Skip to content

Update zu unserem Fortschritt beim Datenschutz

Seit 2019 überarbeiten wir den Datenschutz bei Meta von Grund auf. Dabei investieren wir 5,5 Mrd. USD in ein umfangreiches Datenschutzprogramm für Menschen und Prozesse. Es umfasst zudem Technologien zur frühzeitigen Erkennung und Beseitigung von Datenschutzrisiken, sodass der Datenschutz von Anfang an in unsere Produktentwicklung eingebunden wird.

1. SO FUNKTIONIERT DATENSCHUTZ BEI META

Unsere Product-, Engineering- und Operations-Teams, die sich hauptsächlich um den Datenschutz kümmern, sind gewachsen: Ende 2019 waren es unternehmensweit nur einige hundert Mitarbeitende, Ende 2023 schon mehr als 3.000.

Photo of Chief Privacy Officer of Product Michel Protti on Meta’s Menlo Park campus

„Im Sommer 2019 wurde uns klar, dass wir für den Datenschutz Investitionen einer höheren Größenordnung benötigen würden. Für Meta bedeutete das enorme und grundlegende Veränderungen. Sie betreffen unsere Mitarbeitenden, Prozesse, die technische Infrastruktur sowie die Aufsichts- und Rechenschaftspflicht. Und wir investieren auch weiterhin in den Schutz von persönlichen Nutzungsdaten, einhergehend mit der Weiterentwicklung von Systemen, Technologien und Erwartungen.“


Michel Protti, Chief Privacy Officer for Product

Governance

Unsere Bemühungen im Bereich Datenschutz bauen auf unseren internen Governance-Strukturen auf, mit denen Datenschutz- und Datennutzungsstandards in allen Bereichen des Unternehmens verankert sind.

Um den Datenschutz im gesamten Unternehmen stärker zu integrieren, haben wir Datenschutzteams innerhalb der einzelnen Produktgruppen eingerichtet. Sie sollen das Verständnis für Datenschutzaspekte durch das Einbringen von Fachwissen in jeder Produktgruppe vertiefen. Diese Teams sorgen an vorderster Front für die Einhaltung des Datenschutzes bei unseren Produkten.

Das Privacy- und Data-Practices-Team unter der Leitung von Michel Protti, Chief Privacy Officer, Product, umfasst dutzende einzelner Teams, sowohl im technischen als auch nichttechnischen Bereich. Ihre Aufgabe ist es, Datenschutzstrategien festzulegen und zu pflegen sowie dafür zu sorgen, dass die anderen Beschäftigten des Unternehmens sie einhalten.

Bei unseren Bemühungen für ein umfangreiches Datenschutzprogramm spielt das Privacy- und Data-Practices-Team eine zentrale Rolle. Stets geleitet von seiner Mission – verantwortungsbewusste Datenpraktiken bei Meta zu stärken – sorgt das Team dafür, dass Nutzer*innen verstehen, wie Meta ihre Daten verwendet, und darauf vertrauen können, dass ihre Daten in unseren Produkten verantwortungsvoll verwendet werden.

Aber das Privacy- und Data-Practices-Team ist nur eines von vielen in unserem Unternehmen, die sich um den Datenschutz kümmern. Bei Meta arbeiten tausende Menschen in verschiedenen Rollen und Abteilungen daran, alle Bereiche unseres Unternehmens auf den Datenschutz auszurichten. Das umfasst etwa die Zusammenarbeit mit öffentlichen Entscheidungsträger*innen und die Einhaltung rechtlicher Bestimmungen. Wir wollen beim Schutz der Privatsphäre alles richtig machen. Dazu müssen alle an einem Strang ziehen, denn jede*r einzelne trägt bei Meta Verantwortung für den Datenschutz.

Das Privacy- und Data-Policy-Team unter der Leitung von Erin Egan, Vice President and Chief Privacy Officer, Policy, lenkt unsere globale Strategie in der öffentlichen Diskussion über den Datenschutz und neue rechtliche Bestimmungen. Das Team sorgt dafür, dass das Feedback von Regierungen und Expert*innen auf der ganzen Welt in unser Produktdesign und unsere Praktiken bei der Datennutzung einfließt.

Deshalb berät sich das Privacy- und Data-Policy-Team regelmäßig mit diesen Stakeholdern und nutzt dazu verschiedene Konsultationsmechanismen, darunter:

  • Datenschutz-Beratungsgremien mit regionalen Expert*innen oder Expert*innen mit Fachwissen zu Themen wie Werbung oder Extended Reality (XR)
  • Workshops (z. B. in Form von Datendialogen) und andere Treffen zu komplexen Datenschutzfragen
  • Laufende Beratungen mit Expert*innen als Teil unseres Produktentwicklungsprozesses und als Grundlage für unsere langfristige Datenschutzstrategie
  • Finanzierung von Forschung und Eintreten für Datenschutzfragen, einschließlich finanzieller Zuschüsse für Datenschutzforschung und XR-Verantwortung
  • Finanzierung von Expert*innen, die uns eingehend dazu beraten, wie wir Aspekte unseres Datenschutzprogramms verbessern können
  • Unterstützung von branchenübergreifenden Organisationen wie z. B. Trust, Transparency and Control Labs (TTC Labs) oder Open Loop, mit deren innovativen Lösungen wir und andere verantwortungsvolle Technologien entwickeln können

Außerdem organisieren wir eine Gesprächsreihe und eine jährlich stattfindende Runde mit führenden Datenschutzexpert*innen aus der ganzen Welt, mit denen wir verschieden dringliche Datenschutzthemen besprechen.

