59 Fragen an Facebook

Nach mehreren Anhörungen in den Ausschüssen des Bundestages ist klar: Die Facebook-Vertreter versuchen die Abgeordneten bei ihren Befragungen mit einer klassischen Salami-Taktik abzuspeisen. Nur nach hartnäckigem Nachbohren kamen noch ein paar wenige zusätzliche Informationen ans Licht. Der Chef-Lobbyist hat sich zwar entschuldigt, doch über salbungsvolle Aussagen ging er nicht hinaus. Zentrale Fragen der Öffentlichkeit und der Abgeordneten wurden nicht beantwortet. Weil wir Facebook mit dieser Hinhaltetaktik nicht durchkommen lassen wollen, haben wir, Tabea Rößner, Konstantin von Notz, Dieter Janecek, Anna Christmann und Renate Künast, einen Katalog mit 59 Fragen an Facebook geschickt. Unter anderem wollen wir wissen, wann welche betroffenen Nutzerinnen und Nutzer informiert wurden, wie Facebook plant, die Datenschutzgrundverordnung umzusetzen und wie das Unternehmen seine Rolle im Rahmen von gezielter Wahlbeeinflussung und Desinformationskampagnen sieht. Über unseren Fragenkatalog hat am 12. Mai 2018 die NOZ berichtet.

Hier sind die Fragen, die wir an Facebook geschickt haben mit der Bitte um Beantwortung bis zum 18. Mai 2018:

1. Haben sich die bisher ausgegebenen Zahlen der von dem Datenmissbrauch durch Cambridge Analytica betroffenen Nutzerinnen und Nutzer zwischenzeitlich noch einmal erhöht oder sind diese konstant geblieben?
2. In Ihren Antworten auf den Fragenkatalog, die Sie uns im Vorfeld der gemeinsamen Sitzung des Ausschusses für Recht und Verbraucherschutz und des Ausschusses Digitale Agenda durch den Vertreter des Berliner Facebook-Büros Herrn Semjon Rens zukommen ließen, heißt es, Sie hätten am 9. April 2018 damit begonnen „alle Facebook-Nutzer“ über einen Link ganz oben in ihrem News Feed zu informieren. Zum Zeitpunkt der Sitzung am 20. April war dieser Hinweis auf vielen Nutzerseiten noch nicht zu finden. Können Sie zum heutigen Zeitpunkt mit Gewissheit sagen, tatsächlich mittlerweile alle Betroffenen informiert zu haben und, falls nicht, bis wann werden Sie alle Nutzerinnen und Nutzer informiert haben?
3. Weiter schreiben Sie: „Zum gleichen Zeitpunkt haben wir den möglicherweise betroffenen Nutzern ebenfalls mitgeteilt, ob ihre Informationen auf unangemessene Weise an Cambridge Analytica weitergegeben wurden.“ Haben Sie die betroffenen Nutzerinnen und Nutzer inzwischen alle identifiziert? Schreiben Sie nur alle tatsächlichen Nutzerinnen und Nutzer an? Wenn Sie allerdings bereits am 9. April 2018 damit begonnen haben, müssten Sie ja alle Nutzerinnen und Nutzer identifiziert haben und könnten ihnen mitteilen, dass (und nicht ob) ein Missbrauch vorliegt. Oder schreiben Sie alle möglichen Nutzerinnen und Nutzer an und weisen Sie darauf hin, dass es einen Datenmissbrauch gegeben haben könnte?
4. Bis wann werden sämtliche betroffen Nutzerinnen und Nutzer über den Missbrauch ihrer Daten informiert sein?
5. Warum wurden die betroffenen Nutzerinnen und Nutzer nicht beziehungsweise erst mit großer Verspätung darüber zu informiert, dass Dritte illegal an ihre Daten gelangt waren? Teilen Sie die Auffassung, dass Sie spätestens ab Kenntnis der unrechtmäßigen Datenweitergabe an Cambridge Analytica schon nach geltender Rechtslage verpflichtet waren, sowohl die bundesdeutschen betroffenen Nutzerinnen und Nutzer als auch die zuständige Aufsichtsbehörde zu informieren? Wie werden Nutzerinnen und Nutzer informiert, die ihre Profile bereits gelöscht haben?
