Die inzwischen insolvente Datenanalyse-Firma Cambridge Analytica soll unrechtmäßig Daten von Millionen Facebook-Nutzern erworben, verarbeitet und für politische Zwecke missbraucht haben. Von dem Datenmissbrauch sollten nach bisherigen Schätzungen bis zu 87 Millionen Facebook-Nutzer betroffen sein. Darunter wohlmöglich auch bis zu 310.000 Betroffene aus Deutschland und mehrere Millionen aus Europa. Ende Juni gab Facebook-Manager Steve Satterfield europäischen Facebook-Nutzern bei einer Anhörung im Brüsseler Europaparlament aber vorerst “Entwarnung“. Für eine abschließende Beurteilung müsse man jedoch erst die Computer von Cambridge Analytica untersuchen, relativierte Setterfield letztlich seine Aussage. Hierzu brauche man noch die Zusage des britischen Datenschutzbeauftragten.

Hintergründe zum Datenmissbrauch um Cambridge Analytica  

Mitte März hatten der Observer (Guardian) und die NY Times berichtet, dass die Datenanalyse-Firma Cambridge Analytica durch die Kollaboration mit Psychologieprofessor Dr. Aleksandr Kogan illegal an den FB-Datensatz gelangt ist. Kogan hatte parallel zu seiner Tätigkeit an der Universität Cambridge eine Psychotest-App namens „This is your Digital Life“ entwickelt und 2014 bei Facebook unter seiner Firma Global Science Research für wissenschaftliche Zwecke angemeldet. Bei der App beantworteten die Nutzer Fragen, um ihre Persönlichkeitseigenschaften analysieren zu lassen. Daraus erstellte Kogan mithilfe des sogenannten OCEAN-Modells psychologische Profile, die Rückschlüsse auf deren Bedürfnisse und Ängste sowie Verhalten zugelassen haben sollen. Nicht nur die Nutzer der App konnten so kategorisiert werden, sondern auch deren Freunde, die ihnen statistisch ähneln. Die mit der App gesammelten Daten leitete Kogan an Cambridge Analytica weiter und widersetzte sich so den Vertragsrichtlinien von Facebook, die die Weitergabe von Daten an Dritte untersagen.  

Laut Facebook wurde die App von circa 270.000 Personen heruntergeladen. Sprich hier hatten die Nutzer den Nutzungsbedingungen bzw. der Datenweitergabe zugestimmt. Durch ein damaliges Feature von Facebook (2015 eingestellt) wurden Kogan aber auch zusätzlich die Daten aller Facebook-Freunde der Nutzer übermittelt, wenn deren Privatsphäre-Einstellung dies zuließ.  

Kann Big Data politische Wahlen beeinflussen?

Cambridge Analytica hat damit geworben, mithilfe von Big Data und psychometrischer Analysen das Wahlverhalten von Menschen beeinflussen zu können. Das Unternehmen hat Donald Trump im US-Wahlkampf 2016 beratend unterstützt und in der Vergangenheit immer wieder behauptet für dessen Sieg verantwortlich zu sein. Der ehemalige Mitarbeiter und Whistleblower Christopher Wylie wirft der Firma vor, anhand der illegal erworbenen Facebook-Daten die US-Wahl manipuliert und eine Rolle beim Brexit in Großbritannien gespielt zu haben: „(W)hatever we think this target profile would be receptive to we would create content on the internet for them to find – until they come to think something differently.“

Ob und in welchem Maß Cambridge Analytica anhand psychometrischer Analysen mittels Big Data (Microtargeting) tatsächlich Wahlergebnisse beeinflusst hat, bleibt in beiden Fällen noch zu prüfen. Seit der Enthüllung ermittelt die britische Datenschutzbehörde Information Commissioner’s Office (ICO) sowie die Staatsanwaltschaft des US-Bundesstaats Massachusetts gegen die Datenanalysefirma. Kritiker halten die Wirksamkeit der Methoden der Analysefirma allerdings für höchst fraglich:

Zum einen gilt das in der App angewandte Persönlichkeitsmodell (OCEAN) in der Wissenschaft als umstritten. Laut dem Psychologie-Professor David Funder von der University of California kann die Persönlichkeit eines Menschen anhand von gerade mal fünf Dimensionen nur sehr oberflächlich und nicht besonders tiefgreifend erfasst werden. Funder selbst arbeitet mit einem Modell, dass mehr als 100 Persönlichkeits-Dimensionen erfasst. In einem Interview mit CNN sagte Kogan, dass sich anhand der Facebook-Daten keine Rückschlüsse auf Individualebene ziehen ließen und Cambridge Analytica wohl versucht habe einen Mythos zu verkaufen.

