Michel Protti, Chief Privacy Officer for Product
Unsere Bemühungen im Bereich Datenschutz bauen auf unseren internen Governance-Strukturen auf, mit denen Datenschutz- und Datennutzungsstandards in allen Bereichen des Unternehmens verankert sind.
Um den Datenschutz im gesamten Unternehmen stärker zu integrieren, haben wir Datenschutzteams innerhalb der einzelnen Produktgruppen eingerichtet. Sie sollen das Verständnis für Datenschutzaspekte durch das Einbringen von Fachwissen in jeder Produktgruppe vertiefen. Diese Teams sorgen an vorderster Front für die Einhaltung des Datenschutzes bei unseren Produkten.
Das Privacy- und Data-Practices-Team unter der Leitung von Michel Protti, Chief Privacy Officer, Product, umfasst dutzende einzelner Teams, sowohl im technischen als auch nichttechnischen Bereich. Ihre Aufgabe ist es, Datenschutzstrategien festzulegen und zu pflegen sowie dafür zu sorgen, dass die anderen Beschäftigten des Unternehmens sie einhalten.
Bei unseren Bemühungen für ein umfangreiches Datenschutzprogramm spielt das Privacy- und Data-Practices-Team eine zentrale Rolle. Stets geleitet von seiner Mission – verantwortungsbewusste Datenpraktiken bei Meta zu stärken – sorgt das Team dafür, dass Nutzer*innen verstehen, wie Meta ihre Daten verwendet, und darauf vertrauen können, dass ihre Daten in unseren Produkten verantwortungsvoll verwendet werden.
Aber das Privacy- und Data-Practices-Team ist nur eines von vielen in unserem Unternehmen, die sich um den Datenschutz kümmern. Bei Meta arbeiten tausende Menschen in verschiedenen Rollen und Abteilungen daran, alle Bereiche unseres Unternehmens auf den Datenschutz auszurichten. Das umfasst etwa die Zusammenarbeit mit öffentlichen Entscheidungsträger*innen und die Einhaltung rechtlicher Bestimmungen. Wir wollen beim Schutz der Privatsphäre alles richtig machen. Dazu müssen alle an einem Strang ziehen, denn jede*r einzelne trägt bei Meta Verantwortung für den Datenschutz.
Das Privacy- und Data-Policy-Team unter der Leitung von Erin Egan, Vice President and Chief Privacy Officer, Policy, lenkt unsere globale Strategie in der öffentlichen Diskussion über den Datenschutz und neue rechtliche Bestimmungen. Das Team sorgt dafür, dass das Feedback von Regierungen und Expert*innen auf der ganzen Welt in unser Produktdesign und unsere Praktiken bei der Datennutzung einfließt.
Deshalb berät sich das Privacy- und Data-Policy-Team regelmäßig mit diesen Stakeholdern und nutzt dazu verschiedene Konsultationsmechanismen, darunter:
Außerdem organisieren wir eine Gesprächsreihe und eine jährlich stattfindende Runde mit führenden Datenschutzexpert*innen aus der ganzen Welt, mit denen wir verschieden dringliche Datenschutzthemen besprechen.
Das Privacy-Legal-Team nimmt eine wichtige Rolle bei der Ausarbeitung und laufenden Umsetzung unseres Programms ein. Es berät uns bei unserer Datenschutzprüfung zu den gesetzlichen Vorgaben.
Das Privacy Committee ist ein unabhängiges Komitee innerhalb des Vorstandes. Es kommt mindestens einmal im Quartal zusammen und stellt sicher, dass wir unseren Datenschutzverpflichtungen nachkommen. Das Komitee besteht aus unabhängigen Führungskräften, die langjährige Erfahrung aus ähnlichen Aufsichtsgremien mitbringen. Mindestens einmal im Quartal werden sie über verschiedene Themen informiert, darunter die aktuellen Richtlinien weltweit, den Stand unseres Datenschutzprogramms sowie die aktuelle unabhängige Beurteilung unseres Datenschutzprogramms durch Dritte.