Das Privacy-Legal-Team nimmt eine wichtige Rolle bei der Ausarbeitung und laufenden Umsetzung unseres Programms ein. Es berät uns bei unserer Datenschutzprüfung zu den gesetzlichen Vorgaben.

Das Privacy Committee ist ein unabhängiges Komitee innerhalb des Vorstandes. Es kommt mindestens einmal im Quartal zusammen und stellt sicher, dass wir unseren Datenschutzverpflichtungen nachkommen. Das Komitee besteht aus unabhängigen Führungskräften, die langjährige Erfahrung aus ähnlichen Aufsichtsgremien mitbringen. Mindestens einmal im Quartal werden sie über verschiedene Themen informiert, darunter die aktuellen Richtlinien weltweit, den Stand unseres Datenschutzprogramms sowie die aktuelle unabhängige Beurteilung unseres Datenschutzprogramms durch Dritte.

Interne Audits stellen eine unabhängige Beurteilung des Zustands unseres Datenschutzprogramms und des ihm zugrunde liegenden Kontrollrahmens dar.

Schulungen zum Datenschutz

Um zu gewährleisten, dass jede*r bei Meta versteht, welchen Beitrag er*sie zum Datenschutz leistet, bilden wir unsere Mitarbeitenden fortlaufend zum Thema Datenschutz weiter, zum Beispiel mit Schulungen und internen Informationskampagnen.

Eine zentrale Komponente unseres Ansatzes sind unsere Datenschutzschulungen. Sie decken die wesentlichen Fragen des Datenschutzes ab und sollen allen Mitarbeitenden bei Meta dabei helfen, die notwendigen Fähigkeiten zu entwickeln, um Datenschutzrisiken zu erkennen und abzuwägen. Unsere jährliche Datenschutzschulung sowie unsere Datenschutzschulungen für neue Mitarbeitende und befristet Beschäftigte zeigen anhand realer Beispiele mögliche Datenschutzrisiken im Geschäftsbetrieb auf. Alle Schulungen beinhalten einen Test, in dem das Verständnis der Mitarbeitenden für die relevanten Datenschutzkonzepte überprüft wird. Diese Schulungen werden jährlich aktualisiert und durchgeführt, damit alle Mitarbeitenden zusätzlich zu den Kernkonzepten auch relevante neue Informationen zum Datenschutz erhalten.

Zusätzlich zu diesen obligatorischen Datenschutzschulungen führen wir einen Katalog aller existierenden Datenschutzschulungen, die bei Meta durchgeführt werden. Diese umfassen weitere Themen, die für Mitarbeitende in bestimmten Funktionen relevant sind.

Auch durch den regelmäßigen Kontakt mit unseren Mitarbeiter*innen vermitteln wir Wissen zum Datenschutz. Neben den Datenschutzschulungen bieten wir unseren Mitarbeitenden zusätzliche Inhalte und Informationen zum Thema an: über interne Kommunikationskanäle, bei Updates von Führungskräften aus dem Bereich Privatsphäre und Datenschutz, bei unternehmensinternen Q&A-Sessions oder im Rahmen unserer Privacy Week.

Während der „Datenschutz-Woche“ steigern wir unternehmensweit das Bewusstsein für den Datenschutz. Mit Veranstaltungen und Vorträgen von Mitarbeitenden und Gastredner*innen beleuchten wir zentrale Datenschutzkonzepte und vermitteln mit ansprechenden Inhalten wichtige Prioritäten.

Durch die Teilnahme an externen Veranstaltungen wie dem Data Privacy Day oder unserer jährlichen Expert*innenrunde, stärken wir über interne Kanäle Bewusstsein und Engagement im Unternehmen und geben allen Mitarbeitenden die Gelegenheit, sich einzubringen und mehr über das Thema Datenschutz zu erfahren.

Prozess für die Einhaltung der gesetzlichen Bestimmungen

Es ist die Aufgabe unseres speziellen Teams, dafür zu sorgen, dass wir uns an Datenschutz- und Datennutzungsbestimmungen weltweit halten. Unser Prozess für die Einhaltung der gesetzlichen Bestimmungen ist nach Hauptthemen des Datenschutzes oder „Datenschutzbereichen“ gegliedert (z. B. Jugendliche, sensible Daten, Einwilligung). Damit möchten wir sicherstellen, dass wir alle Datenschutzvorgaben ganzheitlich abdecken und unsere Maßnahmen den regulatorischen Anforderungen gerecht werden.

Identifizierung und Bewertung von Datenschutzrisiken

Wir haben ein Risikomanagement-Programm entwickelt, um Datenschutzrisiken bei der Erfassung, Verwendung, Weitergabe und Speicherung von Nutzungsdaten zu ermitteln und zu bewerten. Dieses Programm nutzen wir, um potenzielle Risikobereiche zu identifizieren, unser Datenschutzprogramm zu verbessern und uns auf zukünftige Compliance-Initiativen vorzubereiten.

Schutzmaßnahmen und Kontrollmechanismen

Für den Umgang mit Datenschutzrisiken haben wir entsprechende Schutzmaßnahmen entwickelt, beispielsweise Prozesse und Kontrollmechanismen. Als Teil dieser Arbeit lassen wir intern Gestaltung und Effektivität dieser Schutzmaßnahmen zum Minimieren von Datenschutzrisiken evaluieren.

Issues Management

Wir haben eine zentralisierte Issues-Management-Funktion eingerichtet, damit Datenschutzprobleme leichter erkannt und behoben werden können. Diese Prozess umfasst den gesamten Kreislauf des Umgangs mit Datenschutzproblemen, von der Erfassung und Einstufung über das Planen von Abhilfemaßnahmen bis hin zur Lösungsfindung und abschließenden Dokumentation.