Zum anderen wird kritisiert, dass sich Menschen anhand weniger psychologischer Merkmale in Kombination mit Facebookdaten im Sinne eines „Stimulus-Response“-Modells in ihrer Meinung beeinflussen lassen sollen. In einem Bericht des Büros für Technikfolgen-Abschätzung beim deutschen Bundestag heißt es, dass die tatsächliche Einflussmöglichkeit des Microtargetings im Bereich Politik derzeit „ungewiss“ sei. Man gehe hier eher davon aus, dass sich mithilfe der Methode bereits bestehende Meinungen verstärken ließen. Dass Cambridge Analytica einen Manipulations-Algorithmus bzw. ein wie Wylie es nennt „psychological warfare tool“ entwickelt habe, sehen Kritiker als übertriebene Selbstdarstellung und Selbstvermarktung.  

Sascha Lobo spricht vor diesem Hintergrund von einem „übertriebener Glaube an die Macht der Technik“, da dem Algorithmus magische Fähigkeiten zugeschrieben werden. Auch wenn es zweifelsohne eine Macht der Daten gäbe, so dürfe man nicht Pauschalisierungen zum Opfer fallen, sondern müsse nach präzisen Erklärungen und Kausalzusammenhänge fragen, so Lobo.       

Doch auch wenn Cambridge Analytica keinen Einfluss auf die US-Wahl 2016 gehabt haben sollte, so warnen Justin Hendrix (NYC Media Lab) und Prof. David Carroll (Parsons The New School of Design, New York) in einem Artikel der Technology Review vor der nächsten Generation des Targetings: „(D)erartige Technologien werden rasch weiterentwickelt – schneller als Wissenschaftler ihre Auswirkungen analysieren und erst recht schneller, als die Politik reagieren kann. Die nächste Generation solcher Anbieter wird deshalb fast mit Sicherheit die Versprechungen einhalten.“ Wichtig sei es, sich im Informationsökosystem mit den schädlichen Folgen für die Gesellschaft auseinanderzusetzen und Maßnahmen zu beschließen. Um die Auswirkungen, die von Technologien wie Facebook, Google und Co ausgehen besser verstehen zu können, brauche es hier vor allem mehr Transparenz, so die Autoren.

Welche Verantwortung trägt Facebook?

Facebook sieht sich mit dem Vorwurf konfrontiert, fahrlässig mit den Daten der Nutzer umzugehen. Aus einem Artikel der FAZ geht hervor, dass Facebook seit 2015 von dem Datenmissbrauch gewusst haben soll und daraufhin die App eingestellt sowie Kogan und CA dazu aufgefordert haben soll, die Löschung der Nutzerdaten schriftlich zu bestätigen. Ob Kogan und CA dem tatsächlich nachgegangen sind, wurde jedoch offenbar nicht weiter geprüft. Laut der Tagesschau soll Facebook im selben Jahr das Feature eingestellt haben, dass Drittanbieter erlaubte Daten von Menschen abzugreifen, die eine App gar nicht nutzten. Zuvor stand dieses Datenfenster jedoch fünf Jahre lang offen. Daher ist zu vermuten, dass es neben CA noch weitere Fälle dieser Art geben könnte.

Der Vorwurf, so der ARD-Digital-Experte Dennis Horn, dass Facebook gegen die Weitergabe sowie den Missbrauch der Daten nicht entschieden genug vorgegangen ist und die Nutzer nicht unmittelbar nach dem Wissen über den Vorfall informiert habe sei berechtigt.

Gegenüber Facebook werden auch Forderungen nach verbesserten Sicherheitsmechanismen laut: „Es scheint kaum Mechanismen zu geben [die] prüfen, ob Vertragsbestimmungen bei Datenzugang auch eingehalten werden. Hier muss die Sorgfalt unbedingt verbessert werden.“ sagte die Datenschutz-Expertin Nicola Jentzsch von der „Stiftung Neue Verantwortung“. Doch bei Forderungen wie diesen drängt sich die Frage nach der technischen Umsetzbarkeit der Datenkontrolle auf, sowie wer diese Kontrolle übernehmen soll.   

