Vor einigen Tagen hatte ich mich hier öffentlich gefragt, ob ein Projekt wie weknowwhatyouredoing.com in Deutschland datenschutzrechtlich OK ginge. Die Kommentare gingen auseinander: Eine Fraktion ging davon aus, dass das selbstverständlich legal sei, da die Facebook Posts öffentlich seien, die andere Fraktion berief sich darauf, dass die Posts nicht zum Zweck solcher Re-aggregationen gepostet worden und damit also nicht beliebig weiterverwendbar seien.
Die Frage ist ja auch in Hinblick auf die Rechtmäßigkeit der Pläne der Schufa, Facebook Daten auszuwerten, sehr spannend. Doch anstatt weiter zu raten, wandte ich mich an das Büro des Niedersächsischen Landesdatenschutzbeauftragten mit der Frage, ob ich in Deutschland legal einen Dienst wie weknowwhatyouredoing.com betreiben dürfte, d.h. ob es aus datenschutzrechtlicher Sicht legal ist, aus Facebook irgendwelche Daten zu ziehen und weiterzuverarbeiten.
Die Antwort in kurz: Ja.
In Länger (mit Zitaten):
Daten wie sie die API von Facebook bereitstellt, sind ersteinmal öffentlich, es gibt aber eine klare Einschränkung:
„Falls eine Abfrage jedoch einen gültigen Access Token voraussetzt, um die Daten abzufragen, würde ich die Daten nicht mehr „aus allgemein zugängliche Quellen“ bezeichnen.“
Das tut die Facebook Graph API keineswegs: Die Abfrage https://graph.facebook.com/search?q=Datenschutz&type=post funktioniert ohne jegliche Access Token.
Bei der Einschätzung der Daten bezog der Landesbeauftragte für Datenschutz Niedersachsen ebenfalls klare Position:
„Die Personen haben hier offensichtlich von ihrem Recht der freien Meinungsäußerung gebrauch und einer unbestimmten Anzahl von Personen zugänglich gemacht.“
Daten, welche ohne Schranken wie Access Tokens ins Netz veröffentlicht werden, sind also auch als öffentliche Daten zu betrachten, selbst, wenn sie aus sozialen Netzwerken stammen.
Die datenschutzkritische Spackeria 
Zwei Punkte dazu:
1.) Wenn Du das Experiment machst, musst Du Dir eine Genehmigung von Facebook holen, wenn Du einen Account bei denen behalten willst. Die Terms sagen dazu unter 3.2.:
„Du wirst mittels automatisierter Mechanismen (wie Bots, Roboter, Spider oder Scraper) keine Inhalte oder Informationen von Nutzern erfassen oder auf andere Art auf Facebook zugreifen, sofern du nicht unsere vorherige Erlaubnis hast.“
http://www.facebook.com/legal/terms
2.) Denk daran, dass Datenschutzbeauftragte keine verbindliche Rechtsberatung machen und keine Richter sind. In vielen Streiten haben die Datenschutzbeauftragten Meinungen, die weder von Richtern, noch von Regierungen oder Parlamenten geteilt werden. Sie erkennen z.B. Völkerrecht wie das Safe-Harbor-Abkommen der USA mit der EU nicht an, haben absurde Vorstellungen über Auftragsverarbeitung nach BDSG (bei Facebook) usw. Wenn Du also neben dieser Erstmeinung echte Rechtssicherheit willst, mach das Experiment und suche jemanden, der gegen dich klagt. Dann gehe durch alle Instanzen in D und EU. Wenn du nur verlieren willst, fang in Hamburg an zu klagen.
Viel Spaß bei der Erforschung des tagesaktuellen „Rechtsstaates“ 🙂
Zur Finanzierung der Klagen solltest Du vielleicht parallel ein Wettbüro aufmachen 🙂
Pingback: weknowwhatyouredoing.com in Deutschland legal? Ja! | Die wunderbare Welt von Isotopp
Pingback: Reclaim the social web! Oder: warum wir nicht gegen die großen Netzwerke kämpfen müssen | vinzv.