6. Ist es zutreffend, dass nur direkt betroffene Nutzerinnen und Nutzer informiert wurden, welche Apps zu welchen Daten und Informationen Zugang begehrten und man entscheiden konnte, ob man diese gewährt oder nicht oder galt dies auch für die Freunde? Falls ja, ab wann konkret? Ist es zutreffend, dass diese Änderung erst ab Plattform Graph API V2 ab dem 30. April 2014 griff, d.h. woher keine Information erfolgte, d.h. die Daten von Freunden, die die App nicht nutzten, ohne deren Wissen übermittelt wurde? Falls zutreffend: Was war der konkrete Anlass für die Änderung?
7. Welche Informationen des öffentlichen Facebook-Profils wurden auch nach der Änderung auf V2 noch übermittelt, wenn der Nutzer oder die Nutzerin ein Datenzugriff per Opt-out verwehrte? Ist es zutreffend, dass der Nutzer oder die Nutzerin die Übermittlung dieser Information nur widersprechen konnte, indem er/sie die App gar nicht nutzte und wurden dann nicht schon (ggf. welche?) Informationen übermittelt?
8. Ist es zutreffend, dass es unter V1 die Möglichkeit für Nutzerinnen und Nutzer gab, Daten und Informationen ihrer Freunde mit einer App zu teilen? Bestand somit nicht auch die Gefahr, dass eine Person Tausende von Kontakten sammelte, um einen sehr weitreichenden Zugriff auf persönlichste Daten und Informationen dieser Nutzerinnen und Nutzer zu erhalten?
9. Halten Sie die bisherigen Entschuldigungen und die jahrelang verspätete Information der Millionen betroffenen Nutzerinnen und Nutzer für ausreichend oder gibt es von Seiten Ihres Unternehmens weitergehende Überlegungen?
10. Bleiben Sie bei der Aussage, dass die genaue Anzahl der Apps, die einen vergleichbaren Datenzugriff wie Cambridge Analytica auf die Daten von Nutzerinnen und Nutzern bekamen, ein Geschäftsgeheimnis ist, das sie nicht preisgeben können?
11. Haben Sie zur Überprüfung der Apps und der Einhaltung der Facebook-Richtlinien eine Task Force gebildet?
12. Wie viele Mitarbeiter bei Facebook sind mit der Überprüfung betraut?
13. Wie sind diese Mitarbeiter ausgebildet bzw. geschult worden, um die Überprüfung durchzuführen und Missbrauch zu erkennen?
14. Wo findet die Überprüfung statt?
15. Bis wann werden Sie die Überprüfung vollzogen haben?
16. Bis wann werden die angekündigten Maßnahmen umgesetzt sein?
17. Wie erwirken Sie die unwiederbringliche Löschung der unrechtmäßig weitergegebenen Daten?
18. Wie überprüfen Sie die Löschung dieser Daten?
19. Warum wurde die Löschung der unrechtmäßig erlangten Daten nicht überprüft? Können Sie zusagen, dass Löschungen von privaten Daten, die über Ihre Schnittstellen an Dritte gegeben wurden, überprüft werden? Sind diese Daten bei diesem Unternehmen gegenwärtig noch gespeichert und wurden Schritte unternommen, um zur Beweissicherung eine Sperrung (statt Löschung) vorzunehmen?
20. Welche Schritte haben Sie bisher unternommen, um mit dem zuständigen Hamburgischen Datenschutzbeauftragten zusammenzuarbeiten, diesem Zugang zu den Rechensystemen zu gewähren, um eine Betroffenheit deutscher Nutzerinnen und Nutzer zu überprüfen und Verstöße gegen geltendes deutsches Recht festzustellen, um so eine Einhaltung der gesetzlichen Regelungen überprüfen zu können?
21. Von welchen Gesellschaften und Personen, die Dr. Kogan benannt hatte, haben Sie rechtlich verbindliche Versicherungen erhalten?
22. Waren diese Versicherungen justiziabel?
23. Hat Facebook die Vollstreckung dieser Versicherungen erwirkt?
24. Wie wollen Sie den Zugang von Entwicklern zu Daten „weiter beschränken“ abgesehen von den Fällen, bei denen Nutzer die Apps über 90 Tage nicht genutzt haben?
