Johannes Casper, der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit, ist sauer, dienstlich sauer. Er steht auf dem Standpunkt, Facebooks automatische Gesichtserkennung, die ohne vorherige Zustimmung des Nutzers eine biometrische Datenbank speist, sei rechtswidrig. Facebook verwendet das Feature schon seit geraumer Zeit nicht mehr, was Herrn Casper jedoch nicht reicht. Er besteht darauf, dass auch die bis zu diesem Zeitpunkt erstellte Foto-Datenbank gelöscht wird. Das allerdings verweigert der blaue Netzwerk-Riese aus Palo Alto.

Automatische Gesichtserkennung: Opt-Out ist in Europa nicht rechtmäßig

Der Streit zwischen Casper und Facebook ist rein verwaltungsrechtlicher Natur. Facebook verwendet ein Verfahren namens Opt-Out. Das bedeutet, wer an der automatischen Gesichtserkennung nicht teilnehmen möchte, muss das ausdrücklich erklären, also aus dem Verfahren austreten. In den USA ist dieses Verfahren üblich, die Datenschutzgesetze lascher. In Europa gilt stets das sogenannte Opt-In. Hier müssen Nutzer audrücklich ihren Willen erklären, an einem elektronischen Verfahren teilnehmen zu wollen. Tun sie das nicht, gilt das als Ablehnung.

Wie der Spiegel berichtet, steht Casper auf dem Standpunkt, dass die gesammelten Daten bis zum Zeitpunkt der Beendigung der Praxis nicht Opt-In-konform sind und dementsprechend gelöscht werden müssen. Alternativ dazu könne Facebook auch eine nachträgliche Genehmigung eines jeden betroffenen Nutzers vorlegen, um die Löschungsverfügung zu vermeiden.

Facebook behauptet, die Verfahrensweise sei nicht nur den europäischen Datenschutzgesetzen voll entsprechend, sondern sogar mit dem irischen Datenschutzbeauftragten, den Facebook für die verbindliche Autorität auf diesem Gebiet hält, abgestimmt.

Der sieht das allerdings nach Informationen der New York Times nicht so. Vielmehr befände sich auch seine Behörde weiterhin in Diskussionen mit Facebook, nachdem ihm seitens der zuständigen EU-Parlamentsarbeitsgruppe der unmissverständliche Auftrag zur Fortführung der Verhandlungen erteilt wurde. Nach Auffassung der Arbeitsgruppe ist Facebooks Vorgehensweise eindeutig rechtswidrig und eine klare Verletzung europäischen Rechts.

Die Schwerter der Behörden indes scheinen stumpf. Casper könnte ein Bußgeld in Höhe von 25.000 Euro verhängen, dessen Rechtmäßigkeit dann vor dem Verwaltungsgericht geklärt werden könnte. Erstens dürfte Facebook die Höhe des Bußgeldes kaum in Alarmbereitschaft versetzen, zweitens ist man bekanntlich vor Gericht und auf hoher See in Gottes Hand. Direkte Verbote, im Sinne von Dienstbeschränkungen, dürfte der Hamburger gegen ein in den USA beheimatetes Unternehmen nur schwerlich durchsetzen können. Casper lässt verlauten, er prüfe diese Möglichkeit jedenfalls.

Der irische Datenschutzbeauftragte schwimmt in heißerem Wasser. Die Feststellung der Illegalität der Verfahrensweise Facebooks durch die EU-Arbeitsgruppe steht in krassem Gegensatz zu seiner Empfehlung an Facebook aus dem letzten Jahr. Darin hielt er es für ausreichend, wenn Facebook seine europäischen Nutzer über die Datenerfassung prominent unterrichten würde.

Man darf gespannt sein, wie sich dieser Fall entwickelt…