Facebook: Streit um Gesichtserkennung

Facebook und Verstöße gegen europäische Maßstäbe für den Datenschutz – das ist eine unendliche Geschichte. Jetzt hat der Hamburgische Beauftragte für Datenschutz das soziale Netzwerk dazu aufgefordert, in Sachen Gesichtserkennung nachzubessern. Facebook baue im Hintergrund eine Datenbank mit Millionen von Datensätzen auf.

Anfang Juni hat Facebook die Gesichtserkennungsfunktion auch in Deutschland verfügbar gemacht. Die Software sucht in hochgeladenen Bildern nach Gesichtern und fragt nach, ob eine gefundene Person mit einem Namen aus dem Facebook-Freundeskreis verknüpft werden soll. Sie macht auch Vorschläge, wer auf den Fotos abgebildet sein könnte.

Standardmäßig ist die Funktion aktiviert, kann aber in den Privatsphäreeinstellungen ausgeschaltet werden. Wird ‘Freunden Fotos von mir vorschlagen’ deaktiviert, haben Freunde immer noch die Möglichkeit, ein Foto manuell zu taggen. Fragen zum Markieren von Personen beantwortet Facebook auf einer Hilfeseite.

Laut Facebook ist die Gesichtserkennung eine Möglichkeit, ohne Aufwand zu kontrollieren, wer Fotos hochlädt, auf denen man selbst abgebildet ist. Nur Freunde können einander markieren; Facebook schickt im Fall eine Benachrichtigung. Vorschläge beziehen sich zudem nur auf Fotos, auf denen der Nutzer Markierungen zugelassen hat.

“Tagging ist wirklich wichtig, wenn es um Kontrolle geht”, hatte Chris Cox, Facebook Vizepräsident für Produkte, bei der Vorstellung der Funktion im Dezember betont. “Jedes Mal, wenn ein Tag angelegt wird, heißt das, dass es ein Foto von dir im Internet gab, von dem du nichts wusstest. Wenn du aber Bescheid weißt, kannst du den Tag entfernen, das Foto deinen Freunden zeigen oder demjenigen, der es veröffentlicht hat, schreiben: ‘Hey, ich finde dieses Bild nicht gerade prickelnd’.”

Die Reaktion der europäischen Datenschützer ließ nicht lange auf sich warten. Am 9. Juni kündigte Gérard Lommel, Mitglied der Artikel-29-Datenschutzgruppe, im Gespräch mit BusinessWeek an, dass die EU-Kommission eine Untersuchung der Gesichtserkennung einleiten werde. Die Artikel-29-Gruppe berät die Kommission in Fragen des Datenschutzes.

Die Datenschützer kritisierten unter anderem, dass Facebook das Feature von vornherein aktiviert, ohne seine Mitglieder darüber zu informieren. “Das Taggen von Personen in Bildern sollte nur mit ihrer Zustimmung möglich und nicht standardmäßig aktiviert sein”, sagte Lommel. Die automatische Gesichtserkennung berge viele Risiken für Nutzer. Man werde gegenüber Facebook klarstellen, dass “so etwas so nicht passieren darf.”

Facebook stellte indes klar, dass derzeit noch “keine offizielle Untersuchung” stattfinde. Man versorge die EU lediglich mit zusätzlichen Informationen, “von denen wir überzeugt sind, dass sie jegliche Bedenken ausräumen werden”, sagte Unternehmenssprecherin Sophy Tobias gegenüber Reuters.

Nach der Artikel-29-Datenschutzgruppe kritisierten auch Datenschützer in den USA Facebooks Gesichtserkennung. Während die Europäer vor allem eine mangelnde Transparenz bemängeln, haben die US-Datenschützer die Gesichtserkennungsfunktion an sich im Visier. So legte das Electronic Privacy Information Center (EPIC) eine Beschwerde (PDF) ein und forderte die US-Handelsbehörde FTC auf, die Funktion zu untersuchen.

“Die ‘Tag-Vorschläge’ funktionieren von Mitgliedern hochgeladene Fotos in ein Bildidentifikationssystem um, das unter der alleinigen Kontrolle von Facebook steht”, schreiben die Datenschützer. Dies sei ohne das Wissen und die Zustimmung von Nutzern geschehen, ebenso ohne eine adäquate Abschätzung der Risiken. Die Datenschützer fürchten, dass das Social Network die Informationen missbrauchen könnte. “Nutzer konnten in keinster Weise damit rechnen, dass Facebook ihre Fotos dazu verwenden würde, eine biometrische Datenbank aufzubauen.”