Interne Audits stellen eine unabhängige Beurteilung des Zustands unseres Datenschutzprogramms und des ihm zugrunde liegenden Kontrollrahmens dar.
Um zu gewährleisten, dass jede*r bei Meta versteht, welchen Beitrag er*sie zum Datenschutz leistet, bilden wir unsere Mitarbeitenden fortlaufend zum Thema Datenschutz weiter, zum Beispiel mit Schulungen und internen Informationskampagnen.
Eine zentrale Komponente unseres Ansatzes sind unsere Datenschutzschulungen. Sie decken die wesentlichen Fragen des Datenschutzes ab und sollen allen Mitarbeitenden bei Meta dabei helfen, die notwendigen Fähigkeiten zu entwickeln, um Datenschutzrisiken zu erkennen und abzuwägen. Unsere jährliche Datenschutzschulung sowie unsere Datenschutzschulungen für neue Mitarbeitende und befristet Beschäftigte zeigen anhand realer Beispiele mögliche Datenschutzrisiken im Geschäftsbetrieb auf. Alle Schulungen beinhalten einen Test, in dem das Verständnis der Mitarbeitenden für die relevanten Datenschutzkonzepte überprüft wird. Diese Schulungen werden jährlich aktualisiert und durchgeführt, damit alle Mitarbeitenden zusätzlich zu den Kernkonzepten auch relevante neue Informationen zum Datenschutz erhalten.
Zusätzlich zu diesen obligatorischen Datenschutzschulungen führen wir einen Katalog aller existierenden Datenschutzschulungen, die bei Meta durchgeführt werden. Diese umfassen weitere Themen, die für Mitarbeitende in bestimmten Funktionen relevant sind.
Auch durch den regelmäßigen Kontakt mit unseren Mitarbeiter*innen vermitteln wir Wissen zum Datenschutz. Neben den Datenschutzschulungen bieten wir unseren Mitarbeitenden zusätzliche Inhalte und Informationen zum Thema an: über interne Kommunikationskanäle, bei Updates von Führungskräften aus dem Bereich Privatsphäre und Datenschutz, bei unternehmensinternen Q&A-Sessions oder im Rahmen unserer Privacy Week.
Während der „Datenschutz-Woche“ steigern wir unternehmensweit das Bewusstsein für den Datenschutz. Mit Veranstaltungen und Vorträgen von Mitarbeitenden und Gastredner*innen beleuchten wir zentrale Datenschutzkonzepte und vermitteln mit ansprechenden Inhalten wichtige Prioritäten.
Durch die Teilnahme an externen Veranstaltungen wie dem Data Privacy Day oder unserer jährlichen Expert*innenrunde, stärken wir über interne Kanäle Bewusstsein und Engagement im Unternehmen und geben allen Mitarbeitenden die Gelegenheit, sich einzubringen und mehr über das Thema Datenschutz zu erfahren.
Es ist die Aufgabe unseres speziellen Teams, dafür zu sorgen, dass wir uns an Datenschutz- und Datennutzungsbestimmungen weltweit halten. Unser Prozess für die Einhaltung der gesetzlichen Bestimmungen ist nach Hauptthemen des Datenschutzes oder „Datenschutzbereichen“ gegliedert (z. B. Jugendliche, sensible Daten, Einwilligung). Damit möchten wir sicherstellen, dass wir alle Datenschutzvorgaben ganzheitlich abdecken und unsere Maßnahmen den regulatorischen Anforderungen gerecht werden.
Wir haben ein Risikomanagement-Programm entwickelt, um Datenschutzrisiken bei der Erfassung, Verwendung, Weitergabe und Speicherung von Nutzungsdaten zu ermitteln und zu bewerten. Dieses Programm nutzen wir, um potenzielle Risikobereiche zu identifizieren, unser Datenschutzprogramm zu verbessern und uns auf zukünftige Compliance-Initiativen vorzubereiten.