Privacy-Red-Team

Wir haben ein sogenanntes Privacy-Red-Team eingerichtet, dessen Aufgabe es ist, unsere Prozesse und Technologien proaktiv zu testen, um potenzielle Datenschutzrisiken zu identifizieren. Das Privacy-Red-Team nimmt dabei die Rolle einer externen oder internen Partei ein, die versucht, unsere Kontrollmechanismen und Schutzmaßnahmen für den Datenschutz zu umgehen. So können wir proaktiv Bereiche erkennen, in denen wir unsere Kontrollumgebung noch optimieren können.

Störungsmanagement

Unabhängig davon, wie robust unsere Schutzmaßnahmen sind, brauchen wir auch ein Verfahren, mit dem wir (1) feststellen können, wann ein Ereignis die Vertraulichkeit, Integrität und Verfügbarkeit von Daten gefährdet, für die Meta verantwortlich ist. In einem solchen Fall müssen wir (2) die Situation untersuchen und (3) alle erforderlichen Schritte unternehmen, um festgestellte Lücken zu schließen.

Unser Programm zum Störungsmanagement agiert weltweit und betreut die Prozesse, mit denen wir Datenschutzvorfälle identifizieren, bewerten, minimieren und beheben. Zwar leitet das Privacy- und Data-Practices-Team unser Störungsmanagement, aber bei Datenschutzvorfällen ist jede*r einzelne Meta-Mitarbeiter*in verantwortlich. Wichtige Rollen spielen hier unsere einzelnen verantwortlichen Teams, etwa aus der Rechts- und Produktabteilung. Wir investieren auch weiterhin Zeit, Ressourcen und Energie, um ein komplexes Programm aufzubauen, das sich ständig weiterentwickelt und anpasst. Im Folgenden stellen wir die drei wichtigsten Aspekte unseres Ansatzes vor.

Unser Ansatz für den Schutz unserer Nutzer*innen und ihrer Informationen ist mehrstufig. Ein Bestandteil ist die Umsetzung von Schutzmaßnahmen, mit denen Fehler proaktiv beseitigt werden sollen, bevor sie zum Problem werden. Als global agierendes Unternehmen haben wir stark in die Entwicklung und den Einsatz einer breiten Palette von automatisierten Tools investiert, um potenzielle Sicherheitsrisiken so früh und so schnell wie möglich zu erkennen und zu beseitigen. Diese automatisierten Systeme sind so konzipiert, dass sie Vorfälle in Echtzeit erkennen, um so schnell reagieren zu können.

Doch egal wie leistungsfähig die Systeme künftig sein werden – wir sind immer auf die Kontrolle und die Sorgfalt unserer Mitarbeiter*innen angewiesen, um Vorfälle proaktiv zu erkennen und Maßnahmen zu ergreifen. Unsere Entwicklungsteams überprüfen unsere Systeme regelmäßig, um Datenpannen zu erkennen und zu beheben, noch bevor Nutzer*innen davon betroffen sind.

Seit 2011 gibt es Facebooks Bug-Bounty-Programm. Dabei helfen externe Forscher*innen, die Sicherheit und den Datenschutz unserer Produkte und Systeme zu verbessern, indem sie uns potenzielle Sicherheitsrisiken melden. Dank dieses Programms können wir Probleme schneller aufspüren und beheben, um unsere Nutzer*innen zu schützen. Durch die Belohnung, die berechtigte Teilnehmer*innen erhalten, setzen wir Anreize für die Weiterentwicklung anspruchsvoller Sicherheitsforschung.

In den letzten 10 Jahren haben sich schon über 50.000 Personen an der Fehlersuche beteiligt. Etwa 1.500 von ihnen aus 107 Ländern haben in dieser Zeit eine Prämienzahlung erhalten.

Wir haben weitreichende Maßnahmen ergriffen, um die Daten unserer Nutzer*innen vor unberechtigtem Zugriff und anderen Risiken zu schützen. Sollte trotzdem einmal ein Vorfall auftreten, setzen wir auf Transparenz, um das Vertrauen in unsere Produkte, Services und Prozesse wieder zu stärken. Dementsprechend dient unser Störungsmanagement nicht nur dazu, Fehler zu beheben und daraus zu lernen – es definiert auch Schritte, um Nutzer*innen angemessen zu informieren. Das kann etwa durch einen Beitrag in unserem Newsroom oder Privacy Matters-Blog geschehen, auf dem wir über Themen berichten, die unsere Nutzer*innen betreffen. Bei Bedarf kooperieren wir außerdem mit Strafverfolgungsbehörden und anderen öffentlichen Stellen.

Kontrolle von Drittanbietern

Drittanbieter sind externe Geschäftspartner von Meta, die nicht zu Meta gehören oder von uns betrieben werden. Die meisten Drittanbieter gehören zu einer von zwei Kategorien: Entweder sie stellen für Meta Dienstleistungen bereit (etwa Anbieter für die Website-Gestaltung) oder sie nutzen unsere Plattform für ihr Unternehmen (etwa App- oder API-Entwickler*innen). Bei Drittanbietern, die Zugriff auf personenbezogene Daten erhalten, versuchen wir das Datenschutzrisiko mit einem speziellen Programm zur Überwachung und Verwaltung von Drittanbietern zu minimieren. Wir überwachen dabei, welche Risiken der Drittanbieter-Zugriff birgt, und setzen angemessene Datenschutzmaßnahmen um.

Wir haben ein Verfahren entwickelt, um den Datenschutz bei externen Dienstleistern zu beurteilen und mögliche Risiken zu minimieren. Die Dienstleister sind gemäß diesem Verfahren an Verträge gebunden, die den Schutz der Privatsphäre vorsehen. Ihr Risikoprofil entscheidet darüber, wie sie während der Zusammenarbeit überwacht werden. Dazu zählen eine Neubewertung und mögliche Sanktionen bei Vertragsverstößen, unter Umständen auch eine Beendigung der Zusammenarbeit.

