Skandal um Cambridge Analytica und Facebook – ein Überblick (Stand 17.05.2018)

Dem in Großbritannien ansässigen Unternehmen Cambridge Analytica (CA) wird vorgeworfen, es habe für Donald Trump und dessen Präsidentschaftswahlkampf verbotenerweise zahlreiche Facebook-Profile ausgewertet. Konkret geht es um private Informationen von mehr als 50 Millionen Nutzern des sozialen Netzwerks. CA soll die Daten von einem russisch-amerikanischen Wissenschaftler namens Aleksandr Kogan erhalten haben. Mittels der von diesem eigens programmierten App „Thisisyourdigitallife“ bot er Facebook-Nutzern die Möglichkeit einer Persönlichkeitsauswertung, basierend auf ihren Facebook-Daten. Zwar wurde die App selbst nur etwa 270.000 Mal heruntergeladen, allerdings sammelte sie nicht nur die kraft Einwilligung erhobenen Daten ihrer Nutzer, sondern erfasste ferner auch sämtliche Angaben von deren Facebook-Freunde. Unterdessen wurde ebenfalls bekannt, dass sich CA zudem damit profilierte, politische Gegner seiner Kunden mit Prostituierten verführen zu können, um sie später zu erpressen. Nun ermittelt die Staatsanwaltschaft des US-Bundesstaats Massachusetts.

I.     Hintergrund

Öffentlich wurde der Sachverhalt primär durch Christopher Wylie – einen ehemaligen Mitarbeiter von CA (bis 2014), der anschließend eine Zusammenarbeit mit Kogan einging. Den Skandal machte Wylie allerdings erst jetzt im „Observer“, der „New York Times“ und dem britischen „Channel 4“ öffentlich. Seiner Aussage nach sei sein damaliger Arbeitgeber CA eine „Propagandamaschine mit umfassendem Service“.

Bei dem umstrittenen Konzern CA handelt es sich um ein britisches Datenanalyse-Unternehmen, das unter anderem von der Hedgefonds-Milliardärs-Familie Mercer finanziert wird. CA gelang es, Millionen von Nutzerdaten zu beschaffen, die möglicherweise auch im letzten amerikanischen Wahlkampf ihre Verwendung fanden. Begründen lässt sich diese Vermutung mit der durchaus als eng zu bewertenden Verbindung zwischen den Mercers und Donald Trump. Die umstrittene Datenerhebung fand mittels der App „Thisisyourdigitallife“ statt, deren Entwicklung auf einen Psychologie-Professor der Universität Cambridge namens Aleksandr Kogan zurückzuführen ist. Dessen Ziel war es, mittels der App Persönlichkeitsprognosen zu erstellen, wobei Facebook insoweit die Plattform samt benötigtem Datenmaterial zur Verfügung stellte. Den Angaben des sozialen Netzwerks nach wurde Kogans App circa 270.000 Mal heruntergeladen.

Im Ergebnis geht es um die zentrale Frage, ob es sich bei der Datenerhebung um einen illegalen Vorgang handelte oder nicht. Diesbezüglich ist zu differenzieren: Nutzer, die mit Installation der App die Nutzungsbedingungen akzeptierten und folglich auch der Datenerhebung zustimmten, gaben ihre Daten zunächst zumindest entsprechend den Facebook-Regeln preis; allerdings ­­– und dies ist ausschlaggebend – leitete Kogan die Daten illegalerweise an CA, mithin an einen Dritten, weiter. Auch gelangten auf diesem Wege nicht nur die mittels Einwilligung möglicherweise zulässig erhobenen Daten der App-Nutzer in die Hände von CA, vielmehr wurden darüber hinaus auch sämtliche Daten von deren Freunde weitergeleitet – ein Datenpool, der nunmehr Daten von insgesamt 50 Millionen Nutzern umfasst. Mithilfe dieser Daten soll CA im US-Wahlkampf 2016 sodann auf Facebook auf Nutzer individuell zugeschnittene politische Anzeigen geschaltet haben. Diese effektive Wähleransprache sei ein entscheidender Beitrag zu Donald Trumps Wahlsieg gewesen. CA verneinte indes, bei Facebook erhobene Daten für die Trump-Kampagne verwertet zu haben.

