Jusletter IT

„Ich trete Facebook bei!“

Iris strahlt übers ganze Gesicht, als sie mir diese Neuigkeit eröffnet. Ich starre sie nur verdutzt an. Nicht etwa, weil mich ihr Entschluss überrascht. Ganz im Gegenteil. Iris ist eine sehr extrovertierte Person, sogar für einen Androiden, und ich war der festen Überzeugung, dass sie bereits längst auf Facebook vertreten sei. Als sie daraufhin ihren Laptop herausholt, einen Dinosaurier seiner Gattung, fällt mir wieder ein, dass Iris Technologie im Allgemeinen und Computern im Besonderen wenig abgewinnen kann. Wenn man selbst aus Schaltkreisen und mechanischen Teilen besteht, möchte man sich offenbar lieber mit anderen Dingen befassen. Ich verstehe sie; immerhin befasse ich mich auch lieber mit Computern und Technologie statt mit Blutkreislauf oder Enzymen.

„Würdest du mir bei der Anmeldung helfen?“

Wieder starre ich verdutzt. Was soll bei der Anmeldung zu Facebook so kompliziert sein, dass man Hilfe benötigt? Nachdem ich aber kein Spielverderber sein möchte, setze ich mich neben Iris und schaue ihr zu, wie sie ihren Browser öffnet und auf www.facebook.com navigiert.

Es begrüßt uns das bekannte Bild: rechts oben die Anmeldemaske für bestehende Nutzer, in der Mitte groß und prägnant die Registrierungsmaske für neue Nutzer und unten, klein und unauffällig, rechtliche und sonstige Hinweise.

„Könntest du dir vielleicht die AGB ansehen?“, fragt mich Iris, während sie ihre Daten eintippt.

„Wozu? Mach es doch einfach wie jeder andere normale Benutzer auch, und ignoriere sie einfach.“

„Das könnte ich.“ erwidert Iris. „Aber ein normaler Nutzer hat auch keinen Anwalt neben sich sitzen. Außerdem hast du bereits einmal einen Aufsatz über die AGB von Facebook¹ geschrieben. Dann sollte es doch kein Problem sein, sie nochmal zu überfliegen. Vielleicht hat sich etwas in der Zwischenzeit geändert.“

Die AGB von Facebook, oder eigentlich einen Teil der AGB, findet man hinter dem Link „Impressum/Nutzungsbedingungen“.² Sie stammen aktuell in der deutschen Version vom 04.10.2010 und in der englischen Fassung vom 26.04.2011.³ Dieser Unterschied ist besonders relevant wenn man sich vor Augen hält, dass bei Widersprüchen und Unklarheiten die englische Version maßgeblich ist. Auch wenn man heutzutage davon ausgehen darf, dass viele Menschen mit einer anderen Muttersprache über zumindest grundlegende Englischkenntnisse verfügen, so werden diese dennoch bei den wenigsten dazu ausreichen, einen englischen Vertrag zu lesen oder gar zu verstehen. Bei der Wortwahl muss man aber Facebook zugutehalten, dass sowohl im Englischen wie auch im Deutschen eine recht einfache Sprache verwendet und nur im Bedarfsfall auf juristische Fachausdrücke zurückgegriffen wird.⁴ Leicht zu verstehen sind die Nutzungsbedingungen aber dennoch nicht.

So hat sich beispielsweise seit der Version vom 04.02.2009 einiges getan. Nicht nur, dass der Umfang von 3.718 Worten auf 4.204 angewachsen ist, es wurde zudem die Struktur der Nutzungsbedingungen geändert und vieles umformuliert.

Bemerkenswert ist auch die Anzahl der Verweise auf andere Dokumente. Während 2009 noch ein Verweis auf die Datenschutzrichtlinien und diverse Seiten genügten, die Einstellungen erläuterten, sind jetzt schon Verweise auf neun Dokumente mit juristischen Inhalten erforderlich:

• Datenschutzrichtlinien
• Zahlungsbedingungen
• Plattform-Seite
• Richtlinien zur Facebook-Plattform
• Werberichtlinien
• Richtlinien für Promotions
• Melden von Beschwerden über Verletzungen geistigen Eigentums
• Einspruch gegen Beschwerden über eine Urheberrechtsverletzung
• Nutzungsbedingungen für Seiten

