Wie viele Menschen sind betroffen?
Am Mittwoch legte Facebook neue Zahlen vor: Das dubiose Datenanalyse-Unternehmen Cambridge Analytica (CA) sei unerlaubterweise an die persönlichen Daten von bis zu 87 Millionen Menschen gelangt. Bislang war in einer Recherche des britischen Guardian nur von 50 Millionen Personen die Rede gewesen. An der Umfrage hätten sich 65 Nutzer aus Deutschland beteiligt, sagte Facebook der Nachrichtenagentur dpa.
Über die Erfassung der Informationen von Freunden - auch durch Verbindungen zu Nutzern in anderen Ländern - könnten bis zu 309 815 Mitglieder aus Deutschland betroffen sein, sagt Facebook. Die weitaus meisten Betroffenen leben in den USA, dem sozialen Netzwerk zufolge könnten es 70,6 Millionen sein, räumte das Unternehmen am Mittwochabend ein. Dahinter folgen mit weitem Abstand die Philippinen mit fast 1,2 Millionen. Es handelt sich dabei allerdings nur um Schätzungen. Facebook erklärt - in äußerst kleiner Schrift und versteckt unter einer Grafik mit den Zahlen der Betroffenen pro Land: "Wir wissen nicht genau, welche Daten die App mit CA geteilt hat oder wie viele Menschen genau betroffen waren."
Worum geht es im Fall Cambridge Analytica?
Das Unternehmen gibt damit zu, dass das Ausmaß des Skandals weitaus größer ist als bislang bekannt. Ab dem 9. April erfahren Nutzer per Einblendung im News-Feed, ob sie zu den Geschädigten gehören.
Es ist die bisher schwerste PR-Krise für Facebook. Der Fall gilt Kritikern als Beleg, dass das Unternehmen die Daten seiner Nutzer nicht schützen kann. An das soziale Netzwerk können Dritte ihre Apps andocken und so Facebook-Nutzer erreichen. Von 2010 bis 2015 erlaubte das Unternehmen den Entwicklern dieser Apps, auch die persönlichen Daten von Nutzern zu erfassen, die diese Apps gar nicht selbst nutzen. Waren sie auch nur mit Nutzern der Apps befreundet, konnten ihre Daten ausgelesen werden.
Einer Enthüllung des Guardian vor zwei Wochen zufolge bastelte ein Entwickler einen Persönlichkeitstest namens "thisisyourdigitallife", bei dem 270 000 zu meist US-amerikanische Nutzer mitmachten. Aleksandr Kogan, der Forscher hinter der App erfasste auch die Daten von Millionen ihrer ahnungslosen Freunde und gab das Paket an Cambridge Analytica weiter. Später soll Facebook - obwohl das Unternehmen von der Weitergabe wusste - sich nicht darum gekümmert haben, dass diese Daten auch tatsächlich von Cambridge Analytica gelöscht wurden. Da Facebook allen Entwicklern diese Erfassung über einen längeren Zeitraum ermöglichte, könnte es Zehntausende andere Apps geben, die ähnlich problematisch mit Nutzerdaten verfuhren.
Es geht in dem Fall allerdings nicht um die extrem detaillierten Daten, die Facebook über seine Nutzer sammelt und geheim hält. Es geht um jene halböffentlichen Daten, die Nutzer auf ihren Profilen veröffentlichen: Geburtstag, Religion, politische Ausrichtung, Likes. Auch aus diesen lassen sich weitgehende Schlussfolgerungen über das Leben der Person ableiten.
Was hat Facebook bislang getan?
Bereits am Abend des 21. März, kurz bevor der Guardian und die New York Times ihre Recherchen veröffentlichten, kündigte Facebook sechs Maßnahmen an. Man werde Apps von Drittanbietern überprüfen; Nutzer informieren, deren Daten von der Persönlichkeitstest-App ausgelesen wurden; den Datenzugriff für Apps deaktivieren, die mehr als drei Monate lang nicht genutzt wurden; die Menge an Informationen beschränken, die andere Seiten und Entwickler erhalten; Nutzer auffordern, die Apps zu überprüfen, denen sie Zugriff auf ihr Konto gewährt haben. Zudem werde Facebook IT-Sicherheitsforscher belohnen, wenn sie Apps entdecken, die Nutzerdaten missbrauchen.
Einen Teil dieser Maßnahmen hat Facebook bereits umgesetzt. Die Software-Schnittstelle, über die die Persönlichkeitstest-App bis zu 87 Millionen Nutzerdaten abgreifen konnte, wurde bereits 2014 für alle neuen Apps stark eingeschränkt. Ab April 2015 konnten auch Entwickler, die diese Möglichkeit zuvor genutzt hatten, nicht mehr auf die Informationen zugreifen. Am Mittwochabend erklärte Facebook dann, welche Schnittstellen in Zukunft geschlossen oder überarbeitet werden sollen.
Außerdem wird Facebook seine umstrittene Speicherung von Anruf- und SMS-Verläufen auf bestimmten Android-Geräten limitieren, die Zusammenarbeit mit anderen Datenhändlern einschränken und Nutzer, auf deren Daten CA zugegriffen hat, ab kommendem Montag benachrichtigen. Ab sofort können Facebook-Nutzer nicht mehr per Handynummer oder E-Mailadresse gesucht und gefunden werden. Diese Funktion sei von "bösartigen Akteuren missbraucht" worden, schreibt Facebook. Ein Großteil der mehr als zwei Milliarden Facebook-Konten sei womöglich auf diesem Weg angezapft worden. Das bezieht sich aber nur auf öffentlich einsehbare Informationen, die jeder sehen konnte, der das Facebook-Profil des jeweiligen Nutzers besuchte.