Laut EPIC verletzt das Social Network mit solchen Geschäftspraktiken nicht nur seine eigenen Datenschutzrichtlinien, sondern auch öffentlich gemachte Versprechen. “Sollte die FTC nicht unverzüglich tätig werden, besteht Grund zu der Annahme, dass Facebook die Gesichtserkennung routinemäßig automatisiert und Anwender keine Kontrolle mehr darüber haben, wie ihre Bilder zur Identifikation im Web genutzt werden.”

Jetzt hat sich auch Johannes Caspar, Hamburgischer Beauftragte für Datenschutz und Informationsfreiheit, zu Wort gemeldet. Caspar forderte Facebook auf, die Funktion der Gesichtserkennung an europäische und nationale Datenschutzstandards anzupassen oder abzuschalten.

Es sei bedenklich, dass Facebook für die Funktion im Hintergrund eine Datenbank zur Gesichtserkennung mit Millionen von Angaben aufbaue. Bei einer Gesamtzahl von über 75 Milliarden hochgeladener Fotos wurden bisher nach Angaben von Facebook mehr als 450 Millionen Personen getaggt. Schätzungen zu Folge werden pro Sekunde mehr als 1000 Namens-Tags eingetragen. Die Risiken einer derartigen Ansammlung biometrischer Daten sei immens.

Facebook habe zwar schriftlich mitgeteilt, dass nach Abschalten der Funktion ‘Freunden Fotos von mir vorschlagen’ auch eine Löschung der biometrischen Daten erfolge. Laut Facebooks Online-Hilfesystem würden damit aber lediglich die Markierungsvorschläge unterdrückt, so Caspar. Es sei davon auszugehen, dass die Daten gespeichert blieben.

Wenn Nutzer ihre bereits gespeicherten biometrischen Daten löschen wollen, müssten sie zunächst das Online-Hilfesystem durcharbeiten. Darin wird zur Löschung der biometrischen Daten ein Weg über die Privatsphäre-Einstellungen gewiesen. Die entsprechende Funktion (‘Daten aus Fotovergleich löschen’) existiere jedoch nicht.

An einer anderen Stelle im Hilfesystem findet sich ein Link, über den der Nutzer das ‘Facebook Foto-Team’ kontaktieren könne. Dort solle er um die Entfernung aller bisher über ihn selbst in der biometrischen Datenbank gespeicherten Fotoinformationen bitten. Eine Opt-Out-Möglichkeit sei damit zwar vorhanden, für den normalen Nutzer aber kaum zu finden.

Angesichts dessen scheine besonders bedenklich, dass die Gesichtserkennung sogar für minderjährige Nutzer voreingestellt ist, so Caspar. Aber selbst wenn Facebook ein nutzerfreundliches Verfahren zum Opt-Out anböte, würde es weder nationalen noch europäischen Datenschutzanforderungen genügen. Für eine Speicherung von biometrischen Merkmalen sei eine vorab erteilte, unmissverständliche Einwilligung der Betroffenen erforderlich. Zu unterstellen, durch bloßes Nichteinlegen eines Widerspruchs läge eine Zustimmung vor, reiche hierfür nicht aus. “Die automatische Gesichtserkennung ist ein schwerer Eingriff in das informationelle Selbstbestimmungsrecht des Einzelnen”, so Caspar. Das müsse auch ein global agierendes Unternehmen berücksichtigen.

Facebook werde die Aussagen des Hamburger Datenschutzbeauftragten prüfen, sagte ein Unternehmenssprecher der Süddeutschen Zeitung. “Wir weisen ausdrücklich jegliche Vorwürfe von uns, die besagen, dass wir unseren Verpflichtungen gegenüber den Datenschutzgesetzen der Europäischen Union nicht nachkommen.”

In Sachen Gesichtserkennung droht Facebook dasselbe wie in Sachen ‘Freundefinder’: ein Prozess. Ende 2010 reichte das Verbraucherzentralen-Projekt Verbraucherrechte in der digitalen Welt Klage gegen Facebook ein. Hauptkritikpunkte der Verbraucherzentralen sind der Adressbuch-Import und die Einladung von Nicht-Mitgliedern (Freundefinder). Ein erster Verhandlungstermin vor dem Landgericht Berlin steht noch aus.

In Sachen Datenschutz sorge Facebook immer wieder für Negativ-Schlagzeilen, so die Verbraucherschützer. Das im Mai bekannt gewordene Datenleck, über das Dritte seit Jahren auf Daten der Nutzer zugreifen konnten, sei nur ein Beispiel. Trotz aller Kritik halte das Unternehmen – anders als andere Anbieter sozialer Netzwerke – an seiner Geschäftspolitik fest. So verschaffe sich Facebook mit unzulässigen Methoden Tag für Tag einen Wettbewerbsvorteil gegenüber in Deutschland ansässigen Netzwerken.