1. Anzeigen gegen Facebook (August / September 2011)
|
01
|
18-AUG-2011
|
Pokes (Anstupsen). Die Daten werden nach dem “Entfernen” von Facebook weiter gespeichert und nie wieder gelöscht.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
02
|
18-AUG-2011
|
Schattenprofile. Facebook sammelt im Hintergrund Daten von Personen, ohne dass der Betroffene dies bemerkt oder dem zustimmt. Betrifft vor allem Personen ohne Facebook.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
03
|
18-AUG-2011
|
Markieren. Markierungen werden ohne Zustimmung des Users (Opt-In) aktiviert. Der User muss die Daten dann “entfernen” (Opt-Out). Info: Facebook hat Änderungen angekündigt.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
04
|
18-AUG-2011
|
Synchronisieren. Facebook ‘saugt’ persönliche Daten z.B. mittels iPhone-App oder E-Mail-Import ab und verwendet diese Daten für seine eigenen Zwecke - ohne der Zustimmung des Betroffenen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
05
|
18-AUG-2011
|
Gelöschte Postings. Postings auf den Seiten der Facebooknutzer werden auch nach dem “Entfernen” weiter gespeichert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
06
|
18-AUG-2011
|
Postings auf fremden Seiten. Der User kann nicht herausfinden, wer die Daten von ihm auf fremden Seiten hinerlassenen Daten sehen kann.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
07
|
18-AUG-2011
|
Messages. Nachrichten (inkl. Chat-Nachrichten) werden auch nach dem “Löschen” weiter gespeichert. Damit wird die gesamte direkte Kommunikation auf Facebook dauerhaft unlöschbar.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
08
|
18-AUG-2011
|
Datenschutzbestimmungen und Zustimmung. Die Datenschutzbestimmungen sind vage, unklar und widersprüchlich. Nach europäischen Standards ist die Zustimmung ungültig.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
09
|
18-AUG-2011
|
Gesichtserkennung. Die neue Gesichtserkennung ist ein unverhältnis- mäßiger Eingriff in die Privatsphäre der Nutzer. Außerdem fehlen Hinweise und die Zustimmung.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
10
|
18-AUG-2011
|
Auskunft mangelhaft. Die Auskunft, zu welcher Facebook gesetzlich verpflichtet ist, ist in vielen Punkten mangelhaft. Viele Daten und Informationen fehlen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
11
|
18-AUG-2011
|
Löschen von Markierungen. Markierungen (z.B. in Fotos), die “Entfernt” werden, werden von Facebook nur deaktiviert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
12
|
18-AUG-2011
|
Datensicherheit. Facebook sagt in seinen Nutzungsbedingungen, dass es nicht sicherstellen kann, dass Daten sicher sind.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
13
|
18-AUG-2011
|
Anwendungen. Anwendungen von Freunden können auf die Daten des Nutzers zugreifen. Es gibt keine entsprechenden Sicherheiten, dass die Anwendungen europäischen Datenschutzstandards entsprechen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
14
|
18-AUG-2011
|
Gelöschte Freunde. Freunde, die gelöscht werden, bleiben weiter auf Facebook gespeichert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
15
|
18-AUG-2011
|
Exzessive Datennutzung. Facebook sammelt unglaubliche Datenmengen als “Host”, die eigene Nutzung ist unlimitiert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
16
|
18-AUG-2011
|