Wir haben ein formelles Verfahren entwickelt, um bei Datenschutz- und Sicherheitsverstößen gegen Drittanbieter vorzugehen und diese gegebenenfalls auszuschließen. Dazu gehören folgende Standards und technischen Verfahren, die auf unserer gesamten Plattform für bessere Entwicklungspraktiken sorgen:

  • Überprüfung der Datennutzung: Verfahren und eine Infrastruktur für eine jährliche Überprüfung der Datennutzung durch externe Entwickler*innen. Dabei müssen sie Zweck und Verwendung der personenbezogenen Daten angeben, die sie anfordern bzw. auf die sie Zugriff haben. Außerdem müssen sie bestätigen, dass der Zweck und die Verwendung den gültigen Richtlinien und Nutzungsbedingungen entsprechen. Wir haben neue Fragen eingeführt und die Logik verbessert, um genauere Antworten zu erhalten und ein besseres Verständnis der Entwickler*innen zu gewährleisten. Außerdem haben wir neue Tools entwickelt, um die Kommunikation mit den Entwickler*innen und das Anfordern zusätzlicher Informationen an einem einzigen Ort zentral zu verwalten.
  • Überprüfung der Einhaltung unserer Nutzungsbedingungen: Wir haben technische und administrative Mechanismen eingeführt, um regelmäßig und fortlaufend zu überwachen, ob Entwickler*innen unsere Plattform-Nutzungsbedingungen erfüllen. Bei Verstößen ergreifen wir standardisierte Durchsetzungsmaßnahmen. Dabei betrachten wir u. a. den Schweregrad, die Art und die Auswirkungen des Verstoßes, einen möglichen Vorsatz oder frühere Verstöße des*der Entwickler*in sowie die Gesetzeslage, um dann angemessen zu reagieren.
  • Sicherheitsstandards für den Datenschutz: Basierend auf den Branchenstandards für Entwickler*innen haben wir Sicherheitsstandards für den Schutz der Daten entwickelt. Diese zielen darauf ab, die Sicherheitspraktiken auf unserer Plattform und im gesamten Entwicklungs-Ökosystem zu verbessern.
  • Developer Trust Center: Das Developer Trust Center bei Meta ist eine zentrale Anlaufstelle auf der Seite „Meta for Developers“, die Materialien für externe Entwickler*innen zu Themen wie Datenschutz, Datensicherheit und Plattform-Nutzungsbedingungen zusammenträgt. Außerdem finden sich dort Informationen zu Überwachungsmechanismen, mit denen Entwickler*innen interagieren, wie z. B. die App-Review, die App-Re-Review, die Überprüfung der Datennutzung sowie die neue datenschutzrechtliche Beurteilung.

Verhinderung von externem Datenmissbrauch

Unser Team für die Verhinderung von externem Datenmissbrauch ist dafür verantwortlich, Verhaltensmuster, die auf Scraping hindeuten, aufzuspüren, zu untersuchen und zu blockieren. Scraping ist das automatisierte Erfassen von Daten von einer Website oder App und kann entweder autorisiert oder nicht autorisiert erfolgen. Die Verwendung von Automatisierungsfunktionen für den Zugriff auf oder die Erfassung von Daten von Metas Plattformen ohne unsere Erlaubnis stellt einen Verstoß gegen unsere Nutzungsbedingungen dar.

Wir investieren kontinuierlich in Infrastruktur und Tools, um es Personen, die Scraping verwenden, zu erschweren, Daten von unseren Diensten zu erhalten bzw. daraus Kapital zu schlagen, wenn es ihnen doch gelingt. Beispiele für diese Investitionen sind etwa Übertragungs- und Datenlimits. Übertragungslimits begrenzen die Anzahl der Interaktionen mit unseren Produkten innerhalb eines bestimmten Zeitraums. Datenbeschränkungen wiederum verhindern, dass Nutzer*innen mehr Daten erhalten, als sie für die normale Nutzung unserer Produkte benötigen.

Wir nutzen intern generierte Nutzer*innen- und Content-IDs, nachdem wir festgestellt haben, dass bei nicht autorisiertem Scraping solche IDs oft erraten oder gekauft werden. Außerdem verwenden wir neue, pseudonymisierte IDs, die das nicht autorisierte Scraping von Daten verhindern, indem sie es Scrapern erschweren, Daten zu erraten, zu verknüpfen und wiederholt darauf zuzugreifen.

Täglich blockieren wir Milliarden von Handlungen auf Facebook und Instagram, bei denen der Verdacht von unautorisiertem Scraping besteht. Zusätzlich haben wir eine Vielzahl von Maßnahmen gegen unautorisiertes Scraping unternommen: So haben wir Konten gesperrt oder Unternehmen, die gescrapte Daten nutzen, aufgefordert, diese zu löschen.

Datenschutzprüfung

Die Datenschutzprüfung ist ein zentraler Bestandteil in der Entwicklung neuer und aktualisierter Produkte, Services und Praktiken bei Meta. Im Rahmen dieses Prozesses bewerten wir, wie Daten in neuen oder aktualisierten Produkten, Services und Praktiken verwendet und geschützt werden sollen. Jeden Monat überprüfen wir unternehmensweit im Durchschnitt 1.200 Produkte, Features und Praktiken in Bezug auf Daten, bevor sie ausgeliefert werden, um so etwaige Datenschutzrisiken abzuschätzen und zu mindern.