25. Wie hat Facebook die Einhaltung der den Entwicklern auferlegten Anforderungen gemäß den damals geltenden Plattform-Richtlinien überprüft?
26. Hält Facebook es für rechtmäßig, dass Apps alleine mit Einwilligung des Nutzers oder der Nutzerin auf Daten von deren Facebook-Freunden zugreifen können, das heißt ohne dass die Freunde des Nutzers oder der Nutzerin dazu ihre Einwilligung gegeben haben?
27. Sie gehen mittlerweile davon aus, dass zehntausende Apps offene Schnittstellen zum Kopieren von Nutzerinnen- und Nutzerprofilen genutzt haben. Bitte machen Sie hier genauere Angaben über Anzahl der Berechtigten, Umfang, Dauer und Art der Datenweitergabe. Welche Schritte haben Sie selbst für eine umfassende Aufklärung über den Umfang vergleichbarer Fälle eines Massenabgriffes von Daten bundesdeutscher Nutzerinnen und Nutzer bei Facebook unternommen?
28. Warum wurden die Geschäftsbeziehungen zu Cambridge Analytics erst verspätet aufgelöst?
29. Was bedeutet es konkret, wenn Sie schreiben, dass Sie die Regelungen der Plattformrichtlinien gegenüber allen Entwicklern anwenden und Sie darüber hinaus einer Überprüfung der Apps (App Review) unterwerfen? Wie sieht eine solche Überprüfung ganz konkret aus, d.h. was wird exakt in welchen Intervallen geprüft und gibt es hierfür für alle Apps nachvollziehbare Dokumentationen?
30. Welche konkreten Konsequenzen ziehen Sie aus der Erkenntnis, dass Entwickler Ihre Richtlinien dahingehend wiederholt gebrochen haben, dass Daten doch mit Dritten geteilt wurden?
31. Wie oft haben Sie von den in Ihren Plattform-Richtlinien vorgesehenen Überprüfungen tatsächlich Gebrauch gemacht? Welche juristischen Schritte haben Sie beispielsweise  in wie vielen Fällen in den letzten Jahren eingeleitet und was war jeweils das Ergebnis?
32. Gab oder gibt es Vertragsstrafen, wenn sich Entwickler nicht an ihre Vorgaben halten? Falls nein, warum nicht und prüfen Sie die Einführung derartiger Sanktionen, z.B. den lebenslangen Ausschluss von der Entwicklerplattform?
33. Sind Sie, auch vor dem Hintergrund ihrer Aussagen vor Kongress und Senat und dem Umstand, dass Sie zumindest eine Aussage vor dem Europäischen Parlament prüfen, bereit, auch den Fachausschüssen des Deutschen Bundestags Rede und Antwort zu stehen?
34. Wie erklären Sie den Widerspruch zwischen ganzseitigen Werbeseiten, mit denen Sie die EU-Datenschutzgrundverordnung begrüßen, und Ihrer Entscheidung, Facebook Irland hinsichtlich der Datenschutzregeln nicht als zuständige Niederlassung anzuführen, hinsichtlich der steuerlichen Regulierung allerdings schon?
35. Wie erklären Sie den Widerspruch zwischen der positiven Kommentierung der EU-Datenschutzgrundverordnung durch Mark Zuckerberg und Ihren aktuellen Anstrengungen, Nutzerinnen und Nutzer aus Europa zielgenau zu erfassen, um ausschließlich diese unter die geltenden Standards der Datenschutzgrundverordnung zu stellen? Wie und anhand welcher Kriterien nimmt Facebook aktuell die Zuordnung von Nutzerinnen und Nutzern zum europäischen rechtlichen Geltungsbereich vor und kann Facebook ausnahmslos sicherstellen, dass für sämtliche europäischen Nutzerinnen und Nutzer ab dem 25. Mai auch tatsächlich vollumfänglich die durch die EU-DSGVO vorgegebenen Standards gelten?
36. Welche Aspekte der EU-DSGVO wird Facebook weltweit implementieren? Wie setzt sich Facebook in Brüssel für eine starke e-privacy Verordnung ein?
