Meta

FTC-Vereinbarung setzt strenge neue Standards zum Schutz der Privatsphäre unserer Nutzer

Von Colin Stretch

Update, 25. Juli 2019

Mark Zuckerberg erörterte die anstehenden Veränderungen im Rahmen einer unternehmensweiten Veranstaltung:

Ursprünglicher Blogpost vom 24. Juli 2019

Nach mehreren Monaten Verhandlungen haben wir eine Einigung mit der amerikanischen Verbraucherschutzbehörde (Federal Trade Commission, FTC) erzielt. Diese sieht ein neues Rahmenwerk an Maßnahmen zum Schutz der Privatsphäre und Daten unserer Nutzer vor.

Im Ergebnis werden wir unsere Arbeitsweise grundlegend überdenken müssen und unseren Produktentwicklern auf allen Ebenen unseres Unternehmens mehr Verantwortung auferlegen. All dies bedeutet, dass Privatsphäre und Datenschutz in Zukunft eine noch größere Rolle für uns spielen werden als bisher.

Die Rechenschaftspflicht, die diese Einigung vorsieht, geht über geltendes US-Recht hinaus. Wir hoffen, dass dies zu einem Vorbild für die gesamte Branche werden wird. Die Einigung fordert strengere Verfahren zur Erkennung von Datenschutzrisiken, eine umfassendere Dokumentation dieser Risiken sowie weitreichende Maßnahmen, die sicherstellen sollen, dass wir die neuen Anforderungen erfüllen. In Zukunft werden wir bei der Entwicklung unserer Privatsphäre-Einstellungen denselben Ansatz verfolgen wie bei unserer Finanzkontrolle. Ein strenger Entwicklungsprozess und individuelle Zertifizierungen sollen sicherstellen, dass unsere Mechanismen funktionieren und dass Schwachstellen umgehend aufgedeckt und behoben werden.

Im Rahmen des Vergleichs haben wir außerdem zugestimmt, ein Bußgeld in Höhe von 5 Milliarden US-Dollar zu bezahlen – ein Mehrfaches dessen, was jemals zuvor von anderen Unternehmen an die FTC gezahlt wurde –, um Vorwürfe beizulegen, wonach wir gegen unsere Vergleichsverpflichtung (Consent Order) von 2012 verstoßen hätten.

Die Untersuchung der FTC wurde nach den Ereignissen im Zusammenhang mit Cambridge Analytica im vergangenen Jahr eingeleitet. Die damaligen Geschehnisse stellten einen Vertrauensbruch zwischen uns und unseren Nutzern dar, die darauf angewiesen sind, dass Facebook ihre Daten schützt. Mit dieser Vereinbarung möchten wir nicht nur den Anforderungen der Regulierungsbehörden genügen, sondern auch das Vertrauen der Menschen zurückzugewinnen.

In den vergangenen Jahren haben wir große Fortschritte mit Blick auf den Datenschutz gemacht. Wir haben den Menschen mehr Kontrolle über ihre Daten gegeben, Drittanbietern den Zugang verwehrt und mehr Ressourcen investiert, um die Informationen unserer Nutzer zu schützen. Aber selbst im Vergleich zu diesen Änderungen wird das Datenschutzprogramm, das wir nun schaffen, einen deutlichen Wandel im Umgang mit Daten bedeuten. Wir werden noch stärker dafür sorgen, Datenschutzrisiken zu identifizieren, zu beurteilen und einzudämmen. Wir werden neue Wege beschreiten, um die Entscheidungen, die wir treffen, gründlicher zu dokumentieren und deren Auswirkungen zu überprüfen. Und wir werden weitere technische Einstellungen einführen, die uns dabei helfen werden, unsere Datenschutzmaßnahmen besser zu automatisieren.

Im Rahmen dieser Bemühungen werden wir eine grundlegende Überprüfung unserer Systeme vornehmen. Wir gehen davon aus, dass wir dabei Schwachstellen aufdecken werden – dies ist Sinn und Zweck der Übung. Wir werden dann umgehend damit beginnen, diese Schwachstellen zu beheben.