Im Zuge der Aufregung um CA hat Facebook seine Privatsphäre-Einstellungen überarbeitet, damit Nutzer sich besser zurechtfinden. Zusätzlich wurden die Nutzungsbedingungen und die Datenrichtlinie umformuliert. Sie sollen jetzt leichter verständlich sein. Die Berechtigungen bleiben aber unangetastet. Dieser Veränderungen wurden oft als direkte Reaktion auf den Datenskandal gewertet - auch weil Facebooks PR-Abteilung diese Interpretation durch geschickte Formulierungen nahegelegt hatte. Tatsächlich handelt es sich um Maßnahmen, die bereits seit Monaten geplant waren.
Was passierte mit den Daten, die an Cambridge Analytica gingen?
Das Datenanalyse-Unternehmen Cambridge Analytica wurde von Alexander Nix und Trumps ehemaligem Wahlkampf-Chef Stephen Bannon gegründet. Bannon saß auch im Beirat des Unternehmens, der Milliardär und Trump-Unterstützer Robert Mercer ist einer der wichtigsten Investoren. Das bedeutet allerdings keineswegs, dass Cambridge Analytica mit Hilfe der Facebook-Daten Donald Trump die entscheidenden Stimmen gesichert hat. Tatsächlich ist unklar, ob diese Daten im US-Wahlkampf überhaupt zum Einsatz kamen.
Zwar war Cambridge Analytica eines von mehreren Unternehmen, das die Republikaner im Wahlkampf unterstützte. Doch als sich Alexander Nix damit brüstete, Trump zum Wahlsieg verholfen zu haben, nannte Brad Parscale, der Trumps Digitalstrategie verantwortete, diese Behauptung " unglaublich falsch und lächerlich". Das sei ein "maßlos übertriebener Marketing-Pitch". Mittlerweile sagt auch Cambridge Analytica selbst, dass keine der Facebook-Daten im US-Wahlkampf eingesetzt wurden. Außerdem handle es sich nicht um 87 Millionen, sondern lediglich um 30 Millionen Nutzerkonten. Nachprüfen lässt sich diese Behauptung bislang nicht.
Ließen sich mit den Daten Menschen manipulieren?
Ob Cambridge Analytica tatsächlich massiv Menschen manipulieren kann, ist zweifelhaft. Dass das funktioniert, behaupten eigentlich nur das Unternehmen selbst und Christopher Wylie, der ehemaligen Mitarbeiter und Kronzeuge der Guardian-Story. CA versucht, digitales Microtargeting mit sogenannten psychometrischen Methoden zu koppeln und so Wähler zu manipulieren.
Erst wird der Persönlichkeitstyp der Menschen anhand ihrer Daten aus sozialen Medien ermittelt, und ihnen dann gezielt Wahlwerbung gezeigt, die diesen Typ ansprechen soll. Aber dass mit der Technik gezielt Facebook-Nutzer in Massen dazu gebracht werden können, ihre politische Meinung zu ändern, geben die Studien, die es zum Thema gibt, nicht her. Auch Aleksandr Kogan, der Wissenschaftler, der den Persönlichkeitstest erstellte, nannte die damit gesammelten Daten unbrauchbar für politisches Microtargeting.
Wie gut sind deutsche Nutzer geschützt?
Facebook hat keinen Firmensitz in Deutschland, daher sind sich Rechtsexperten uneins, ob das deutsche Datenschutzrecht überhaupt für das Unternehmen gilt. Bislang war nur das irische Datenschutzrecht anwendbar, weil sich die europäische Niederlassung in Dublin befindet. Das amerikanische Datenschutzrecht schützt die Nutzer wesentlich schlechter als das deutsche. So dürfen in den USA Nutzerdaten verkauft, weitergegeben und für Targeting genutzt werden.
Deutsche Nutzer sind bislang auch deshalb besser vor Datenmissbrauch geschützt, da es hierzulande keine öffentlichen Wählerverzeichnisse gibt, in den Name, Adresse, Alter, Geschlecht und das bisherige Wahlverhalten gespeichert sind. Die wurden und werden in den USA wiederum mit anderen Daten zu detaillierten Persönlichkeitsprofilen zusammengestellt, zum Beispiel durchUS-Marketingfirmen wie Acxiom. Auch deren Daten nutzte CA und kombinierte sie mit anderen Datensätzen.
Wenn allerdings Ende Mai die Datenschutz-Grundverordnung (DSGVO) in Kraft tritt, dann gilt diese für alle europäischen Facebook-Nutzer. Es verstößt dann gegen das Datenschutzrecht, Daten von Nutzern ohne deren Einwilligung an Dritte weiterzugeben. Nutzer müssen dem also ausdrücklich zustimmen. So ist auch der Hamburger Datenschutzbeauftragte Johannes Caspar der Ansicht, dass eine explizite Einwilligungserklärung ("Opt-in") durch den Nutzer notwendig sei, bei der die entsprechenden Felder aktiv ausgewählt werden müssen. Ein Verstoß soll dann mit hohen Bußgeldern belegt werden. Bei größeren, international agierenden Unternehmen kann das bis zu vier Prozent des weltweiten Jahresumsatzes ausmachen.
Eventuell will Facebook selbst die strengen EU-Regeln weltweit anwenden. So sagte Facebook-Chef Mark Zuckerberg, dass derartige Regulierungen sehr positiv seien. Man wolle personenbezogene Daten auch außerhalb der EU besser sichern: "Wir legen immer noch die Details fest."