Ein abteilungsübergreifendes Team von Datenschutzexpert*innen bewertet die möglichen Datenschutzrisiken eines Projekts und ermittelt, ob vor dem Projektstart zusätzliche Änderungen notwendig sind, um diese Risiken zu mindern. Gibt es keine Übereinstimmung bei der Beurteilung der einschlägigen Risiken eines Produkts oder hinsichtlich der Vorschläge, wie diese zu minimieren sind, sieht der Prozess eine Eskalation zur weiteren Bewertung und Entscheidung vor, zunächst an die Führungsebene für Produkte und Richtlinien sowie letztendlich zum*zur CEO.

Die Entwicklung neuer oder aktualisierter Produkte, Services oder Vorgehensweisen im Rahmen der Datenschutzprüfung orientiert sich an unseren internen Datenschutzerwartungen. Dazu gehören:

  1. Zweckbindung: Daten sind nur für einen bestimmten und klar ersichtlichen Vorgang zu verarbeiten, der Nutzer*innen einen Mehrwert bietet.
  2. Datensparsamkeit: Daten sind nur in dem Umfang zu erfassen und zu erstellen, wie er für den angegebenen Zweck notwendig ist.
  3. Datenaufbewahrung: Daten sind nur so lange zu speichern, wie sie für den angegebenen Zweck tatsächlich benötigt werden.
  4. Verhinderung von externem Datenmissbrauch: Daten sind vor Missbrauch, unbeabsichtigtem Verlust und Zugriff durch unberechtigte Dritte zu schützen.
  5. Transparenz und Kontrolle: Das Produktverhalten und Informationen zur Datenverarbeitung sind leicht verständlich, wahrheitsgemäß und proaktiv zu vermitteln. Nutzer*innen sollen das Verhalten unserer Produkte, wo immer möglich, selbst bestimmen können.
  6. Datenzugriff und -verwaltung: Informationen, die wir über unsere Nutzer*innen erfassen oder erstellen, sollen für diese zugänglich und verwaltbar sein.
  7. Fairness: Wir entwickeln Produkte, die Risiken für gefährdete Bevölkerungsgruppen erkennen und minimieren können, um einen Mehrwert für alle Nutzer*innen zu schaffen.
  8. Verantwortung: Unsere Produkte, Praktiken und Entscheidungen unterliegen einer internen Prozesskontrolle sowie technischen Kontrollen.

Außerdem haben wir in Verifizierungsprüfungen und eine zentralisierte Plattform investiert, um die Datenschutzprüfung auch im großen Maßstab durchführen zu können:

  • Zentrale Plattform: Wir haben in eine zentrale Plattform für den gesamten Ablauf der Datenschutzprüfung investiert. Sie ermöglicht es den Teams, alle Aspekte der Reviews, Anforderungen und Entscheidungen zum Datenschutz zu verwalten. Die Plattform dient als zentraler Ablageort, an dem die Teams alle Aspekte des Prozesses verwalten können. Beispielsweise können sie die externen Datenschutzverpflichtungen einsehen und verwalten, die wir als Unternehmen eingegangen sind.
  • Verifizierungsprüfungen: Zur Datenschutzprüfung gehört auch die Phase der technischen Überprüfung, in der die technische Umsetzung der Datenschutzanforderungen und Maßnahmen zur Risikominderung sowie die jeweiligen Verpflichtungen für die Produkteinführung verifiziert und dokumentiert werden. Wir haben zudem eine Überprüfung konzipiert, bei der die technische Umsetzung unserer Maßnahmen zur Risikominderung sowie unserer Datenschutzverpflichtungen analysiert, verifiziert und dokumentiert wird. Dieser Prozess ist Teil von Metas internen Entwicklungs-Tools und stellt sicher, dass die bei der Datenschutzprüfung getroffenen Vereinbarungen auch tatsächlich in unserer Software umgesetzt wurden.
2. ERFOLGE BEIM DATENSCHUTZ

Wir investieren kontinuierlich in Produktneuerungen, die die Privatsphäre unserer Nutzer*innen schützen und ihnen mehr Kontrolle bieten.

Komal Lahiri, VP Privacy Review

„Milliarden von Menschen vertrauen jeden Tag darauf, dass wir ihre Privatsphäre schützen. Die Datenschutzprüfung ist ein zentrales Element unserer Bemühungen, dieses Vertrauen nicht zu enttäuschen, und hilft uns dabei, Neuerungen verantwortungsbewusst einzuführen. Unser oberstes Ziel ist es, unseren Nutzer*innen und den Aufsichtsbehörden deutlich zu zeigen, dass wir unseren Datenschutzpflichten nachkommen und dabei alles richtig machen.“


– Komal Lahiri, VP Privacy Review

Der Schutz der Privatsphäre unserer Nutzer*innen steht bei der Entwicklung und ständigen Aktualisierung unserer Produkte immer im Mittelpunkt. Unsere Produkte enthalten Standardeinstellungen für die Privatsphäre, die es den Nutzer*innen leichter machen, selbst festzulegen, wie viel Privatsphäre sie sich wünschen. Auch bei der Entwicklung neuer Produkte stehen Privatsphäre und Datenschutz jederzeit im Mittelpunkt.

Seit 2016 können Nutzer*innen im Messenger die Ende-zu-Ende-Verschlüsselung aktivieren. 2023 haben wir damit begonnen, die Ende-zu-Ende-Verschlüsselung für alle persönlichen Chats und Anrufe im Messenger und auf Facebook als Standard einzuführen.