Die Anhörungen Zuckerbergs mit politischen Vertretern in Washington, London und Brüssel zeigte, welche Konsequenzen Facebook davon zu tragen hat: Keine. So sorgte das viel kritisierte Format in Brüssel für schnelle und bereits bekannte Antworten des CEOs, der nicht bereit war sich mit unangenehmen Fragen auseinanderzusetzen.

Auch wenn Facebook angibt die Weitergabe seiner Daten noch stärker regulieren zu wollen – laut Horn besitzt der Konzern Mittel sich vorher über die Auswirkungen seiner Geschäftspraktiken in Klaren zu werden und zeige bei dem Fall CA erneut eine Strategie der Verantwortungslosigkeit.

Welche Verantwortung tragen die Nutzer?

Der Hamburger Datenschutzbeauftragte Johannes Caspar weist gegenüber der FAZ darauf hin, dass ein möglicher Grund für die mangelnde Privatsphäre-Einstellung das Unwissen vieler Nutzer über diese Möglichkeit sowie deren Bequemlichkeit sei, sich mit dem Thema aktiv auseinanderzusetzen. Zudem kann vermutet werden, dass den meisten Nutzern – egal ob sie die App genutzt haben oder nicht – die mögliche Tragweite einer mangelnden Privatsphäre-Einstellung nicht wirklich bewusst ist. Jörg Pohle vom Alexander von Humboldt Institut für Internet und Gesellschaft sagt hierzu: „Facebook hat nur getan, wofür es von den NutzerInnen eine Einwilligung erhalten hat. Dass diese die verschiedenen Erklärungen, etwa die Data Policy, die Privacy Policy oder die Community Guidelines der Social Media-Plattform nicht gelesen haben, bevor sie in Facebooks Datenverarbeitung eingewilligt haben, ist sicher ein Problem – aber keines, für das Facebook verantwortlich ist. Die gleichen NutzerInnen haben auch die DSGVO nicht gelesen.“

Die Datenschutz-Expertin Jentzsch ist hier allerdings der Meinung, dass die Daten-Einwilligung der Nutzer bereits auf einer Täuschung beruhe. So sei den Nutzern meist nicht bewusst, welche Möglichkeiten der Datenanalysen es heute schon gibt: „Sie haben für redliche akademische Zwecke eingewilligt. Sie konnten wohl kaum annehmen, das auf Basis der Daten gezieltes politisches Targeting entwickelt werden kann, was psychologische Schwächen, Hoffnungen und Ängste von Wählern ausnutzt. In diesem Sinne sind sie getäuscht worden“, so Jentzsch.

Wie soll es weitergehen?

Wie am Mittwoch bekannt wurde, will die britische Datenschutzbehörde Facebook das höchste Bußgeld verhängen (500.000 Pfund, circa 565.000 Euro), das nach bisher geltendem britischen Recht möglich ist. Einer Absichtserklärung zufolge hat Facebook gegen zwei Datenschutzprinzipien des britischen Data Protection Act von 1998 verstoßen. So habe es ungerechtfertigt personenbezogene Daten verarbeitet und zum anderen versäumt, diese durch technische und organisatorische Maßnahmen vor unbefugter oder rechtswidriger Verarbeitung zu schützen. Zudem kritisiert die Behörde, dass Facebook nicht transparent gezeigt habe, wie die Daten abgeschöpft wurden. Die Strafe dürfte den Konzern mit einem Marktwert von 590 Milliarden Dollar kaum treffen. Das Strafmaß der seit Mai geltenden EU-Datenschutz-Grundverordnung hätte mit einem Bußgeld von bis zu vier Prozent des Jahresumsatzes für Facebook deutlich höher ausfallen können.  

Vera Jourová, EU-Kommissarin für Justiz, Verbraucherschutz und Gleichstellung, weist in einem Interview mit Zeit Online darauf hin, dass Cambridge Analytica nur die Spitze des Eisbergs ist und es wahrscheinlich noch mehr Fälle wie diesen gibt: „(I)ch glaube, dass die Dimensionen viel größer sind, dass Cambridge Analytica nur ein Unternehmen ist, das entdeckt wurde. (…) Das illustriert, dass es einfach um das große Geschäft mit unserer digitalen Identität geht.“