Opt-Out. Die Verwendung der Daten auf Facebook ist faktisch “Opt-Out” statt “Opt-In”, das widerspricht den europäischen Gesetzen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
|
24-AUG-2011
|
Erster Brief der irischen Datenschutzkommission
|
|
Brief (PDF)
|
|
15-SEPT-2011
|
Brief an die irische Datenschutzbehörde bezüglich der neuen Datenschutzrichtlinie und neuen Optionen auf Facebook
|
|
Brief (PDF)
|
17
|
19-SEPT-2011
|
Like Button. Der von Facebook derzeit angebotene “Like Button” ist nicht datenschutzkonform und kann zum Ausspionieren der Nutzer verwendet werden.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
18
|
19-SEPT-2011
|
Pflichten als Auftragsverarbeiter. Facebook hat gegenüber den Nutzern die Pflicht die vom Nutzer auf Facebook hinerlegen Daten nicht für eigene Zwecke zu missbrauchen.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
19
|
19-SEPT-2011
|
Privatsphäreeinstellungen bei Bildern. Die User können nur steuern, wer den Link zu einem Bild sehen kann. Das Bild selbst ist für jeden abrufbar, der den Link kennt. Es gibt keine wirkliche Steuerung über Zugriffsrechte.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
20
|
19-SEPT-2011
|
Gelöschte Bilder. Gelöschte Bilder sind weiter abrufbar und werden erst mit großer Verzögerung gelöscht. Nur der Link zum Bild auf facebook.com wird unsichtbar.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
21
|
19-SEPT-2011
|
Gruppenmitgliedschaft. Nutzer können ohne deren Zustimmung zu Gruppen hinzugefügt werden und müssen dann aktiv wieder austreten.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
22
|
19-SEPT-2011
|
Änderung der Datenschutzrichtlinien. Datenschutzbestimmungen werden regelmäßig, ohne entsprechender Information und ohne Zustimmung der User, geändert.
|
Eingebracht bei der irischen DPC
|
Anzeige (PDF) Anlagen (ZIP)
|
23
|
26-JUN-2013
|
PRISM “Facebook Irland” gibt EU Daten an “Facebook USA” weiter die es dann wiederrrum der NSA geben. Export von Daten sit jedoch nur bei “angemessenem Schutz” erlaubt.
|
Bearbeitung von DPC verweigert.
|
Anzeige (PDF)
|
|
|
|
|
|
2. Erster Bericht der irischen Behörde (Dezember 2011)
|
|
21-DEZ-2011
|
Erster Bericht der irischen Datenschutzkommission Dieser Bereicht basiert auf unseren Anzeigen, ist aber ein Paralellverfahren zu unserem Verfahren und ist daher keine finale Entscheidung. Im Anhang finden sich die entsprechenden technischen Abhandlungen sowie diverse zusätzliche Infos. Die Behörde hat auch eine entsprechende Presseaussendung herausgegeben. Auch Facebook hat eine Stellungnahme abgegeben.
|
Veröffentlicht
|
Bericht (PDF) Anhänge (PDF)
Erste Stellungnahmen: europe-v-facebook.org (PDF) Behörde (PDF) Facebook (Link)
|
|
|
Analyse und Reaktion gegenüber der Behörde Nach genauerem Studium des Berichts haben wir im Jänner 2012 der Behörde mitgeteilt, dass wir nicht der Meinung sind, dass dieser Bericht ausreichen ist. Was im Bericht als “Best Practice” vorgeschlagen wird, entspricht nicht mal dem europäischen Mindeststandards. Es fehlt eine solide rechtliche Würdigung und eine volle Aufarbeitung aller Punkte unsere Anzeigen.
|
Keine inhaltliche Reaktion
|
E-Mail Verkehr Jänner 2012 (PDF)
|
|
|
|
|
|
3. Verhandlungen mit Facebook in Wien (Februar 2012)
|
|
05-FEB-2012
|
Vorbereitendes Dokument von Facebook zum Treffen in Wien Um das Treffen vorzubereiten verlangten wir eine schriftliche Zusammenfassung aller Gegenargumente von Facebook. Erhalten haben wir hingegen eine Zusammenfassung des Berichts der irischen Behörde.