Die Erläuterungen der Einstellungen sind hingegen nicht mehr vorhanden.⁵

Noch deutlicher ist der Unterschied bei den Datenschutzrichtlinien. Fand man dort 2009 noch ein einziges Dokument vor (wie auch heute noch bei den Nutzungsrichtlinien), sieht man heute nur noch Links zu sieben weiteren Dokumenten:

• Daten, die wir erhalten, und ihre Verwendung
• Teilen von Inhalten und Auffinden deiner Person auf Facebook
• Teilen von Inhalten mit anderen Webseiten und Anwendungen
• Wie Werbung funktioniert
• Minderjährige und Sicherheit
• Was du sonst noch wissen solltest
• Interaktive Funktionen

In diesen findet man schließlich die eigentlichen Datenschutzrichtlinien.⁶

Man könnte sich jetzt die Frage stellen, inwieweit die AGB gelten, wo sie doch aus so vielen Dokumenten bestehen, was nicht gerade zur Übersichtlichkeit beiträgt. Die wahre Frage ist aber, ob sie überhaupt gelten.

Nachdem der Nutzer nämlich auf der Startseite seine Daten eingegeben hat, wird er auf eine Seite weitergeleitet, auf der er einen sogenannten CAPTCHA⁷ bestehen muss. Dieser soll sicherstellen, dass es sich beim Nutzer um einen Menschen handelt und nicht um einen Computer, der automatisiert Profile anlegt. So weit, so gewöhnlich. Weniger gewöhnlich ist aber, dass der Nutzer mit Absolvierung des CAPTCHA die Nutzungsbedingungen sowie auch die Datenschutzrichtlinien annimmt und Registrierung abschließt.

Anders als in Deutschland ist in Österreich lediglich bei sensiblen Daten eine ausdrückliche Zustimmung zur Datenverwendung erforderlich.⁸ Wenn man davon ausgeht, dass der Nutzer keine sensiblen Daten auf Facebook bereitstellt, so wäre grundsätzlich auch eine konkludente Zustimmung möglich. Allerdings verlangt §14 Z14 DSG, dass der Betroffene, also hier der Nutzer, die Zustimmung „in Kenntnis der Sachlage für den konkreten Fall“ abgibt. Das bedeutet, dass der Betroffene wissen muss, welche seiner Daten zu welchem Zweck verwendet werden sollen.⁹ Ob dies der Fall ist, kann bereits angesichts der verschachtelten Datenschutzrichtlinien bezweifelt werden. Der Inhalt der Datenschutzrichtlinien bestärkt diese Zweifel aufgrund ihrer unklaren Formulierung.

„Telefonnummer? Wozu braucht ihr meine Telefonnummer?“

Iris‘ Ausruf reißt mich aus meinen Überlegungen. Sie hat die Registrierung mittlerweile abgeschlossen, natürlich ohne die AGB zu lesen. Nun sieht sie sich mit einer weiteren Sicherheitskontrolle konfrontiert: Mit deutscher Überschrift und englischem Text wird sie nun aufgefordert, ihre Telefonnummer anzugeben.

Die Antwort auf die Frage „Warum“, findet sich hinter einem Link auf derselben Seite. Wieder soll sichergestellt werden, dass der Nutzer tatsächlich ein Mensch ist. Zusätzlich soll aber auch verhindert werden, dass einzelne Nutzer mehrere Konten anlegen.¹⁰ Detailliert wird auch ausgeführt, dass die angegebene Telefonnummer nicht für alle sichtbar im Profil aufscheint. Was Facebook mit der Telefonnummer genau macht, wird aber nicht erwähnt. Jedenfalls sendet Facebook eine SMS mit einem Passwort an die angegebene Nummer. Mit diesem kann sich der Nutzer endgültig anmelden und das Konto freischalten.

Die Frage nach einer Telefonnummer wird aber nicht immer gestellt, sondern nur, wenn zur Anmeldung ein E-Mail-Konto bei einem kostenlosen Provider verwendet wird. Bei einem solchen könnte ein Nutzer nämlich beliebig viele E-Mail-Adressen und damit entsprechend viele Facebook-Konten anlegen.

Allerdings kann es durchaus passieren, dass der Nutzer keine SMS erhält. Dann befindet er sich in der äußerst eigentümlichen Position dass sein Konto mit den bei der Registrierung angegebenen Daten erstellt wurde, er jedoch nicht darauf zugreifen und damit auch nicht kann. Wenn man diversen Beiträgen im Internet Glauben schenken darf, funktioniert in einem solchen Fall auch die Löschung durch den Facebook-Support mehr schlecht als recht.