Diese Neuerung hat mehrere Jahre gebraucht, denn wir haben uns die Zeit genommen, dabei alles richtig zu machen. Mit ihrer unermüdlichen Arbeit haben unsere Entwicklungs-, Verschlüsselungs- und Design-Teams, unsere Richtlinienexpert*innen sowie Produktmanager*innen die Funktionen des Messengers von Grund auf neu aufgebaut. Um die Ende-zu-Ende-Verschlüsselung im Messenger zu integrieren, mussten wir viele Aspekte der Applikationsprotokolle grundlegend umbauen, denn wir wollten Datenschutz und Sicherheit verbessern und gleichzeitig die Features beibehalten, die den Messenger so beliebt machen. Unser Ansatz: Basierend auf vorhandenem Wissen über WhatsApp und geheime Unterhaltungen im Messenger haben wir uns unseren größten Herausforderungen gestellt – Mehrgerätefähigkeit, Funktionsunterstützung, Chatverlauf und Web-Support. Auf dem Weg dahin haben wir auch neue Datenschutz-, Sicherheits- und Kontrollfunktionen eingeführt, z. B. die App-Sperre oder Einstellungen für die Nachrichtenzustellung, damit Nutzer*innen festlegen können, wer ihnen Nachrichten senden darf. Außerdem haben wir bestehende Sicherheitsfunktionen optimiert, wie Melden, Blockieren und Nachrichtenanfragen.

Im Wesentlichen geht es bei der Ende-zu-Ende-Verschlüsselung darum, die Kommunikation zwischen Nutzer*innen zu schützen, damit sie sich sicher fühlen können, wenn sie sich mit ihren Freund*innen und Lieben frei austauschen. Wir haben eng mit externen Expert*innen, Wissenschaftler*innen, Interessenvertreter*innen und Regierungen zusammengearbeitet, um Risiken zu erkennen und Maßnahmen zur Minimierung zu entwickeln, damit Datenschutz und Sicherheit Hand in Hand gehen. Wir haben eine unabhängige Untersuchung zu den Auswirkungen auf die Menschenrechte in Auftrag gegeben und ein umfangreiches Whitepaper zu Metas Konzept für größere Sicherheit für den Versand privater Nachrichten im Messenger und auf Instagram veröffentlicht.

Mit den Ray-Ban Meta-Smartglasses kannst du Fotos oder Videoclips von deiner ganz besonderen Perspektive aufnehmen, Musik hören oder einen Anruf annehmen und intelligente Features nutzen, die nach und nach dazukommen werden – und für das alles brauchst du nicht einmal dein Handy zu zücken. Die Ray-Ban Meta-Smartglasses sind überarbeitet worden: Die Kamera hat jetzt eine höhere Qualität, Audio- und Mikrofonsysteme wurden optimiert und es gibt neue Funktionen wie Livestreaming und eine integrierte Meta-KI, damit du dich nicht entscheiden musst, ob du einen Augenblick einfängst oder ihn einfach genießt.

Bei der Entwicklung der Ray-Ban Meta-Smartglasses stand der Datenschutz im Mittelpunkt – als klares Zeichen unseres Engagements für verantwortungsbewusste Innovation und Privacy by Design. Schon seit dem Launch der Ray-Ban Stories nehmen wir das Feedback von Stakeholdern ernst und haben es auch bei diesen Smartglasses in sinnvoller und greifbarer Form einfließen lassen.

  • Die Aufnahme-LED ist jetzt auffälliger und besser sichtbar, mit einem differenzierten Signalmuster – Dauerleuchten oder Blinken – für längere Aufnahmen (Videoaufnahmen, Livestreaming).
  • Außerdem gibt es ein neues Feature, das Aufnahmen verhindert, während die Aufnahme-LED ganz verdeckt ist. Ist die Aufnahme-LED vollständig verdeckt, kann der*die Nutzer*in die Kamera nicht verwenden und wird informiert, dass die Aufnahme-LED frei und sichtbar sein muss, um etwas aufzunehmen.
  • Die Begleit-App Meta View bietet auch weiterhin einfachen Zugriff auf die ‎Privatsphäre-Einstellungen‎, um das Teilen von Informationen und zusätzlichen Daten mit Meta zu verwalten.

Zu unseren neuen generativen KI-Funktionen gehören KI-Sticker, die Bildbearbeitung mit KI, unser KI-Assistent Meta AI und AI Studio, wo Nutzer*innen ihre ganz individuelle KI erstellen können. In die Entwicklung dieser spannenden neuen generativen KI-Features sind wichtige Datenschutzüberlegungen eingeflossen. Wir haben einen Guide für den Datenschutz bei der generativen KI und andere Ressourcen rund um das Thema Transparenz entwickelt, um zu erläutern, wie wir unsere KI-Modelle entwickeln, wie unsere KI-Features funktionieren und welche Optionen und Datenschutzrechte unsere Nutzer*innen haben.

Letztes Jahr haben wir unser Tool „Warum sehe ich das?“ aktualisiert. Es soll Nutzer*innen erklären, warum sie bestimmte Anzeigen in ihrem Feed auf Facebook und Instagram sehen. Eine wesentliche Neuerung bestand darin, die Informationen in Themen dazu zusammenzufassen, welchen Einfluss Aktivitäten sowohl auf als auch außerhalb von unseren Technologien auf die Modelle für maschinelles Lernen haben, die wir für die Gestaltung und Auslieferung von Werbeanzeigen nutzen. Einen Beitrag auf der Facebook-Seite eines Freundes oder einer Freundin mit „Gefällt mir“ zu markieren gehört ebenso dazu wie eine Sport-Website aufzurufen. Es gibt auch neue Beispiele und Bilder, in denen wir erklären, wie unsere Modelle für maschinelles Lernen einzelne Themen verbinden, um relevante Werbung anzuzeigen. Außerdem haben Nutzer*innen nun mehr Möglichkeiten, ihre Einstellungen für Werbeanzeigen zu finden, indem sie ihre Werbepräferenzen über weitere Seiten im Tool „Warum sehe ich das?“ aufrufen können.

