Dazu muss der Social-Media-Riese ein „unabhängiges Datenschutzkomitee“ gründen. Dieser Ausschuss muss unabhängig bleiben und die Mitglieder müssen von einem unabhängigen Nominierungsausschuss ernannt werden. Zudem können die Mitglieder des Gremiums nur durch eine Supermehrheit des Facebook-Vorstands abberufen werden.
Der Ausschuss wird nicht nur vierteljährlich Bescheinigungen vorlegen, dass Facebook die Mandate des Vergleichs erfüllt, sondern eine Drittorganisation wird auch eine unabhängige Prüfung der Datenerfassungspraktiken von Facebook durchführen, einschließlich derer auf Instagram und WhatsApp. Das Audit wird alle zwei Jahre für 20 Jahre durchgeführt.
Während die Bestellung Facebook, WhatsApp und Instagram umfasst, wird in der Einigung auch darauf hingewiesen, dass das Unternehmen vor jeder Implementierung eine Datenschutzprüfung für jedes neue oder geänderte Produkt, jeden neuen Service oder jede neue Praxis durchführen muss. Facebook muss dokumentarische Beweise vorhalten, die belegen, dass es der Privatsphäre der Benutzer Priorität einräumt.
Welche Datenschutzmaßnahmen wird Facebook überarbeiten, um die Benutzer auf all seinen Plattformen zu schützen?
In einer offiziellen Pressemitteilung erwähnte die FTC: „Die heute angekündigte Vergleichsanordnung legt auch beispiellose neue Einschränkungen für den Geschäftsbetrieb von Facebook fest und schafft mehrere Compliance-Kanäle. Die Verordnung verlangt von Facebook, seinen Datenschutzansatz von der Konzernvorstandsebene abwärts umzustrukturieren, und schafft starke neue Mechanismen, um sicherzustellen, dass Facebook-Führungskräfte für ihre Entscheidungen zum Datenschutz verantwortlich sind und dass diese Entscheidungen einer sinnvollen Aufsicht unterliegen. Die FTC hat betont, dass Facebook die folgenden Datenschutzprotokolle einführen muss:
- Facebook muss Apps von Drittanbietern besser überwachen, einschließlich durch Kündigung von App-Entwicklern, die nicht bestätigen, dass sie die Plattformrichtlinien von Facebook einhalten oder ihren Bedarf an bestimmten Benutzerdaten nicht rechtfertigen;
- Facebook ist es untersagt, Telefonnummern zu verwenden, die zur Aktivierung eines Sicherheitsmerkmals (z. B. Zwei-Faktor-Authentifizierung) für Werbung erhalten wurden.
- Facebook muss klar und deutlich auf seine Verwendung der Gesichtserkennungstechnologie hinweisen und vor jeder Nutzung, die wesentlich über seine vorherigen Offenlegungen gegenüber den Nutzern hinausgeht, eine ausdrückliche Zustimmung des Nutzers einholen;
- Facebook muss ein umfassendes Datensicherheitsprogramm einrichten, implementieren und aufrechterhalten;
- Facebook muss Benutzerpasswörter verschlüsseln und regelmäßig scannen, um festzustellen, ob Passwörter im Klartext gespeichert sind; und
- Facebook ist es untersagt, nach E-Mail-Passwörtern für andere Dienste zu fragen, wenn sich Verbraucher für seine Dienste anmelden.