|
Keine zufrieden- stellende Rekation
|
Zusammenfassung des Berichts durch FB (PDF)
|
|
06-FEB-2012
|
Direktes Treffen mit Facebook in Wien Nach dem irischen Verfahrensrecht soll eine “gemeinsame Lösung” zwischen den Parteien gefunden werden. Wir haben daher ein Treffen mit Facebook in Wien abgehalten. Um volle Transparenz zu gewährleisten gibt es eine Zusammenfassung der Argumente (Protokoll).
|
Veröffentlicht
|
Zusammenfassung der Argumente (PDF, Englisch)
Stellungnahmen (evf): PA vor dem Treffen (PDF) PA nach dem Treffen (PDF) PK nach dem Tr. (YouTube)
|
|
09-MAR-2012
|
“Follow Up” durch Facebook Nach dem bei unserem Treffen in Wien viele Fragen unbeantwortet geblieben sind hat Facebook zugesagt, dass wir die nötigen Informationen nachgeliefert bekommen. Leider hat FB dem nicht entsprochen und sogar weniger Infos als beim Treffen herausgegeben. Die Liste der Daten ist 1:1 aus dem irischen Bericht kopiert. Die Rechtsabteilung hat kein “Okay” gegeben.
|
Keine zufrieden- stellende Rekation
|
List der Daten (PDF) Fragebeantwortung (PDF)
|
|
|
|
|
|
4. Facebooks neue Datenschutzrichtlinie (Mai/Juni 2012)
|
|
|
Aufgrund unserer Anzeigen hat Facebook viele kleine Änderungen vorgenommen. Die größte Änderung war, dass die weltweite Datenschutzrichtlinie geändert wurde. Leider nicht wirklich im Sinn der Nutzer. Statt die Fehler zu ändern wurden diese einfach in die Richtlinie geschrieben. Wir starteten www.our-policy.org und erreichten, dass Facebook zumindest eine Abstimmung über die Richtlinie machen musste. Leider war die Abstimmung so gut versteckt, dass trotz 87% Ablehnung nicht die nötige Anzahl der Nutzer abgestimmt hat und die neue Richtlinie in Kraft getreten ist.
|
|
Mehr Infos: www.our-policy.org Site Governance Page (FB)
|
|
|
|
|
|
5. Irische Datenschutzbehörde bricht Kontakt im laufenden Verfahren ab (Juli 2012)
|
|
30-JUL-2012
|
Nach dem wir hinter den Kulissen seit Jänner 2012 in drei Runden versucht haben die Akten und Unterlagen zu unserem eigenen Verfahren zu erhalten hat die irische Behörde jeden Kontakt zu uns abgebrochen - per SMS. Wir haben darauf hin den - bisher verdeckten - Streit öffentlich gemacht und die diversen E-Mails und Briefe veröffentlicht, welche alle Anfragen nach Akten, Beweismittel und sogar nach den Argumenten von Facebook abgewiesen haben. Eine Begründung für den Kontaktabbruch gibt es bis dato nicht.
|
|
Runde 1: Briefe aus Jänner 2012
Runde 2: Breife aus März/April 2012
Runde 3: Kommunikation Juli 2012 (inkl. SMS der Behörde)
|
|
|
|
|
|
6. “Review” durch die irische Behörde (September 2012)
|
|
21-SEPT-2012
|
Im September 2012 hat die irische Behörde überprüft ob Facebook die unverbindlichen Vorschläge aus dem Bericht vom Dezember (siehe oben) eingehalten hat. Das Ergebnis dieser Review ist nicht rechtverbindlich, doch hat die Behörde festgestellt, dass Facebook “die meisten” Vorschläge umgesetzt hat. Die Behörde gab Facebook abermals eine Nachfrist für nicht umgesetzte Vorschläge.