Nach Ansicht von Datenschutzexperten beruhe hingegen bereits die Daten-Einwilligung der App-Nutzer auf einer Täuschung, da diese insoweit lediglich für redliche akademische Zwecke ihre Einwilligung erteilten, nicht aber, um – basierend auf den gewonnenen Informationen – gezieltes, politisches Targeting zu entwickeln. Bislang liegt diesbezüglich keine richterliche Stellungnahme vor.

Facebook stützt die Erhebung der Dritt-Daten auf eine Standardeinstellung, die es Nutzern aufgrund bestehender Facebook-Freundschaften ermöglicht, neben gewissen eigenen Informationen auch solche ihrer Freunde in Apps zu übertragen. Standardmäßig erfasst sind hiervon beispielsweise Auskünfte bezüglich des Geburtstages, Infos über Familie und Beziehungen, Daten zur Heimatstadt, dem aktuellen Wohnort sowie solche aus der Rubrik Ausbildung und Beruf. Lediglich Angaben zu „Interessiert an“ (d.h. sexueller Orientierung), die religiöse Ansicht sowie politische Einstellung des jeweiligen Nutzers sind nicht Teil der Voreinstellungen.

Zwar ist es den Nutzern grundsätzlich möglich, eben diese standardmäßig eingestellten Modalitäten selbst zu ändern, allerdings ist davon auszugehen, dass diese Möglichkeit der individuellen Einflussnahme kaum bekannt ist, jedenfalls aber aus Bequemlichkeit und geringer Risikosensibilität nur sehr selten wahrgenommen wurde und wird.

II.     Bewertung

Bislang ist unklar, welche Schlüsse CA aus den Daten intendiert(e) zu ziehen. Reizvoll erscheint vor allem die Möglichkeit, aus öffentlichen Facebook-Daten auf die exkludierten Angaben (s.o., sexuelle Orientierung etc.) zu schließen. Darüber hinaus wirbt das Unternehmen selbst damit, dass es „Psycho-Profile der Facebook-Nutzer erstellen und [damit] politische Botschaften auf ihre Ängste und Wünsche hin maßschneidern könne“. Eben auf diese Weise sei bereits Donald Trump zum Wahlsieg verholfen worden.

Ob dies tatsächlich zutrifft, ist (noch) unklar. Während einige Experten an einem derart komplexen Vorgehen des Unternehmens zweifeln, tendiert CA selbst eher zu Übertreibungen, soweit es um die eigenen Fähigkeiten geht, wenn auch primär zur Kundengewinnung.

Parallel zu den gegenwärtigen Vorkommnissen ist ebenfalls bemerkenswert, dass CA seinen Geschäftsführer Alexander Nix nach dessen umstrittenen Äußerungen zu politischen Einflussnahmemöglichkeiten suspendierte. Konkret hatte Nix vor versteckter Kamera mit Erpressungsversuchen von Wahlkandidaten geprahlt.

Fraglich ist auch, ob und vor allem seit wann Facebook von alledem wusste. Nach Aussage des Konzerns hatte das soziale Netzwerk die App bereits 2015 entfernt sowie CA zur Löschung der gespeicherten Daten aufgefordert. Nachdem CA versicherte, dies getan zu haben, erfolgte jedoch keine weitere Überprüfung des Vorgangs seitens Facebook. Tatsächlich war eine Löschung der Daten jedenfalls nicht vollumfänglich erfolgt. Facebook stellte klar, die Zusammenarbeit final zu beenden.