Neue Recherchetools aus unserer Entwicklung sind die Meta-Content-Bibliothek und die Meta-Content-Bibliotheks-API: Damit erhalten entsprechend berechtigte Forscher*innen Zugriff auf weitere, öffentlich zugängliche Inhalte auf Facebook und Instagram, wobei die Privatsphäre stets geschützt ist.

Mit diesen Tools haben Forschende Zugriff auf Daten in Fast-Echtzeit. Dazu gehören z. B. Inhalte aus Facebook-Seiten, -Gruppen und -Veranstaltungen sowie Creator*innen- und Business-Konten auf Instagram. Einzelheiten zu den Inhalten sind ebenfalls verfügbar, beispielsweise die Anzahl der Reaktionen, geteilten Inhalte, Kommentare und zum ersten Mal auch die Anzahl der Aufrufe eines Beitrags. Forschende können diese Inhalte entweder über eine grafische Bedienoberfläche (UI) oder eine Programm-API durchsuchen, untersuchen und filtern.

Wir haben mit dem Inter-University Consortium for Political and Social Research (ICPSR) vom Social Media Archive (SOMAR), einer Initiative der University of Michigan, zusammengearbeitet, um das Teilen öffentlicher Informationen auf unseren Plattformen zu ermöglichen. Dabei wird der Zugriff auf eingeschränkt verfügbare Daten streng kontrolliert, und die berechtigten Nutzer*innen müssen strengen Datennutzungs- und Geheimhaltungsbedingungen zustimmen, um Zugriff zu erhalten.

Wir legen Wert auf transparente Kommunikation. Dazu zählt auch, Menschen über unser Vorgehen zu informieren und aufzuklären bzw. dieses zu erläutern. Die entsprechenden Informationen müssen schnell und einfach zugänglich sein.

  • Unsere Datenschutzrichtlinie erläutert im Detail, wie wir Informationen erfassen, nutzen, teilen, speichern und übermitteln. Außerdem informieren wir unsere Nutzer*innen über ihre Datenschutzrechte und Privatsphäre-Einstellungen.
  • Im Privacy Center erfahren unsere Nutzer*innen mehr über unsere Vorgehensweisen und können so fundierte Entscheidungen über ihre Privatsphäre treffen, die ihren Anforderungen gerecht werden. Durch Aufklärung und Zugang zu Privatsphäre- und Sicherheitseinstellungen gehen wir auf einige der häufigsten Datenschutzbedenken der Milliarden von Menschen ein, die täglich ihre Zeit mit uns verbringen. Das Privacy Center verfügt über mehrere Module, darunter solche zur Freigabe, Erfassung, Nutzung und Sicherheit sowie zu Jugendlichen, generativer KI und Werbung. So sind mögliche Probleme oder Anliegen direkt mit den relevanten Datenschutz- und Sicherheitseinstellungen verknüpft, die wir im Laufe der Jahre in unseren Apps und Diensten eingerichtet haben.
  • Im Bereich Daten und Privatsphäre unseres Newsrooms, bieten wir weiterführende Informationen zu unserem Datenschutzansatz bei einem bestimmten Feature oder Thema.

Wir möchten, dass unsere Nutzer*innen verstehen, welche Informationen sie teilen und wie diese genutzt werden. Um ihnen mehr Transparenz und Kontrolle zu bieten, haben wir daher verschiedene Datenschutz-Tools entwickelt:

  • Der Privatsphäre-Check führt Nutzer*innen durch wichtige Privatsphäre- und Sicherheitseinstellungen auf Facebook. Er hilft ihnen dabei, die Sicherheit ihres Kontos zu erhöhen und festzulegen, wer sehen kann, was sie teilen, bzw. wie ihre Informationen verwendet werden. Beim Privatsphäre-Check gibt es fünf separate Themenbereiche, in denen unsere Nutzer*innen entscheiden können, wer sehen kann, was sie teilen, wie ihre Informationen verwendet werden und wie sie ihr Konto besser schützen können.
    • Wer sehen kann, was du teilst: Hier kannst du überprüfen, wer deine Profilinformationen sehen kann, z. B. deine Telefonnummer und E-Mail-Adresse, aber auch deine Beiträge.
    • So kannst du dein Konto schützen: Wähle ein stärkeres Passwort und aktiviere die zweistufige Authentifizierung, um dein Konto noch besser zu schützen.
    • So können andere dich auf Facebook finden: Lege fest, wie andere Nutzer*innen dich auf Facebook finden können und wer dir Freundschaftsanfragen senden darf.
    • Deine Daten-Einstellungen auf Facebook: Überprüfe, welche Informationen du mit Apps teilst, bei denen du dich über Facebook angemeldet hast. Du kannst dort auch Apps entfernen, die du nicht mehr nutzt.
    • Deine Werbe-Präferenzen auf Facebook: Hier erfährst du, wie Werbung in unseren Produkten funktioniert, kannst festlegen, welche Profilinformationen Werbetreibende nutzen können, um dir Werbung anzuzeigen und bestimmen, wer deine sozialen Interaktionen neben Anzeigen sehen kann, z. B. „Gefällt mir“-Angaben.
  • Aktivitäten außerhalb von Meta-Technologien: Hier finden Nutzer*innen eine Zusammenfassung ihrer Aktivitäten, die Unternehmen und andere Organisationen mit uns teilen, z. B. dass sie ihre App oder Website besucht haben. Außerdem haben Nutzer*innen dort die Möglichkeit, ihre bisherigen Aktivitäten von ihrem Konto zu trennen.
  • Aktivitäten verwalten: Mit dieser Funktion kann man Beiträge in großen Mengen verwalten. Filter erleichtern dabei das Sortieren und Auffinden der gesuchten Inhalte, z. B. Beiträge mit bestimmten Personen oder aus einem bestimmten Zeitraum. Die Funktion bietet auch die Option, mehrere alte Beiträge gleichzeitig in den Papierkorb zu verschieben. Beiträge im Papierkorb werden nach 30 Tagen endgültig gelöscht, wenn sie nicht schon vorher manuell gelöscht oder wiederhergestellt werden.
3. Investition in technische Datenschutzlösungen

Wir investieren in innovative Technologien, um die Privatsphäre unserer Nutzer*innen zu schützen.