Antwort von Facebook auf den FTC-Vergleich:
Facebook hat offiziell eine Antwort auf den FTC-Vergleich veröffentlicht. In einem von General Counsel Colin Stretch verfassten Blogbeitrag stellte das Unternehmen fest: „Die Vereinbarung erfordert eine grundlegende Änderung unserer Arbeitsweise und wird den Menschen, die unsere Produkte auf allen Ebenen des Unternehmens entwickeln, zusätzliche Verantwortung auferlegen. Dies wird eine schärfere Wendung in Richtung Privatsphäre bedeuten, und zwar in einem anderen Ausmaß als alles, was wir in der Vergangenheit getan haben. "
„Die von dieser Vereinbarung geforderte Rechenschaftspflicht geht über das geltende US-Recht hinaus und wir hoffen, dass sie ein Vorbild für die Branche sein wird. Es führt strengere Prozesse zur Identifizierung von Datenschutzrisiken, eine bessere Dokumentation dieser Risiken und umfassendere Maßnahmen ein, um sicherzustellen, dass wir diese neuen Anforderungen erfüllen. In Zukunft wird unser Ansatz für Datenschutzkontrollen unserem Ansatz für Finanzkontrollen entsprechen, mit einem strengen Designprozess und individuellen Zertifizierungen, die sicherstellen sollen, dass unsere Kontrollen funktionieren – und dass wir sie finden und beheben, wenn sie es nicht sind.“ Interessanterweise besteht Facebook durch Short immer noch auf Cambridge Analytica Skandal um Datenmissbrauch sei „ein Vertrauensbruch zwischen Facebook und den Menschen, die darauf angewiesen sind, dass wir ihre Daten schützen“.
Facebook einigt sich mit FTC, um auch auf andere Technologieunternehmen einen größeren Einfluss zu haben?
Erst diese Woche hat sich Google mit der FTC über Vorwürfe geeinigt, dass YouTube hat gegen Gesetze zum Schutz von Kindern im Internet verstoßen. Die Einigung ergab sich aus YouTube, das angeblich gegen COPPA (Children’s Online Privacy Protection Act) verstößt. Übrigens wurde die genaue Höhe der Geldbuße nicht offiziell bekannt gegeben, aber Berichten zufolge wird Google eine Geldbuße in Höhe von mehreren Millionen Dollar zahlen. Noch wichtiger als die Geldstrafe sind jedoch die Bedingungen und Voraussetzungen, die impliziert werden.
Als Folge des Vergleichs könnte Google bald seinen Ansatz zur Datensicherheit und zum Datenschutz der Nutzer überarbeiten. Der Suchmaschinenriese wird wahrscheinlich mehrere Richtlinien erlassen, die klar definiert sind und die Benutzerdaten schützen sollen. Auf die gleiche Weise wird auch Facebook die Richtlinien und Praktiken in Bezug auf die Privatsphäre der Benutzer grundlegend überarbeiten. Darüber hinaus scheint der Vergleich des Social-Media-Riesen mehrere strenge Bedingungen zu enthalten, die erfüllt und deren Einhaltung nachgewiesen werden müssen.
Trotz der scheinbar hohen Strafe stimmten einige Kommissare gegen den Vergleich. Einer dieser Kommissare war Rohit Chopra, der anmerkt: „[Der Vergleich] behebt nicht die Anreize, die diese wiederholten Datenschutzverletzungen verursachen“, weil er Facebook nicht daran hindert, „Überwachung zu betreiben oder Plattformen zu integrieren. Es gibt keine Einschränkungen für die Datenerfassungstaktik - nur Papierkram. FB darf abzeichnen, was akzeptabel ist.“ Interessanterweise behauptet er auch, dass den meisten Führungskräften von Facebook eine „pauschale Immunität für ihre Rolle bei der Verletzung“ angeboten wird. Er bezog sich natürlich auf den Skandal um Cambridge Analytica.
„Das Kleingedruckte des Vergleichs gibt Facebook weitreichende Immunität für ‚bekannte‘ und ‚unbekannte‘ Verstöße. Was ist von diesen Immunitätsabkommen abgedeckt? Facebook weiß es, aber die Öffentlichkeit tappt im Dunkeln. Die eklatanten Verstöße von Facebook waren eine direkte Folge ihres Geschäftsmodells der Massenüberwachung und -manipulation, und diese Aktion segnet dieses Modell. Die Siedlung behebt dieses Problem nicht. Es geht jetzt zur Genehmigung vor Gericht. Wir alle sollten besorgt sein, dass die geschäftlichen Anreize der verhaltensorientierten Werbung großer Technologieplattformen Praktiken anregen, die unsere Gesellschaft spalten. Wenn Unternehmen gegen das Gesetz verstoßen und massiven Schaden anrichten, müssen sie zur Rechenschaft gezogen werden.“ er schloss.