Nach Facebook-Skandal: Die Opferrolle soll nicht mehr funktionieren
Eine verschärfte Regulierung bleibt der Ansatz von Bundesjustizministerin Katarina Barley, nachdem sie sich infolge des Datenskandals mit Vertretern von Facebook in Berlin getroffen hat. Wesentlich härtere Strafen drohen Konzerne bei solchen Vorfällen aber schon, wenn im Mai die europäische Datenschutz-Verordnung in Kraft tritt.
Facebook will alle betroffenen Nutzer informieren
Bei dem Treffen mit der Ministerin in Berlin wiederholten die Vertreter von Facebook zunächst die bereits angekündigten Schritte, berichtet Spiegel Online. Anwesend waren demnach der europäische Cheflobbyist Richard Allan sowie weitere Mitarbeiter und Verbraucherschutzexperten.
Der Plan ist nun erst einmal, sämtliche Nutzer informieren, die von dem Cambridge-Analytica-Skandal betroffen sind. Insgesamt soll der Datensatz 50 Millionen Nutzer umfassen, gesammelt wurden diese durch die Quiz-App eines Forschers, der sowohl die Daten der App-Nutzer als auch die der Freunde sammelte. In Europa selbst sollen aber nur wenige Nutzer betroffen sein. Irritierend wirkt indes die Aussage, mit der die Facebook-Vertreter begründen, warum die betroffenen Nutzer erst jetzt informiert werden und nicht schon 2015, als Facebook von dem Datenmissbrauch erfuhr. „Hinterher ist man immer schlauer“, war laut Spiegel Online der Wortlaut in der internen Runde.
Barley will für die Zukunft aber sicherstellen, dass Digitalkonzerne wie Facebook besser überwacht werden. Versprechungen alleine würden nicht ausreichen. Die Nutzer müssten selbst in der Lage sein, eine informierte Einwilligung zu treffen, wenn ihre Daten verarbeitet werden. Facebooks Vertreter signalisierten in diesem Punkt ein Entgegenkommen, letzte Woche sprach auch schon Mark Zuckerberg von mehr Transparenz bei Werbung. Und ebenso wie die Bundesjustizministerin kündigten zuletzt auch weitere Regierungsmitglieder verschärfte Gesetze an.
Schärfere Gesetze kommen bereits im Mai mit EU-Datenschutzverordnung
Nutzer müssen allerdings nicht warten, bis der Bundestag neue Vorgaben beschließt. Damit wird es vermutlich noch dauern, entsprechende Vorschläge soll die Datenethik-Kommission im Bundestag erarbeiten. Was aber bereits ab dem 25. Mai dieses Jahres gilt, ist die Europäische Datenschutz-Grundverordnung. Diese erfasst zwar nicht mehr den aktuellen Datenskandal, in Zukunft könnte es für Unternehmen bei solchen Vorfällen aber teuer werden.
Auch Facebooks aktuelle Opfer-Behauptung würde dann nicht mehr ziehen, erklärt Volker Tripp, politischer Geschäftsführer von der Bürgerrechtsorganisation Digitale Gesellschaft, auf Anfrage von ComputerBase. Die Opfer-Argumentation hält Tripp ohnehin für absurd, weil „Cambridge Analytica letztlich nur genau das gemacht hat, worauf das Geschäftsmodell von Facebook ausgerichtet ist: Möglichst genaue Persönlichkeitsprofile der Nutzerinnen und Nutzer zu erstellen, um danach möglichst passgenaue Werbung ausspielen zu können“. Nur in diesem Fall eben im politischen Kontext. Dementsprechend unglaubwürdig wären daher die „Krokodilstränen“, die Marc Zuckerberg nun öffentlich vergießt.
Und mit der EU-Datenschutzverordnung würden sie ihm auch nichts mehr nützen. Tripp verweist dabei auf drei Aspekte, die in diesem Fall entscheidend sind: Zunächst sind Pauschaleinwilligung – sowie anscheinend bei der Quiz-App des Forschers – künftig nicht mehr zulässig. Vor allem bei den als besonders sensibel klassifizierten Daten, zu denen etwa die politische, sexuelle oder religiöse Orientierung zählen, ist sogar eine ausdrückliche Einwilligung erforderlich. Dabei muss die Datenschutzerklärung so einfach formuliert sein, damit die Nutzer auch tatsächlich wissen, in was sie einwilligen. Eine einfache Weitergabe ist also nicht mehr drin. Ebenso muss die Voreinstellung der Nutzerprofile künftig auf die Privatsphäre ausgerichtet sein, was umfassendes Datensammeln erschwert.
Eine Ausnahme ist hier, wenn es sich um Informationen handelt, die Nutzer selbst veröffentlicht haben oder die tatsächlich für die Forschung gedacht sind. Doch selbst dann besteht immer noch eine Informationspflicht, Nutzer müssen also erfahren, was mit ihren Daten geschieht. Außerdem muss ein Unternehmen noch kontrollieren, dass die Daten vor einer unberechtigten Verarbeitung oder Weitergabe geschützt sind. Facebook könnte sich – wie offensichtlich im Fall von der App des Forschers – nicht einfach auf eine pauschale Behauptung verlassen, sondern müsste explizit nach dem Forschungszweck fragen. „Die ‚Opfer‘-Argumentation würde also spätestens an dieser Stelle nicht mehr funktionieren“, so Tripp.
Geldstrafen von bis zu 4 Prozent des Jahresumsatzes
Sofern das der Fall ist, kann es für Konzerne wie Facebook teuer werden. Bei Verstößen sieht die EU-Datenschutzverordnung Geldstrafen von bis zu 4 Prozent des Jahresumsatzes vor. Facebook erwirtschaftete 2017 rund 40 Milliarden Euro, bei einem erneuten Datenmissbrauch kann also eine ordentliche Summe zusammenkommen.
Wie hoch diese genau ausfallen wird, lässt sich aber noch nicht sagen. Ausschlaggebend ist dafür, wie genau die Datenschutzbehörden und Gerichte die neuen Regeln interpretieren, wenn solche Fälle verhandelt werden. Klar ist aber: Einfach selbst die Opferrolle einnehmen ist künftig nicht mehr so leicht möglich.