|
Veröffentlicht
|
Bericht (PDF) (inkl. Sellungnahme von Facebook und “FTR Solutions”)
Aufzeichnung der ganzen Telefonkonferenz (MP3) Ausschnitt zu #evf (MP3)
|
|
|
|
|
|
7. “Gegenbericht” zum irischen “Untersuchungsverfahren” (Dezember 2012)
|
|
4-DEZ-2012
|
Auf über 70 Seiten haben wir aufgezeigt, dass die irische Behörde zwar einige Schritte in die richtige Richtung durchsetzen konnte, aber keine der Beschwerden ausräumen konnte. In vielen Punkten konnte klargestellt werden, dass die Behörde nicht genau und ordentlich gearbeitet hat. Oft wurden Äußerungen von Facebook unüberprüft übernommen. Auch die Frage der Akteneinsicht wurde abermals aufgerollt.
|
Keine Reaktion / Ignoriert
|
Gegenbericht (PDF) Presseaussendung (PDF)
|
|
|
Etwa gleichzeitig hat Facebook die Nutzerabstimmung über Veränderungen der Bestimmungen nach dem Erfolg von “our-policy.org” abgeschafft und zum dritten mal seit dem Anfang unseres Verfahrens eine neue Datenschutz- richtlinie eingeführt.
|
|
|
|
|
Um uns für eine unrichtige “formelle Entscheidung” der irischen Datenschutzbehörde vorzubereiten haben wir “crowd4privacy.org” gestartet.
|
|
|
|
7-DEZ-2012
|
Irische Behörde ignoriert Gegebericht. Trotz der vorherigen Bitte um unsere Meinung zum Bericht und trotz vielen expliziten Anträgen in diesem Gegenbericht hat die irische Behörde uns wissen lassen, dass sie den Bericht “nicht kommentieren”. Was das genau bedeutet. Ob die Eingabe abgewiesen, zurückgewiesen oder einfach unbearbeitet bleibt war nicht in Erfahrung zu bringen. Akteneinsicht wird weiter nicht gewährt - uns bleibt nur noch ein Antrag auf eine formelle Entscheidung.
|
|
E-Mails der Behörde (PDF)
|
|
14-JAN-2012
|
Facebook verweigert “Amicable Resolution”. Nach irischem Recht muss man vor einer Entscheidung versuchen eine “einvernehmliche Lösung” zu finden. Nach dem das Gespräch mit Facebook im Februar 2012 de facto nichts gebracht hat (Facebook hat versprochene Unterlagen nie geliefert) haben wir abermals bei Facebook um eine Treffen angefragt. Facebook verweigerte ein weiteres Treffen und verwies uns an die irische Datenschutzkommission.
|
|
Briefe von Facebook (PDF)
|
8. PRISM zurückgewiesen, Fristsetzung der Behörde
|
|
25-JUL-2013
|
Behörde verweigert PRISM Entscheidung Die irische Behörde sagt es gibt nichts zu untersuchen. Datenweitergabe an den NSA soll durch “Safe Harbor” Entscheidung der EU aus dem Jahr 2000 gedeckt sein. EU soll PRISM “vorausgesehene haben und zugestimmt haben, was die EU bestreitet.
|
|
Briefe der Behörde (PDF)
|
|
8-AUG-2013
|
Behörde setzt überraschend Frist bis 30. August In einem überraschenden Brief setzt die Behörde plötzlich eine Frist bis zum 30. August um einen “Antrag auf eine formelle Entscheidung” einzubringen. Andernfalls wird einfach ohne Antrag über die Beschwerde entschieden. Begründet wurde das mit dem schlechten Image welches das andauernde Verfahren auf die Behörde bringt.
|
|
Briefe der Behörde (PDF)
|
9. Antrag auf eine formelle Entscheidung
|
|
28-AUG-2013
|
Unfreiwilliger “Antrag auf eine formelle Entscheidung” Nach dem uns die Behörde sonst mit vollkommenem Ausschluss aus dem Verfahren gedroht hat mussten wir - unfreiwillig - einen “Antrag auf eine formelle Entscheidung” einbringen. Der Antrag (150 Seiten) listet alle Beschwerden (01-22) auf und stellt fest, dass Facebook bis dato in keinem Punkt dem Gesetz entspricht. In einigen wenigen Punkten wurden jedoch Verbesserungen erzielt.
|
|
Antrag (PDF)
|
|
|
|
|
|
10. Erste schriftliche Stellungnahme von Facebook
|
|
30-SEPT-13
|
Erste schriftliche Stellungnahme von Facebook Seit gut zwei Jahren haben wir versucht eine Stellungnahme von Facebook zu erhalten. Die irische Behörde hat bis dato jede Art von Gegenargumenten unterdrückt.