Für den Umgang mit Datenschutzrisiken haben wir entsprechende Schutzmaßnahmen entwickelt, beispielsweise Prozesse und Kontrollmechanismen. Als Teil dieser Arbeit lassen wir intern Gestaltung und Effektivität dieser Schutzmaßnahmen zum Minimieren von Datenschutzrisiken evaluieren.
Wir haben eine zentralisierte Issues-Management-Funktion eingerichtet, damit Datenschutzprobleme leichter erkannt und behoben werden können. Diese Prozess umfasst den gesamten Kreislauf des Umgangs mit Datenschutzproblemen, von der Erfassung und Einstufung über das Planen von Abhilfemaßnahmen bis hin zur Lösungsfindung und abschließenden Dokumentation.
Wir haben ein sogenanntes Privacy-Red-Team eingerichtet, dessen Aufgabe es ist, unsere Prozesse und Technologien proaktiv zu testen, um potenzielle Datenschutzrisiken zu identifizieren. Das Privacy-Red-Team nimmt dabei die Rolle einer externen oder internen Partei ein, die versucht, unsere Kontrollmechanismen und Schutzmaßnahmen für den Datenschutz zu umgehen. So können wir proaktiv Bereiche erkennen, in denen wir unsere Kontrollumgebung noch optimieren können.
Unabhängig davon, wie robust unsere Schutzmaßnahmen sind, brauchen wir auch ein Verfahren, mit dem wir (1) feststellen können, wann ein Ereignis die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gefährdet, für die Meta verantwortlich ist. In einem solchen Fall müssen wir (2) die Situation untersuchen und (3) alle erforderlichen Schritte unternehmen, um festgestellte Lücken zu schließen.
Unser Programm zum Störungsmanagement agiert weltweit und betreut die Prozesse, mit denen wir Datenschutzvorfälle identifizieren, bewerten, minimieren und beheben. Zwar leitet das Privacy- und Data-Practices-Team unser Störungsmanagement, aber bei Datenschutzvorfällen ist jede*r einzelne Meta-Mitarbeiter*in verantwortlich. Wichtige Rollen spielen hier unsere einzelnen verantwortlichen Teams, etwa aus der Rechts- und Produktabteilung. Wir investieren auch weiterhin Zeit, Ressourcen und Energie, um ein komplexes Programm aufzubauen, das sich ständig weiterentwickelt und anpasst. Im Folgenden stellen wir die drei wichtigsten Aspekte unseres Ansatzes vor.
Unser Ansatz für den Schutz unserer Nutzer*innen und ihrer Informationen ist mehrstufig. Ein Bestandteil ist die Umsetzung von Schutzmaßnahmen, mit denen Fehler proaktiv beseitigt werden sollen, bevor sie zum Problem werden. Als global agierendes Unternehmen haben wir stark in die Entwicklung und den Einsatz einer breiten Palette von automatisierten Tools investiert, um potenzielle Sicherheitsrisiken so früh und so schnell wie möglich zu erkennen und zu beseitigen. Diese automatisierten Systeme sind so konzipiert, dass sie Vorfälle in Echtzeit erkennen, um so schnell reagieren zu können.
Doch egal wie leistungsfähig die Systeme künftig sein werden – wir sind immer auf die Kontrolle und die Sorgfalt unserer Mitarbeiter*innen angewiesen, um Vorfälle proaktiv zu erkennen und Maßnahmen zu ergreifen. Unsere Entwicklungsteams überprüfen unsere Systeme regelmäßig, um Datenpannen zu erkennen und zu beheben, noch bevor Nutzer*innen davon betroffen sind.