37. Welche konkreten Maßnahmen ergreift Facebook, um das Auslesen von Adressbüchern im Sinne der EUDSGVO zu begrenzen und die informierte Einwilligung der betroffenen Nutzerinnen und Nutzer einzuholen? Welche Anstrengungen ergreift Facebook, um diesen „Industriestandard“ (Zitat Kaplan) anzuheben?
38. Werden Sie sich in Zukunft an in Deutschland geltendes Recht halten und beispielsweise dafür sorgen, dass deutsche Nutzerinnen und Nutzer dem Telemediengesetz entsprechend Ihr Netzwerk auch pseudonymisiert und anonymisiert nutzen können?
39. Halten Sie es mittlerweile für einen Fehler, sich jahrelang nicht an nationale gesetzliche Vorgaben gebunden gefühlt zu haben, sondern stattdessen durch Allgemeine Geschäftsbedingungen und selbstgesteckte Gemeinschaftsstandards eine Art eigenen Rechtsrahmen geschaffen zu haben?
40. Bleiben Sie bei der Aussage, dass die angekündigten Konsequenzen zugunsten des Datenschutzes Ihrer Nutzerinnen und Nutzer mehrere Jahre in Anspruch nehmen werden, sprich die Rechte Ihrer Nutzerinnen und Nutzer jahrelang nicht gesichert werden sollen? Falls dies nicht zutrifft, um welche Umstellungen konkret geht es, die jahrelang dauern sollen?
41. Wie ist die generelle technische und rechtliche Beschränkung für Drittanbieter, über offene Schnittstellen (APIs) auf Nutzerinnen- und Nutzerprofile zuzugreifen und diese kopieren zu können, sicher gestellt?
42. Trifft es zu, dass vor der Änderung des Schnittstellenzugangs in 2015 auf FB-Kontakte, der Zugriff von auf die EU-Märkte abzielenden Drittanbietern auf Kontakte der FB-User auf deutsche/ europäische Nutzerinnen- und Nutzerprofile technisch und rechtlich möglich war, so dass diese ebenfalls massenhaft zugreifen oder diese kopieren konnten? Welche Erkenntnisse haben Sie dazu?
43. Welche konkreten Anpassungen nehmen Sie derzeit an der Liste der Zugangsberechtigungen vor, die App-Entwickler von den Nutzerinnen und Nutzern über einen Facebook-Login einholen können?
44. Ist es, auch vor dem Hintergrund, dass in den Facebook-Nutzungsbedingungen die Nutzerinnen und Nutzer lediglich dahingehend aufgeklärt werden, dass falls sie die App eines Dritten nutzen, diese App die Berechtigung anfordern könnte, Zugang zu eigenen Inhalten und Informationen der Nutzer zu erhalten und darüber hinaus die App um die Berechtigung für den Zugang zu geteilten Inhalten und Informationen Dritter bitten könnte, tatsächlich zutreffend, dass ein Datenzugriff, auch ein teilweiser, erst dann erlaubt wird, wenn die Nutzerinnen und Nutzer eingewilligt haben und schließen Sie aus, dass ohne Einwilligung Daten der Nutzerinnen und Nutzer übermittelt wurden und werden und die App Inhalte und Informationen nur in dem Umfang nutzt, speichert und übermittelt, in dem dies erlaubt wurde?
45. Gilt dies auch für die Daten und Informationen von Freunden von Nutzerinnen und Nutzer, wenn diese nicht über ein Opt-out-Verfahren ihre Datenschutzeinstellungen entsprechend restriktiv verwaltet haben?
46. Sprechen Sie sich weiter gegen eine Interoperabilität zwischen digitalen Plattformen aus, wo technisch möglich und mit dem Datenschutzrecht vereinbar?
47. Können Sie zusichern, dass Sie keine Profile über Personen erstellen, die nicht Nutzerinnen und Nutzer Ihrer Dienste sind?
48. Gehen Sie davon aus, dass Sie für die jetzt eingeführten Gesichtserkennungsverfahren ein Opt-In-Verfahren zur Verfügung stellen können, dass den Vorgaben der EU-Datenschutzgrundverordnung entspricht und die Einwilligung nicht schwieriger gestalten als die Ablehnung?