„Mit unseren Investitionen in die Infrastruktur gewährleisten wir, dass der Datenschutz bei uns ein fester Bestandteil der Produktentwicklung ist. So können wir weiterhin innovative Produkte mit einem echten Mehrwert für unsere Nutzer*innen entwickeln und gleichzeitig ihre Privatsphäre schützen.“


Michel Protti, Chief Privacy Officer for Product

Photo of two people collaborating

Wir werden auch weiterhin eine datenschutzorientierte Infrastruktur entwickeln, d. h. skalierbare und innovative Infrastruktur-Lösungen, die es unseren Entwickler*innen leichter machen, bei der Entwicklung neuer Produkte die entsprechenden Datenschutzanforderungen zu berücksichtigen. Mit einer datenschutzorientierten Infrastruktur können wir, statt auf Menschen und manuelle Prozesse, verstärkt auf automatisierte Prozesse setzen, um zu überprüfen, ob wir unseren Datenschutzpflichten nachkommen.

Wir setzen innovative Tools und Technologien auf allen Meta-Plattformen ein, um die Menge an Nutzungsdaten, die wir erfassen und verwenden, proaktiv zu reduzieren. Außerdem investieren wir auch weiterhin in Datenschutztechnologien (Privacy-Enhancing Technologies, PETs), die auf komplexen Verschlüsselungsmethoden und statistischen Verfahren basieren. Dank dieser Technologien erfassen, verarbeiten und nutzen wir weniger Daten. In Fällen, wo dies nützlich für das gesamte Ökosystem ist, teilen wir unsere Arbeit als Open Source über PyTorch, auch unsere Entwicklungen zu PETs für KI. Dank unserer Investitionen in PETs konnten wir zudem eine neue kryptografische Sicherheitsfunktion in WhatsApp integrieren. Damit kannst du basierend auf Schlüsseltransparenz die Sicherheit deiner Verbindung und Unterhaltung überprüfen. Mit diesem Feature sinkt die Wahrscheinlichkeit, dass Dritte sich als die Person oder das Unternehmen ausgeben, mit der bzw. dem du dich verbinden und verschlüsselte Nachrichten austauschen möchtest. Und so funktioniert es: Die öffentlichen Schlüssel in der Unterhaltung werden anhand eines Serververzeichnisses, in dem öffentliche Schlüssel mit Nutzer*innendaten hinterlegt sind, auf ihre Gültigkeit überprüft. Dann wird ein öffentlich zugängliches Prüfprotokoll erstellt, das die Privatsphäre nicht verletzt. In diesem Protokoll ist ersichtlich, ob die Daten in dem Verzeichnis gelöscht oder modifiziert worden sind.

Ebenso haben wir ein Modell für das Entfernen von Code und Assets entwickelt, das unsere Entwickler*innen sicher und effizient durch den Produkteinstellungsprozess leitet. Wenn veraltete Produkte eingestellt werden, ist das eine komplexe Aufgabe, bei der interne und externe Abhängigkeiten zu berücksichtigen sind – auch Abhängigkeiten von anderen Meta-Produkten, die selbst nicht entfernt werden sollen. Zu diesem Zweck beinhaltet unser Systematic Code and Asset Removal Framework (SCARF) ein Workflow-Management-Tool, das unseren Entwickler*innen Zeit spart, indem es sowohl Abhängigkeiten ermittelt als auch die richtige Reihenfolge der Aufgaben, um ein Produkt zu bereinigen. Außerdem gibt es in SCARF untergeordnete Systeme für das sichere Entfernen von totem Code und nicht genutzten Datentypen.

SCARF unterstützt Tausende von menschengeführten Einstellungsprojekten und hat bereits Millionen von Code- und Daten-Assets automatisch bereinigt. Zudem ist das Tool von Nutzen für unsere Datenschutz-Teams: Sie verwenden es, um den Fortschritt von laufenden Produkteinstellungen zu überwachen und sicherzustellen, dass sie fristgerecht abgeschlossen werden.

4. ZUKÜNFTIGES ENGAGEMENT FÜR DEN DATENSCHUTZ

Wir verpflichten uns dem Datenschutz und seiner ständigen Verbesserung.

„Wir wollen beim Datenschutz alles richtig machen. Dazu investieren wir fortlaufend und ziehen als Unternehmen gemeinsam an einem Strang. Bei Meta sind alle dafür verantwortlich, dass wir dieses Ziel erreichen.“ – Michel Protti, Chief Privacy Officer for Product

Die Daten und die Privatsphäre unserer Nutzer*innen zu schützen, ist entscheidend für unser Unternehmen und unsere Zukunftspläne. Deshalb verfeinern und verbessern wir unser Datenschutzprogramm und unsere Produkte ständig und reagieren auf neue Erwartungen und technologische Entwicklungen. Wir arbeiten mit politischen Entscheidungsträger*innen und Datenschutzexpert*innen zusammen, um gemeinsam Lösungen für die größten Herausforderungen unserer Zeit zu finden. Und wir lassen die Öffentlichkeit an unseren Fortschritten teilhaben.