Seit 2011 gibt es Facebooks Bug-Bounty-Programm. Dabei helfen externe Forscher*innen, die Sicherheit und den Datenschutz unserer Produkte und Systeme zu verbessern, indem sie uns potenzielle Sicherheitsrisiken melden. Dank dieses Programms können wir Probleme schneller aufspüren und beheben, um unsere Nutzer*innen zu schützen. Durch die Belohnung, die berechtigte Teilnehmer*innen erhalten, setzen wir Anreize für die Weiterentwicklung anspruchsvoller Sicherheitsforschung.
In den letzten 10 Jahren haben sich schon über 50.000 Personen an der Fehlersuche beteiligt. Etwa 1.500 von ihnen aus 107 Ländern haben in dieser Zeit eine Prämienzahlung erhalten.
Wir haben weitreichende Maßnahmen ergriffen, um die Daten unserer Nutzer*innen vor unberechtigtem Zugriff und anderen Risiken zu schützen. Sollte trotzdem einmal ein Vorfall auftreten, setzen wir auf Transparenz, um das Vertrauen in unsere Produkte, Services und Prozesse wieder zu stärken. Dementsprechend dient unser Störungsmanagement nicht nur dazu, Fehler zu beheben und daraus zu lernen – es definiert auch Schritte, um Nutzer*innen angemessen zu informieren. Das kann etwa durch einen Beitrag in unserem Newsroom oder Privacy Matters-Blog geschehen, auf dem wir über Themen berichten, die unsere Nutzer*innen betreffen. Bei Bedarf kooperieren wir außerdem mit Strafverfolgungsbehörden und anderen öffentlichen Stellen.
Drittanbieter sind externe Geschäftspartner von Meta, die nicht zu Meta gehören oder von uns betrieben werden. Die meisten Drittanbieter gehören zu einer von zwei Kategorien: Entweder sie stellen für Meta Dienstleistungen bereit (etwa Anbieter für die Website-Gestaltung) oder sie nutzen unsere Plattform für ihr Unternehmen (etwa App- oder API-Entwickler*innen). Bei Drittanbietern, die Zugriff auf personenbezogene Daten erhalten, versuchen wir das Datenschutzrisiko mit einem speziellen Programm zur Überwachung und Verwaltung von Drittanbietern zu minimieren. Wir überwachen dabei, welche Risiken der Drittanbieter-Zugriff birgt, und setzen angemessene Datenschutzmaßnahmen um.
Wir haben ein Verfahren entwickelt, um den Datenschutz bei externen Dienstleistern zu beurteilen und mögliche Risiken zu minimieren. Die Dienstleister sind gemäß diesem Verfahren an Verträge gebunden, die den Schutz der Privatsphäre vorsehen. Ihr Risikoprofil entscheidet darüber, wie sie während der Zusammenarbeit überwacht werden. Dazu zählen eine Neubewertung und mögliche Sanktionen bei Vertragsverstößen, unter Umständen auch eine Beendigung der Zusammenarbeit.
Wir haben ein formelles Verfahren entwickelt, um bei Datenschutz- und Sicherheitsverstößen gegen Drittanbieter vorzugehen und diese gegebenenfalls auszuschließen. Dazu gehören folgende Standards und technischen Verfahren, die auf unserer gesamten Plattform für bessere Entwicklungspraktiken sorgen:
Unser Team für die Verhinderung von externem Datenmissbrauch ist dafür verantwortlich, Verhaltensmuster, die auf Scraping hindeuten, aufzuspüren, zu untersuchen und zu blockieren. Scraping ist das automatisierte Erfassen von Daten von einer Website oder App und kann entweder autorisiert oder nicht autorisiert erfolgen. Die Verwendung von Automatisierungsfunktionen für den Zugriff auf oder die Erfassung von Daten von Metas Plattformen ohne unsere Erlaubnis stellt einen Verstoß gegen unsere Nutzungsbedingungen dar.