Doch auch Nutzern mit einer, aus Sicht von Facebook, vertrauenswürdigen E-Mail-Adressen können mit dem Problem konfrontiert werden, dass die E-Mail mit dem Link, welcher das Konto freischaltet, nicht ankommt. Dies kann beispielsweise bei einer Universitäts-Adresse durchaus vorkommen. Zwar wird der Nutzer in einem solchen Fall nach Abschluss der Registrierung zumindest auf sein Profil weitergeleitet, dass er zwar nicht nutzen,¹¹ jedoch zumindest löschen kann.

Iris hat das Problem, nachdem sie keine SMS bekommen hat, schließlich so gelöst, dass sie eine andere E-Mail-Adresse angegeben hat. Auf dieser kam die Bestätigungs-E-Mail zwar nicht an. Jedoch konnte Iris zumindest auf ihr Konto zugreifen und so lange neue E-Mail-Adressen (auch solche von kostenlosen Providern) eingeben, bis sie den Aktivierungs-Link schließlich erhielt. Alles in allem erwies sich die Erstellung und besonders die Aktivierung des Kontos als bedeutend komplizierter, als vermutet.

„Hast Du davon schon gelesen?“

Iris deutet auf einen Artikel, den sie auf dem Laptop liest: „Facebook Like Button bedenklicher als Cookies“¹² , heißt es dort in der Überschrift. In weiterer Folge behandelt der Artikel kurz das Problem, das Facebook über Seiten, die den Like-Button integriert haben, auch Daten über Personen sammelt, die keine Facebook-Nutzer oder zumindest nicht bei Facebook eingeloggt sind. Ironischer Weise bietet diese Seite, unter anderem, auch einen Like-Button an. Leser können damit gewissermaßen durch einen Klick auf den Like-Button dafür stimmen, diesen abzuschaffen.

Doch wie funktioniert der Like-Button und ist er wirklich gefährlicher als Cookies? Vorweg gesagt: Nein, er ist nicht gefährlicher als Cookies sondern gefährlich aufgrund von Cookies. Nun aber der Reihe nach.

Wenn jemand eine Internetseite aufruft, die einen Like-Button hat, wird dessen Bild von Facebook heruntergeladen. Damit endet aber auch schon die Interaktion zwischen der aufgerufenen Seite und Facebook.¹³ Zumindest ist dem so, wenn man nicht zuvor Facebook besucht hat.

Wenn man nämlich www.facebook.com aufruft, werden mehrere Cookies gespeichert, selbst wenn man sich noch nicht angemeldete hat. Eines davon heißt „datr“ und ist für zwei Jahre gültig. Das heiß, es wird vorher vom Browser nicht automatisch gelöscht. Darüber hinaus enthält dieses Cookie eine Zeichenfolge, anhand welcher die Identifikation des Browser möglich ist. Aufgrund dieses Cookies kann Facebook die Bewegungen des Nutzers im Internet auf Seiten, die den Facebook Like-Button eingebaut haben, nachzuvollziehen.

Dasselbe geschieht, wenn man sich zuvor bei Facebook eingeloggt, sei es beim Besuchen von Facebook oder beim Klicken auf einen Like-Button. Lediglich die Anzahl der Cookies erhöht sich.

In einer offiziellen Stellungnahme¹⁴ erklärte Facebook, dass die über das datr-Cookie gesammelten Informationen nur für Sicherheitszwecke, konkret zur Verhinderung unberechtigter Zugriffe auf Nutzerkonten, verwendet werden. Dies geschieht, indem Facebook die IP-Adresse und die Existenz des datr-Cookies überprüft. Ist ein datr-Cookie vorhanden, geht Facebook davon aus, dass der Login durch den tatsächlichen Nutzer erfolgt, der vor seinem üblichen Computer sitzt. Fehlt das Cookie oder ist gar auch die IP-Adresse neu, werden zusätzliche Sicherheitsmechanismen aktiviert.

Insgesamt bleiben aber eine beachtliche Menge übertragener Daten und die Frage, ob die Sicherheit nicht auch mit gelinderen Mitteln hergestellt werden könnte.

„Es funktioniert!“

Iris reibt sich die Hände, während sie gebannt auf den Monitor starrt. Sie ist bei Amazon eingeloggt und ihr Konto weist ein Guthaben von einigen Cent aus.