Auch Facebook-Chef Mark Zuckerberg äußerte sich zu den Vorwürfen; immerhin befindet sich sein Unternehmen gerade in einer seiner schwersten Glaubwürdigkeitskrisen. Er räumte zwar Fehler ein, ging jedoch nicht explizit darauf ein, weshalb Facebook die Betroffenen nicht sofort informierte. Zuckerberg stellte sich im April 2018 insbesondere den kritischen Fragen der Ausschüsse des Senats und des Abgeordnetenhauses.

Datenschutzexperte Jan Philipp Albrecht von den Grünen machte allerdings klar, dass eine Entschuldigung Zuckerbergs bei Weitem nicht ausreichend sei. Facebook besitze eine derart große Marktmacht, dass es konkreter Sanktionen bedürfe, sollte das soziale Netzwerk tatsächlich Regelbruch begangen haben. Vielmehr sei geltendes Recht durchzusetzen, wobei Europa ab dem 25. Mai 2018 mit der Datenschutzgrundverordnung der Europäischen Union (EU-DSGVO) das gesetzliche Mittel dazu habe. Insofern sei jedoch schon jetzt klar, dass Facebook auch nach gegenwärtiger Gesetzeslage nicht ohne Konsequenzen entkomme, denn auch nach geltendem Recht sei das Vorgehen des Konzerns bereits unrechtmäßig. Bußgelder könnten damit schon jetzt verhängt werden, ab Mai seien dann aber weitaus härtere Sanktionen von bis zu vier Prozent des Jahresumsatzes denkbar (vgl. vertiefend hierzu das Interview der ZEIT unter Quelle 4.).

III.    Was hat Facebook bereits getan?

Mit Mitteilung vom 21. März 2018 (https://newsroom.fb.com/news/2018/03/cracking-down-on-platform-abuse/, zuletzt abgerufen am: 17.05.2018) kündigte Facebook sechs Maßnahmen an: (I) Apps von Drittanbietern würden überprüft, (II) Nutzer, deren Daten ausgelesen wurden, informiert, (III) der Datenzugriff für Apps, die mehr als drei Monate nicht genutzt wurden, deaktiviert, (IV) die Informationsmenge, die Dritte erhalten, beschränkt, (V) Nutzer zur App-Überprüfung aufgefordert, sowie (VI) künftig Informanten per entsprechendem Programm dafür belohnt, dass diese Beweise liefern, wenn eine über Facebook gewählte App missbräuchlich Nutzerdaten an Dritte weitergeben sollte.

Überdies wären schon jetzt Facebook-Nutzer nicht mehr per Handynummer oder E-Mailadresse ausfindig zu machen. Auch überarbeitete Facebook seine Privatsphäre-Einstellungen sowie formulierte seine Nutzungsbedingungen und die Datenschutzerklärung um.

Mittlerweile hat Facebook damit begonnen, das Versäumnis fehlender Information (vgl. II) nachzuholen, indem es einzelne Nutzer in deren Newsfeed darüber informierte, dass einer ihrer Freunde Verwender der umstrittenen App war. Gemäß der Ankündigung des Unternehmens würden auf diese Weise insgesamt 87 Millionen Betroffene, deren Großteil (mehr als 70 Millionen) in den USA lebe, in Kenntnis gesetzt. In Deutschland seien bis zu 310.000 Mitglieder betroffen.

IV.     Ausblick

Darüber hinaus stellt sich die Frage, ob es für die womöglich betroffenen Nutzer eine zur Benachrichtigung durch Facebook alternative Möglichkeit gibt, zu erfahren, ob sie von dem Datenleck tatsächlich erfasst sind. Eine solche ist jedoch zu verneinen, da der Datenabruf direkt aus einer Datenbank erfolgte und die Betroffenen diesbezüglich im konkreten Moment nicht informiert wurden. Lediglich in Bezug auf zwei Gruppen lassen sich eindeutige Aussagen treffen: Personen ohne Facebook-Account kommen als Betroffene nicht in Betracht, Nutzer der App hingegen sind zweifelsfrei betroffen. Für alle, die trotz ausbleibender, eindeutiger Benachrichtigung befürchten, als Dritte durch ihre Facebook-Freunde in den Skandal verwickelt worden zu sein, verbleibt damit nur die Möglichkeit, jeden Einzelnen nach dessen App-Nutzung zu fragen – eine Alternative scheint (derzeit) nicht vorhanden.