Wir investieren kontinuierlich in Infrastruktur und Tools, um es Personen, die Scraping verwenden, zu erschweren, Daten von unseren Diensten zu erhalten bzw. daraus Kapital zu schlagen, wenn es ihnen doch gelingt. Beispiele für diese Investitionen sind etwa Übertragungs- und Datenlimits. Übertragungslimits begrenzen die Anzahl der Interaktionen mit unseren Produkten innerhalb eines bestimmten Zeitraums. Datenbeschränkungen wiederum verhindern, dass Nutzer*innen mehr Daten erhalten, als sie für die normale Nutzung unserer Produkte benötigen.
Wir nutzen intern generierte Nutzer*innen- und Content-IDs, nachdem wir festgestellt haben, dass bei nicht autorisiertem Scraping solche IDs oft erraten oder gekauft werden. Außerdem verwenden wir neue, pseudonymisierte IDs, die das nicht autorisierte Scraping von Daten verhindern, indem sie es Scrapern erschweren, Daten zu erraten, zu verknüpfen und wiederholt darauf zuzugreifen.
Täglich blockieren wir Milliarden von Handlungen auf Facebook und Instagram, bei denen der Verdacht von unautorisiertem Scraping besteht. Zusätzlich haben wir eine Vielzahl von Maßnahmen gegen unautorisiertes Scraping unternommen: So haben wir Konten gesperrt oder Unternehmen, die gescrapte Daten nutzen, aufgefordert, diese zu löschen.
Die Datenschutzprüfung ist ein zentraler Bestandteil in der Entwicklung neuer und aktualisierter Produkte, Services und Praktiken bei Meta. Im Rahmen dieses Prozesses bewerten wir, wie Daten in neuen oder aktualisierten Produkten, Services und Praktiken verwendet und geschützt werden sollen. Jeden Monat überprüfen wir unternehmensweit im Durchschnitt 1.200 Produkte, Features und Praktiken in Bezug auf Daten, bevor sie ausgeliefert werden, um so etwaige Datenschutzrisiken abzuschätzen und zu mindern.
Ein abteilungsübergreifendes Team von Datenschutzexpert*innen bewertet die möglichen Datenschutzrisiken eines Projekts und ermittelt, ob vor dem Projektstart zusätzliche Änderungen notwendig sind, um diese Risiken zu mindern. Gibt es keine Übereinstimmung bei der Beurteilung der einschlägigen Risiken eines Produkts oder hinsichtlich der Vorschläge, wie diese zu minimieren sind, sieht der Prozess eine Eskalation zur weiteren Bewertung und Entscheidung vor, zunächst an die Führungsebene für Produkte und Richtlinien sowie letztendlich zum*zur CEO.
Die Entwicklung neuer oder aktualisierter Produkte, Services oder Vorgehensweisen im Rahmen der Datenschutzprüfung orientiert sich an unseren internen Datenschutzerwartungen. Dazu gehören:
Außerdem haben wir in Verifizierungsprüfungen und eine zentralisierte Plattform investiert, um die Datenschutzprüfung auch im großen Maßstab durchführen zu können:
– Komal Lahiri, VP Privacy Review
Der Schutz der Privatsphäre unserer Nutzer*innen steht bei der Entwicklung und ständigen Aktualisierung unserer Produkte immer im Mittelpunkt. Unsere Produkte enthalten Standardeinstellungen für die Privatsphäre, die es den Nutzer*innen leichter machen, selbst festzulegen, wie viel Privatsphäre sie sich wünschen. Auch bei der Entwicklung neuer Produkte stehen Privatsphäre und Datenschutz jederzeit im Mittelpunkt.
Seit 2016 können Nutzer*innen im Messenger die Ende-zu-Ende-Verschlüsselung aktivieren. 2023 haben wir damit begonnen, die Ende-zu-Ende-Verschlüsselung für alle persönlichen Chats und Anrufe im Messenger und auf Facebook als Standard einzuführen.