Diesen Monat haben wir im Rahmen der FTC-Untersuchung Schwachstellen in unserem System gefunden, die es einigen Partnern ermöglicht haben, weiterhin Zugang zu Daten zu erhalten, um Facebook-Funktionalitäten in ihren Produkten einzubinden. Wir haben zwar keinen Missbrauch feststellen können, die neue Einigung wird uns jedoch helfen, uns künftig gegen solche Risiken zu wappnen. Wir werden Missbräuche gründlicher kontrollieren und Entwickler künftig zur Rechenschaft ziehen, wie sie unsere Daten verwenden und unsere Richtlinien einhalten.

Transparenz und Verantwortung werden bei den anstehenden Veränderungen unsere Leitgedanken sein. Wir werden vierteljährliche Zertifizierungen einführen, um sicherzustellen, dass unsere Privatsphäre-Einstellungen funktionieren. Sollten wir Probleme feststellen, sorgen wir dafür, dass diese umgehend behoben werden. Dieser Prozess wird bis zu Mark Zuckerberg reichen, der dafür verantwortlich zeichnet, dass wir unsere Vorhaben in die Tat umsetzen.

Auch die Aufsicht durch unseren Vorstand werden wir neu gestalten. Ein Komitee aus Vorstandsmitgliedern wird einmal pro Quartal zusammenkommen, um sicherzugehen, dass wir unseren Verpflichtungen nachkommen. Das Komitee wird durch einen Sachverständigen für Datenschutz informiert, dessen Aufgabe es sein wird, unser Datenschutzprogramm laufend zu überprüfen sowie unseren Vorstand über Verbesserungsmöglichkeiten in Kenntnis zu setzen.

Diese Veränderungen werden wir unter strenger Beobachtung durch die FTC und das US-Justizministerium vornehmen. Die Einigung sieht eine Reihe an Berichtspflichten gegenüber der FTC vor, welche sicherstellen, dass die FTC und das US-Justizministerium jederzeit klare Übersicht darüber haben, wie effektiv wir diese Verantwortlichkeiten umsetzen.

Uns ist klar, dass wir auch mit all diesen neuen Maßnahmen nicht alle Herausforderungen allein bewältigen können. Daher werden wir in Zukunft auf noch systematischere und umfassendere Weise die Meinungen externer Experten einholen.

Wir haben heute außerdem eine Einigung in der Untersuchung durch die US-Börsenaufsichtsbehörde (Securities and Exchange Commission, SEC) erzielt. Die SEC machte uns den Vorwurf, unsere Prozesse zur Offenlegung von Datenmissbrauch (wie im Fall von Cambridge Analytica) gegenüber Anlegern seien unzureichend gewesen. Weiterhin warf sie uns vor, dass wir in unseren Investor-Informationen besser über den Datenmissbrauch hätten offenlegen müssen, als wir Ende 2015 erfuhren, dass ein Entwickler unter Verletzung unserer Richtlinien Daten an Cambridge Analytica übermittelt hatte. Wir teilen die Ansicht der SEC, dass wir unseren Anlegern gegenüber transparent kommunizieren müssen, welche Datenschutzrisiken bestehen. Zu diesem Zweck haben wir unsere diesbezüglichen Bekanntgaben und Kontrollmechanismen bereits aktualisiert. Im Rahmen des Vergleichs mit der SEC haben wir zugestimmt, ein Bußgeld von 100 Millionen US-Dollar zu bezahlen.

Wir möchten den in der Vergangenheit ausgesprochenen Entschuldigungen nun weitere Taten folgen lassen. Da wir in den Verfahren mit der US-Verbraucherschutzbehörde und der US-Börsenaufsichtsbehörde Einigungen erzielt haben, hoffen wir, dieses Kapitel abzuschließen, sodass wir nach vorne blicken und unsere Energie und Ressourcen ganz der Zukunft widmen können.

Milliarden von Menschen weltweit nutzen unsere Produkte privat und geschäftlich, und sie müssen darauf vertrauen können, dass ihre Daten auf unserer Plattform sicher sind. Mit dieser Einigung setzen wir ein unmissverständliches Zeichen, dass wir unsere Verpflichtung ernst nehmen.