„Das Amazon-Partnerprogramm“, erläutert Iris, als ich die Stirn runzele. „Du registrierst Dich und kannst dann individuelle Links zu Produkten auf Deine Homepage stellen. Wenn ihn jemand anklickt und etwas kauft, bekommst Du ein paar Prozent des Kaufpreises überwiesen.“

„Du hast aber keine Homepage.“

„Dafür habe ich aber ein Facebook-Konto. Schau!“ Auf dem Bildschirm erscheint ein Konto mit einer stolzen Zahl an Beiträgen und „Freunden“. Erst bei genauerem Hinsehen merke ich, dass ich kein gewöhnliches Konto vor mit habe, sondern eine Produkt-Seite.

„Das habe ich gemacht“, erklärt Iris sichtlich stolz.

„Darfst Du das denn überhaupt?“

„Wieso? Das macht doch jeder. Außerdem kommen auf meine normale Seite nicht so viele Besucher. Und mehr Besucher sind mehr Klicks, sind mehr Geld.

Diese Einstellung mag durchaus pragmatisch sein, erlaubt ist sie aber dennoch nicht.

Zunächst verstößt man damit gegen mehrere Klauseln der Nutzungsvereinbarung. So ist es beispielweise nicht gestattet, auf Facebook einen anderen Namen als den eigenen, richtigen zu verwenden.¹⁵ Ferner ist es nicht gestattet, die Schutzrechte anderer zu verwenden.¹⁶ Ein besonderes Problem stellt aber der Umstand dar, dass man eine Seite erzeugt, auf der Fans oder auch Kritiker des Produktes Nachrichten hinterlassen, die man moderieren und im Bedarfsfall bearbeiten oder löschen kann. Wenn eine Kritik herber ausfällt als sie es müsste, zeigt die Erfahrung, dass die Rechteinhaber durchaus bereit sind, dagegen vorzugehen. Als Ziel kommen dabei grundsätzlich Facebook, derjenige, der die betreffende Nachricht geschrieben hat und auch der Inhaber der Seite in Betracht. Denn anders als bei normalen Facebook-Seiten kann der Ersteller die Kommentare bearbeiten und wird dies im Bedarfsfall auch machen müssen.

Amazon selbst befürwortet den Einsatz von Partner-Links in sozialen Netzwerken, allerdings nur im Rahmen des eigenen Profils. Selbstverständlich ist Werbung im eigenen Profil nicht so lukrativ wie Werbung auf einer eigenen Fan-Seite für das Produkt, deren Wirkungskreis den eigenen „Freundeskreis“ auf Facebook bei weitem übersteigt. Und letztendlich profitieren auch die Rechteinhaber davon. Immerhin macht sich ein höherer Umsatz auch bei ihnen bemerkbar. Im Ergebnis zählt somit die Abwägung zwischen dem möglichen Profits und dem möglichen Schaden durch bestimme Kommentare oder Rechteverletzungen.

Es bleibt daher abzuwarten, wie sich dieser Trend weiterentwickelt.

Soziale Netzwerke sind bisweilen eine eigene kleine (oder auch nicht so kleine) Welt mit eigenen Regeln, die sich laufend ändern. Man muss heutzutage gar nicht mehr so weit gehen, die AGB im Detail zu analysieren um rechtlich interessante bis fragwürdige Aspekte zu finden. Die Anmeldeprozedur, die vor drei Jahren im Vergleich zu heute geradezu leger war, ist dafür ein gutes Beispiel.

Doch auch die Nutzer selbst tragen zu gewissen Spannungen und spannenden rechtlichen Fragen bei. Dies wird dadurch begünstigt, dass verschiedene Anbieter die Möglichkeit der Bündelung verschiedener Plattformen über die Nutzer entdeckt haben, die all diese verschiedenen Plattformen nutzen.

Doch es gibt noch viele andere Aspekte, die in diesem Betrag nicht behandelt werden konnten, wie etwa das Facebook-interne Verfahren für Rechteverletzungen.

Wer weiß, wohin ihre Reisen Iris noch führen werden. Es bleibt jedenfalls spannend.

Árpád Geréd, (Un)Social Web: Von Risiken und Nebenwirkungen, in: Jusletter IT 1. September 2009

Dohr, Walter; Pollirer, Hans; Weiss, Ernst; Knyrim, Rainer (Hrsg.), Kommentar Datenschutzrecht, 2. Auflage, Manz, Wien