Diese Neuerung hat mehrere Jahre gebraucht, denn wir haben uns die Zeit genommen, dabei alles richtig zu machen. Mit ihrer unermüdlichen Arbeit haben unsere Entwicklungs-, Verschlüsselungs- und Design-Teams, unsere Richtlinienexpert*innen sowie Produktmanager*innen die Funktionen des Messengers von Grund auf neu aufgebaut. Um die Ende-zu-Ende-Verschlüsselung im Messenger zu integrieren, mussten wir viele Aspekte der Applikationsprotokolle grundlegend umbauen, denn wir wollten Datenschutz und Sicherheit verbessern und gleichzeitig die Features beibehalten, die den Messenger so beliebt machen. Unser Ansatz: Basierend auf vorhandenem Wissen über WhatsApp und geheime Unterhaltungen im Messenger haben wir uns unseren größten Herausforderungen gestellt – Mehrgerätefähigkeit, Funktionsunterstützung, Chatverlauf und Web-Support. Auf dem Weg dahin haben wir auch neue Datenschutz-, Sicherheits- und Kontrollfunktionen eingeführt, z. B. die App-Sperre oder Einstellungen für die Nachrichtenzustellung, damit Nutzer*innen festlegen können, wer ihnen Nachrichten senden darf. Außerdem haben wir bestehende Sicherheitsfunktionen optimiert, wie Melden, Blockieren und Nachrichtenanfragen.
Im Wesentlichen geht es bei der Ende-zu-Ende-Verschlüsselung darum, die Kommunikation zwischen Nutzer*innen zu schützen, damit sie sich sicher fühlen können, wenn sie sich mit ihren Freund*innen und Lieben frei austauschen. Wir haben eng mit externen Expert*innen, Wissenschaftler*innen, Interessenvertreter*innen und Regierungen zusammengearbeitet, um Risiken zu erkennen und Maßnahmen zur Minimierung zu entwickeln, damit Datenschutz und Sicherheit Hand in Hand gehen. Wir haben eine unabhängige Untersuchung zu den Auswirkungen auf die Menschenrechte in Auftrag gegeben und ein umfangreiches Whitepaper zu Metas Konzept für größere Sicherheit für den Versand privater Nachrichten im Messenger und auf Instagram veröffentlicht.
Mit den Ray-Ban Meta-Smartglasses kannst du Fotos oder Videoclips von deiner ganz besonderen Perspektive aufnehmen, Musik hören oder einen Anruf annehmen und intelligente Features nutzen, die nach und nach dazukommen werden – und für das alles brauchst du nicht einmal dein Handy zu zücken. Die Ray-Ban Meta-Smartglasses sind überarbeitet worden: Die Kamera hat jetzt eine höhere Qualität, Audio- und Mikrofonsysteme wurden optimiert und es gibt neue Funktionen wie Livestreaming und eine integrierte Meta-KI, damit du dich nicht entscheiden musst, ob du einen Augenblick einfängst oder ihn einfach genießt.
Bei der Entwicklung der Ray-Ban Meta-Smartglasses stand der Datenschutz im Mittelpunkt – als klares Zeichen unseres Engagements für verantwortungsbewusste Innovation und Privacy by Design. Schon seit dem Launch der Ray-Ban Stories nehmen wir das Feedback von Stakeholdern ernst und haben es auch bei diesen Smartglasses in sinnvoller und greifbarer Form einfließen lassen.
Zu unseren neuen generativen KI-Funktionen gehören KI-Sticker, die Bildbearbeitung mit KI, unser KI-Assistent Meta AI und AI Studio, wo Nutzer*innen ihre ganz individuelle KI erstellen können. In die Entwicklung dieser spannenden neuen generativen KI-Features sind wichtige Datenschutzüberlegungen eingeflossen. Wir haben einen Guide für den Datenschutz bei der generativen KI und andere Ressourcen rund um das Thema Transparenz entwickelt, um zu erläutern, wie wir unsere KI-Modelle entwickeln, wie unsere KI-Features funktionieren und welche Optionen und Datenschutzrechte unsere Nutzer*innen haben.