49. Wie wertet Facebook Informationen über Emotionen wie durch die Verwendung von emoticons aus?
50. Wie genau unterstützt Facebook die Forscherinnen und Forscher bei der Kooperation „Social Data Initiative“ mit dem Social Science Research Council (personell und finanziell) und plant Facebook weitere Kooperationen mit der Wissenschaft?
51. Welche Unternehmen sieht Facebook als seine Mitbewerber auf dem Markt der sozialen Netzwerke?
52. Warum erlauben es die Privacy-Einstellungen nicht, jegliche Werbung zu verhindern?
53. Was wird Facebook gegen Fake Reviews tun, die auf ihrer Plattform für andere Plattformen wie Amazon organisiert werden?
54. Teilen Sie die rechtliche Auffassung, dass bereits nach heutiger Gesetzeslage ein gezieltes Scoring zur Ermittlung der mutmaßlichen politischen Einstellungen Einzelner allenfalls auf der Grundlage informierter und vorab erteilter schriftlicher Einwilligungen zulässig wäre?
55. Teilen Sie die Auffassung, dass die potentielle Möglichkeit verdeckter Kampagnen auf Facebook und anderen Plattformen mit dem Ziel der Destabilisierung der demokratischen verfassungsrechtlichen Ordnung konkrete Gegenmaßnahmen erfordert? Welche Maßnahmen haben Sie unternommen, welche werden sie unternehmen? Planen Sie tief greifendes Micro-Targeting zu politischen Zwecken im Rahmen von Wahlen auf Ihren Plattformen zu verbieten?
56. Am 12.3.2018 hat die hochrangige Expertengruppe der Europäischen Kommission zu Fake News und online-gestützer Desinformation ihren Abschlussbericht vorgelegt (Europäische Kommission (2018) “A multi-dimensional approach to disinformation” http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=50271). Der Bericht empfiehlt eine Reaktion auf dieses Phänomen in fünf Dimensionen: Transparenz, digitale Medienkompetenz, technische Werkzeuge, Medienvielfalt und Forschung. Wie schätzen Sie die Vorschläge ein? Wie stellt Facebook sicher, dass alle fünf Dimensionen implementiert und auditiert werden? Zu wann?
57. Facebook soll im vergangenen US-amerikanischen Wahlkampf den Parteien angeboten haben, Wählerlisten mit Facebook-Accounts abzugleichen, um so die nötige Datenbasis zu erlangen (Guardian 2017, nach Simon Hegelich, Social Media im Wahlkampf, Hanns-Seidel-Stiftung, 2018). Zudem hat Facebook wohl „schon 2012 eine Studie veröffentlicht, dass sich durch die Plattform ein Mobilisierungseffekt erreichen lässt: Wer sieht, dass seine Facebook-Freunde wählen, wird auch eher zur Wahl gehen. Die Trump-Kampagne hat versucht, diesen Effekt umzudrehen. Ein Ziel war es, Bevölkerungsgruppen, die für Clinton sehr wichtig waren, zu demobilisieren.“ (Simon Hegelich, Social Media im Wahlkampf, Hanns-Seidel-Stiftung, 2018). Inwieweit definieren Sie sich selber als „neutrale“ Plattform, wenn Sie als Akteur derartige Angebote unterbreiten? Nach welchen Kriterien wird der „voter button“ angezeigt?
58. Wie viele sogenannte „dark ads“ wurden im Bundestags-Wahlkampf ausgespielt, welche Einnahmen davon generiert und hat Facebook ein Register aller dieser „dark ads“?
59. Wie erforscht Facebook selbst Phänomene wie „Fake News“ und Wahlkampf-Manipulationen auf sozialen Netzwerken, und wie werden die Ergebnisse für die Wissenschaft nachvollziehbar und überprüfbar veröffentlicht?

Über die verschiedenen Anhörungen von Facebook-Vertretern in den Ausschüssen des Bundestages haben wir hier berichtet. Außerdem haben wir eine kleine Anfrage zum Facebook-Skandal an die Bundesregierung gestellt und einen Antrag zu fairem Wettbewerb und besserem Datenschutz auf digitalen Märkten vorgelegt und uns mit der Frage der intransparenten Beeinflussung demokratischer Willensbildung befasst.