San Francisco/Wien. (ast/apa) Facebook muss sich in den USA einer Sammelklage von Nutzern stellen, die sich durch daie automatische Gesichtserkennung des Online-Netzwerks in ihrer Privatsphäre verletzt sehen. Ein Gericht in San Francisco ließ eine Klage am Montag gegen den Widerstand der Facebook-Anwälte zu.

In dem Verfahren soll es um eine Funktion gehen, die Facebook 2010 eingeführt hatte: Sie überprüft Fotos, die Nutzer hochgeladen haben, und versucht, die Gesichter auf den Fotos den Namen von Nutzern zuzuordnen.

In der EU war diese Funktion bereits 2012 aus Datenschutzgründen abgeschaltet worden. Die Kläger in den USA wenden nun ein, dass die Gesichtserkennung ohne ihr Einverständnis eingesetzt werde. Dies verstoße gegen ein Gesetz des US-Bundesstaats Illinois zum Schutz privater biometrischer Daten. US-Bundesrichter James Donato erklärte die Argumentation von drei Klägern für stichhaltig genug, um eine Sammelklage gegen Facebook zuzulassen. Der Klage können sich alle Bewohner von Illinois anschließen, von denen Facebook seit Juni 2011 ein Gesichtsfoto als Vorlage für die Gesichtserkennung gespeichert hat.

Facebook sammelt auch Daten von Nutzern ohne Konto

Eine Facebook-Sprecherin kündigte als Reaktion auf die Entscheidung eine "energische Verteidigung" der Interessen ihres Konzerns an. Facebook sei weiterhin der Ansicht, dass die Klage ohne Grundlage sei. Die Nutzer hätten die Möglichkeit, die Gesichtserkennung zu deaktivieren.

Die Klage trifft Facebook zu einem heiklen Zeitpunkt: Der Konzern steht wegen eines Datenskandals unter großem Druck. Die Daten von bis zu 87 Millionen Nutzern des sozialen Netzwerks waren bei der britischen Firma Cambridge Analytica gelandet und sollen unerlaubt für den Wahlkampf des heutigen US-Präsidenten Donald Trump ausgeschlachtet worden sein.

Am Montag musste Facebook einräumen, auch Daten von Nutzern gesammelt zu haben, die das soziale Netzwerk gerade überhaupt nicht nutzten. "Wenn man eine Webseite oder eine App besucht, die unsere Dienste nutzt, erhalten wir auch dann Informationen, wenn man nicht eingeloggt ist oder kein Facebook-Konto hat", erklärte David Baser.

Der Facebook-Manager führte aus, dass viele Unternehmen auf Facebooks Dienste zurückgriffen, um etwa Werbung zielgerichtet zu platzieren. Manche Webseiten und Apps verlangten auch, dass sich Nutzer zunächst über ihren Facebook-Account einloggen. Baser betonte, dass andere Unternehmen wie etwa Google und Twitter ähnlich Informationen sammelten.

In der EU tritt mit 25 Mai die vom EU-Parlament beschlossene Datenschutzgrundverordnung (DSGVO) in Kraft. Sie regelt die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit einheitlich. In einem Webinar von Fabasoft Cloud, erklärte Datenschutz-Aktivist Max Schrems am Dienstag die Probleme des Datenschutzes bei der Übermittlung personenbezogener Daten in Drittländer.

EU-Recht mit US-Recht
im Konflikt

Datentransfers innerhalb der EU und Eurozone seien laut DSGVO unproblematisch. Ähnlich in Drittstaaten, die ein EU-ähnliches Datenschutzniveau haben, wie etwa der Schweiz oder Kanada, sagte Schrems. Diesen Bereich versuche die EU-Kommission auszubauen, die EU-Standards würden dort übernommen.

Außerdem gebe es zivilrechtliche Garantien bei Drittstaaten. Über einen Vertrag werde das europäische Datenschutzrecht exportiert, Unternehmen in Drittstaaten seien über zivilrechtliche Instrumente daran gebunden.

Mit den USA gebe es aber Konflikte: Das Privacy Shield, eine Absprache mit der EU, die 2016 ausgehandelt wurde, bestimmt, dass wenn ein US-Unternehmen zusagt, sich an die Regeln zu halten, auf einer Liste eingetragen wird und Daten empfangen kann.

Das Problem hierbei sei Prism, das US-Programm zur Überwachung und Auswertung elektronisch gespeicherter Daten. Die US-Regierung verschafft sich damit Zugang auf Daten von EU-Bürgern, sobald sie ins Land transferiert werden. Denn US-Unternehmen müssen per Gesetz (Fisa) Daten an US-Dienste weitergeben oder werden ohnehin abgegriffen. Schrems: "Nach EU-Recht müssen Unternehmen den Datenschutz einhalten, das ist Verfassungsrecht, nach US-Recht müssen sie jedoch Überwachung sicherstellen." Dieser Konflikt betreffe alle großen US-Unternehmen.