Letztes Jahr haben wir unser Tool „Warum sehe ich das?“ aktualisiert. Es soll Nutzer*innen erklären, warum sie bestimmte Anzeigen in ihrem Feed auf Facebook und Instagram sehen. Eine wesentliche Neuerung bestand darin, die Informationen in Themen dazu zusammenzufassen, welchen Einfluss Aktivitäten sowohl auf als auch außerhalb von unseren Technologien auf die Modelle für maschinelles Lernen haben, die wir für die Gestaltung und Auslieferung von Werbeanzeigen nutzen. Einen Beitrag auf der Facebook-Seite eines Freundes oder einer Freundin mit „Gefällt mir“ zu markieren gehört ebenso dazu wie eine Sport-Website aufzurufen. Es gibt auch neue Beispiele und Bilder, in denen wir erklären, wie unsere Modelle für maschinelles Lernen einzelne Themen verbinden, um relevante Werbung anzuzeigen. Außerdem haben Nutzer*innen nun mehr Möglichkeiten, ihre Einstellungen für Werbeanzeigen zu finden, indem sie ihre Werbepräferenzen über weitere Seiten im Tool „Warum sehe ich das?“ aufrufen können.
Neue Recherchetools aus unserer Entwicklung sind die Meta-Content-Bibliothek und die Meta-Content-Bibliotheks-API: Damit erhalten entsprechend berechtigte Forscher*innen Zugriff auf weitere, öffentlich zugängliche Inhalte auf Facebook und Instagram, wobei die Privatsphäre stets geschützt ist.
Mit diesen Tools haben Forschende Zugriff auf Daten in Fast-Echtzeit. Dazu gehören z. B. Inhalte aus Facebook-Seiten, -Gruppen und -Veranstaltungen sowie Creator*innen- und Business-Konten auf Instagram. Einzelheiten zu den Inhalten sind ebenfalls verfügbar, beispielsweise die Anzahl der Reaktionen, geteilten Inhalte, Kommentare und zum ersten Mal auch die Anzahl der Aufrufe eines Beitrags. Forschende können diese Inhalte entweder über eine grafische Bedienoberfläche (UI) oder eine Programm-API durchsuchen, untersuchen und filtern.
Wir haben mit dem Inter-University Consortium for Political and Social Research (ICPSR) vom Social Media Archive (SOMAR), einer Initiative der University of Michigan, zusammengearbeitet, um das Teilen öffentlicher Informationen auf unseren Plattformen zu ermöglichen. Dabei wird der Zugriff auf eingeschränkt verfügbare Daten streng kontrolliert, und die berechtigten Nutzer*innen müssen strengen Datennutzungs- und Geheimhaltungsbedingungen zustimmen, um Zugriff zu erhalten.
Wir legen Wert auf transparente Kommunikation. Dazu zählt auch, Menschen über unser Vorgehen zu informieren und aufzuklären bzw. dieses zu erläutern. Die entsprechenden Informationen müssen schnell und einfach zugänglich sein.
Wir möchten, dass unsere Nutzer*innen verstehen, welche Informationen sie teilen und wie diese genutzt werden. Um ihnen mehr Transparenz und Kontrolle zu bieten, haben wir daher verschiedene Datenschutz-Tools entwickelt:
– Michel Protti, Chief Privacy Officer for Product
Wir werden auch weiterhin eine datenschutzorientierte Infrastruktur entwickeln, d. h. skalierbare und innovative Infrastruktur-Lösungen, die es unseren Entwickler*innen leichter machen, bei der Entwicklung neuer Produkte die entsprechenden Datenschutzanforderungen zu berücksichtigen. Mit einer datenschutzorientierten Infrastruktur können wir, statt auf Menschen und manuelle Prozesse, verstärkt auf automatisierte Prozesse setzen, um zu überprüfen, ob wir unseren Datenschutzpflichten nachkommen.