Im US-Kongress wurden schärfere Auflagen für Facebook gefordert. Zur Begründung führte beispielsweise Senatorin Amy Klobuchar aus, dass es Internetdiensten offensichtlich nicht möglich sei, sich selbst zu regulieren. Zudem müsse sich Zuckerberg vor dem Justizausschuss des Senats verantworten. Klobuchars Parteikollege Mark Warner ergänzte, dass der Werbemarkt seiner Meinung nach auch zukünftig anfällig für Betrug sei bzw. von mangelhafter Transparenz geprägt werde, sofern ihm keine Regulierung widerfahre.

Auch die deutsche Justizministerin Katarina Barley (SPD) agierte, indem sie die Führung von Facebook in Europa zum Gespräch lud. Barley verlangte unter anderem Aufklärung darüber, ob auch deutsche Nutzer-Accounts vom Datenmissbrauch betroffen seien und was Facebook gedenke zu tun, um einer Wiederholung präventiv verhindernd zu begegnen. Die Justizministerin sprach diesbezüglich von einem „handfesten Skandal“ (vertiefend zu den Forderungen Barleys Quelle 5.).

Es bleibt zu hoffen, dass Facebook aus den Geschehnissen lernt und seine Sicherheitsmechanismen verbessert. Denn nach Angaben von Datenschützern gebe es bislang keine Mechanismen die prüfen, ob Vertragsbestimmungen bei Datenzugang auch tatsächlich eingehalten würden. Folglich sei insbesondere an die Sorgfalt der jeweiligen Datenerhebungsinstitute zu appellieren.

Silicon-Valley-Insider Hugh Dubberly geht noch einen Schritt weiter: Seiner Einschätzung nach gehe der Facebook-Skandal weit über den fehlenden Datenschutz hinaus. Facebook „zähmen könne nur Europa“ (vertiefend hierzu Quelle 6.)

Jüngst meldete CA Insolvenz an. Angesichts des erlittenen Schadens – bedingt durch die Abwanderung sämtlicher Kunden sowie hohe Anwaltshonorare – sei eine Fortführung des Unternehmens unmöglich. Unklar ist, ob diese angekündigte Schließung gleichermaßen die erst seit Mitte 2017 registrierte Firma Emerdata bzw. ein weiteres Unternehmen namens Firecrest Technology betrifft. Ferner gibt es Befürchtungen hinsichtlich eines seitens CA fortgesetzten Agierens unter anderem Namen.

Ebenso tat sich Anfang Mai 2018 der Verdacht einer Zusammenarbeit mit Russland auf, nachdem bekannt wurde, dass ein CA-Mitarbeiter für russisch geförderte Verhaltensforschungsprojekte gearbeitet habe. Auf diesem Wege könnten die Daten an den russischen Geheimdienst gelangt sein (vertiefend hierzu Quelle 7.).

Wie sich der Skandal weiterentwickelt, bleibt mit Spannung abzuwarten.

V.     Praxistipp

Um derartige Vorkommnisse künftig zu vermeiden, ist es für Facebook Nutzer ratsam, eine Einstellung vorzunehmen, die zukünftig verhindert, dass Apps von Facebook-Freunden an die eigenen Daten gelangen können. Vorzugehen ist dabei wie folgt: Zunächst ist die Einstellungs-Seite für Apps von Facebook aufzurufen. Unter der Rubrik „von anderen Personen verwendete Apps“ kann dann manuell festgelegt werden, welche Daten weitergegeben werden dürfen. Insoweit besteht auch die Möglichkeit, (eigenen und fremden) Apps den Zugriff gänzlich zu verweigern.