Nun haben wir überraschend mehr als 200 Seiten “Gegenargumente” erhalten. Leider geht Facebook dabei oft nicht auf die Beschwerden sondern schreibt über Dinge die Großteils irrelevant scheinen. Auch werden unsere Beschwerden “uminterpretiert” bevor diese behandelt werden. Auf die rechtlichen Argumente wird mit keinem Wort eingegangen. Inhaltlich wird im Kern auf die Berichte der irischen Behörde verwiesen. Beweise werden nicht vorgelegt. Trotzdem sind wir froh diese Unterlagen hier veröffentlich zu können.
Zum Vergleich empfehlen wir dringend unseren “Antrag auf eine formelle Entscheidung” (oben) zu lesen.
|
01 Pokes (Anstupsen) 02 Schattenprofile 03 & 11 Markieren & Löschen 04 Synchronisieren 05 Gelöschte Postings 06 Postings auf fremden Seiten 07 Messages 08 & 16 Datenschutzbestimmungen und Zustimmung & Opt-Out 09 Gesichtserkennung 10 Auskunft mangelhaft 12 Datensicherheit 13 Anwendungen 14 Gelöschte Freunde 15 Exzessive Datennutzung 17 Like Button 18 Pflichten als Auftragsverarbeiter 19 & 20 Privatsphäreeinstellungen bei Bildern & Gelöschte Bilder 21 Gruppenmitgliedschaft 22 Änderung der Datenschutzrichtlinien
|
|
31-OCT-2013
|
Antwort auf Facebook’s Stellungnahme In einer kurzen Gegendarstellung haben wir klar gemacht, dass die Stellungnahme von Facebook nicht ausreichend ist und in den meisten Punkten vollkommen irrelevant sind.
|
|
Antwort (PDF)
|
|
|
|
|
|
11. Verfahrensende
|
|
31-JUL-2014
|
Nach fast drei Jahren haben wir am 31. Juli 2014 die ersten 22 Beschwerden gegen Facebook vor der irischen Datenschutzbehörde zurückgezogen.
Hintergrund war die jahrelange Nichtentscheidung und die Verweigerung der grundsätzlichsten Prozessrechte (Akteneinsicht, Einsicht in die Beweise, Einsicht in die Gegenargumente) durch die irische Datenschutzbehörde. Die Behörde hat de facto jede Kommunikation eingestellt und alle Eingaben ignoriert. Im Hintergrund werden von vielen Beobachtern politische Interventionen vermutet.
Aus rein rechtlicher Sicht wurde uns von unseren irischen Anwälten jedenfalls zur Klage geraten. Eine Bekämpfung dieser massiven Rechtsbrüche vor den irischen Gerichten ist als Verbraucher weder finanziell (mehrere €100.000 Prozesskostenrisiko) noch zeitlich (mehrere Jahre Verfahrensdauer und unzählige Flüge nach Irland) machbar, wie das “Judicial Review”-Verfahren gegen die Weigerung einer Untersuchung der “PRISM”-Beschwerde gezeigt hat. Hier ergibt sich bisher eine Dauer von ca. 2-3 Jahren und ein Risiko von mehreren €100.000.
Die PRISM-Beschwerde wird hingegen weiter verfolgt und durch die vom Verein “europe-v-facebook.org” bisher gesammelten Spendengelder finanziert.
|
|
|
|
|
|
|
|