Wir setzen innovative Tools und Technologien auf allen Meta-Plattformen ein, um die Menge an Nutzungsdaten, die wir erfassen und verwenden, proaktiv zu reduzieren. Außerdem investieren wir auch weiterhin in Datenschutztechnologien (Privacy-Enhancing Technologies, PETs), die auf komplexen Verschlüsselungsmethoden und statistischen Verfahren basieren. Dank dieser Technologien erfassen, verarbeiten und nutzen wir weniger Daten. In Fällen, wo dies nützlich für das gesamte Ökosystem ist, teilen wir unsere Arbeit als Open Source über PyTorch, auch unsere Entwicklungen zu PETs für KI. Dank unserer Investitionen in PETs konnten wir zudem eine neue kryptografische Sicherheitsfunktion in WhatsApp integrieren. Damit kannst du basierend auf Schlüsseltransparenz die Sicherheit deiner Verbindung und Unterhaltung überprüfen. Mit diesem Feature sinkt die Wahrscheinlichkeit, dass Dritte sich als die Person oder das Unternehmen ausgeben, mit der bzw. dem du dich verbinden und verschlüsselte Nachrichten austauschen möchtest. Und so funktioniert es: Die öffentlichen Schlüssel in der Unterhaltung werden anhand eines Serververzeichnisses, in dem öffentliche Schlüssel mit Nutzer*innendaten hinterlegt sind, auf ihre Gültigkeit überprüft. Dann wird ein öffentlich zugängliches Prüfprotokoll erstellt, das die Privatsphäre nicht verletzt. In diesem Protokoll ist ersichtlich, ob die Daten in dem Verzeichnis gelöscht oder modifiziert worden sind.
Ebenso haben wir ein Modell für das Entfernen von Code und Assets entwickelt, das unsere Entwickler*innen sicher und effizient durch den Produkteinstellungsprozess leitet. Wenn veraltete Produkte eingestellt werden, ist das eine komplexe Aufgabe, bei der interne und externe Abhängigkeiten zu berücksichtigen sind – auch Abhängigkeiten von anderen Meta-Produkten, die selbst nicht entfernt werden sollen. Zu diesem Zweck beinhaltet unser Systematic Code and Asset Removal Framework (SCARF) ein Workflow-Management-Tool, das unseren Entwickler*innen Zeit spart, indem es sowohl Abhängigkeiten ermittelt als auch die richtige Reihenfolge der Aufgaben, um ein Produkt zu bereinigen. Außerdem gibt es in SCARF untergeordnete Systeme für das sichere Entfernen von totem Code und nicht genutzten Datentypen.
SCARF unterstützt Tausende von menschengeführten Einstellungsprojekten und hat bereits Millionen von Code- und Daten-Assets automatisch bereinigt. Zudem ist das Tool von Nutzen für unsere Datenschutz-Teams: Sie verwenden es, um den Fortschritt von laufenden Produkteinstellungen zu überwachen und sicherzustellen, dass sie fristgerecht abgeschlossen werden.
„Wir wollen beim Datenschutz alles richtig machen. Dazu investieren wir fortlaufend und ziehen als Unternehmen gemeinsam an einem Strang. Bei Meta sind alle dafür verantwortlich, dass wir dieses Ziel erreichen.“ – Michel Protti, Chief Privacy Officer for Product
Die Daten und die Privatsphäre unserer Nutzer*innen zu schützen, ist entscheidend für unser Unternehmen und unsere Zukunftspläne. Deshalb verfeinern und verbessern wir unser Datenschutzprogramm und unsere Produkte ständig und reagieren auf neue Erwartungen und technologische Entwicklungen. Wir arbeiten mit politischen Entscheidungsträger*innen und Datenschutzexpert*innen zusammen, um gemeinsam Lösungen für die größten Herausforderungen unserer Zeit zu finden. Und wir lassen die Öffentlichkeit an unseren Fortschritten teilhaben.