Um ganz sicherzugehen, verbleibt allerdings nur eine Option: Facebook mittels Kontolöschung gänzlich den Rücken zu kehren. (vertiefend hierzu eine Nutzerumfrage seitens der ZEIT unter Quelle 8.)

VI.    Quellen

1. Die wichtigsten Antworten zum Facebook-Skandal, abrufbar unter: http://www.faz.net/aktuell/wirtschaft/diginomics/fragen-und-antworten-zu-facebook-und-cambridge-analytica-15505321.html (zuletzt abgerufen am: 17.05.2018).
2. Facebook in Erklärungsnot, abrufbar unter: http://www.zeit.de/digital/datenschutz/2018-03/cambridge-analytica-facebook-affaere-donald-trump-wahlkampf (zuletzt abgerufen am: 17.05.2018).
3. Ermittlungen gegen Wahlkampfhelfer von Donald Trump, abrufbar unter: http://www.zeit.de/digital/datenschutz/2018-03/cambridge-analytica-ermittlungen-datenschutzverletzungen-us-wahlkampf (zuletzt abgerufen am: 17.05.2018).
4. „Das kann existenzbedrohend für Facebook werden“, abrufbar unter: http://www.zeit.de/wirtschaft/2018-03/jan-philipp-albrecht-datenschutz-facebook-europa-regeln (zuletzt abgerufen am: 17.05.2018).
5. Justizministerin Barley kritisiert Facebook als „Netzwerk der Intransparenz“, abrufbar unter: http://www.handelsblatt.com/politik/deutschland/datenskandal-justizministerin-barley-kritisiert-facebook-als-netzwerk-der-intransparenz/21143874.html, (zuletzt abgerufen am: 17.05.2018).
6. Hat Facebook Hochverrat begangen?, abrufbar unter: http://www.zeit.de/digital/datenschutz/2018-03/datenskandal-facebook-gefahr-hugh-dubberly-eu-schutz-nutzerdaten (zuletzt abgerufen am: 17.05.2018).
7. Verdacht auf Zusammenarbeit mit Russland, abrufbar unter: https://www.n-tv.de/politik/Verdacht-auf-Zusammenarbeit-mit-Russland-article20437905.html (zuletzt abgerufen am: 17.05.2018).
8. Nur weil ich gehe, ändert sich ja nichts am Problem, abrufbar unter: http://www.zeit.de/digital/datenschutz/2018-03/facebook-nutzung-leserumfrage-datenmissbrauch, (zuletzt abgerufen am: 17.05.2018).
9. Barley fordert Aufklärung von Facebook, abrufbar unter: http://www.zeit.de/politik/deutschland/2018-03/datenmissbrauch-facebook-katarina-barley-deutsche-accounts-aufklaerung (zuletzt abgerufen am: 17.05.2018).
10. Cambridge Analytica suspendiert Chef Alexander Nix, abrufbar unter: http://www.zeit.de/digital/datenschutz/2018-03/datenanalyse-cambridge-analytica-alexander-nix-suspendiert (zuletzt abgerufen am: 17.05.2018).
11. Cambridge Analytica meldet Insolvenz an, abrufbar unter: http://www.sueddeutsche.de/digital/datenskandal-cambridge-analytica-meldet-insolvenz-an-1.3965541 (zuletzt abgerufen am: 17.05.2018).
12. So informiert Facebook die Nutzer nach dem Datenskandal, abrufbar unter: http://www.handelsblatt.com/unternehmen/it-medien/cambridge-analytica-so-informiert-facebook-die-nutzer-nach-dem-datenskandal/21160608.html (zuletzt abgerufen am: 17.05.2018).
13. Was ist eigentlich bei Facebook los?, abrufbar unter: http://www.sueddeutsche.de/digital/datenmissbrauch-was-ist-eigentlich-gerade-bei-facebook-los-1.3932349 (zuletzt abgerufen am: 17.05.2018).