Manfred Kloiber: Der Datenskandal um Cambridge Analytica und die gesammelten Daten von 50 Millionen Facebook-Nutzern war eines der beherrschenden Themen in dieser Woche: Justiz- und Verbraucherschutzministerin Katarina Barley hat Facebook-Vertreter ins Ministerium einbestellt. Dorothee Bär, Staatsministerin für Digitalisierung, hat Facebook nachdrücklich gewarnt. Und immer wieder wurde in den politischen Debatten davon gesprochen, dass die ab dem 25. Mai geltende Europäische Datenschutzgrundverordnung (DSGO) solch einen Datenmissbrauch künftig verhindern würde. Stimmt das, Peter Welchering?
Peter Welchering: Die Datenweitergabe von Facebook an Cambridge Analytica war eindeutig illegal. Sie ist auch nach der Europäischen Datenschutzgrundverordnung illegal. Und die DSGO sieht dafür recht empfindliche Strafen vor, im Falle von Facebook könnte da eine Geldbuße bis zu einer Milliarde Euro verhängt werden. Auf der anderen Seite war die Datenweitergabe von Facebook an Cambridge Analytica nicht nur nach deutschem Datenschutzrecht illegal, sondern sie verstieß auch gegen ein Datenschutzabkommen zwischen der amerikanischen Federal Trade Commission, also der US-Handelsaufsicht, und Facebook. Und wenn wir uns da mal das Strafmaß anschauen, sind nach diesem Datenschutzabkommen bei unerlaubter Weitergabe von persönlichen Daten pro Einzelfall 40.000 US-Dollar als Strafe fällig. Macht im Falle Cambridge Analytica etwas über zwei Billionen US-Dollar. Mit anderen Worten: Schon nach amerikanischem Recht hat Facebook da eine viel höhere Strafe zu erwarten als nach der kommenden EU-DSGO.
Schwierige Beweislage bei Facebooks Rolle
Kloiber: Schauen wir uns mal die 88 Seiten der Europäischen Datenschutzgrundverordnung näher an. Wie wäre nach diesem Gesetzestext denn die Weitergabe von Facebook an Cambridge Analytica zu bewerten?
Welchering: Sehr unterschiedlich wäre die zu bewerten. Und das ist in der Diskussion der vergangenen Tage ein wenig zu kurz gekommen. Denn zunächst einmal liegt ja in einigen Fällen die Einwilligung der Nutzer vor, dass ihre Daten weitergegeben und weiterverarbeite werden dürfen. In diversen Fällen, nicht in allen Fällen, aber recht häufig haben Anwender der App "this is your digital life" ja ihr Einverständnis erklärt, dass ihre Daten weiterverarbeitet werden dürfen. Diese Fälle wären also nach der DSGO schon mal draußen. In den anderen Fällen müsste dann genau geklärt werden, welche der weitergegebenen Daten persönliche Daten sind und welche nicht. Da lässt die DSGO einige Schlupflöcher offen, zum Beispiel bei den dynamischen IP-Adressen.
Kloiber: Wenn die Datenschutzbehörden nach der Datenschutzgrundverordnung gegen Facebook ermitteln würden, um eine Strafe zu verhängen, wie sähe dann die Beweislage aus?
Welchering: Das ist ein weiteres Problem. Da gibt es die Aussage von Christopher Wylie, der das Ganze an die Medien gebracht hat. Die Aussage selbst ist ein Beweismittel. Aber damit ist noch nicht ausreichend bewiesen, dass Facebook bei diesem Daten Handel mitgemacht hat. Mark Zuckerberg behauptet ja nach wie vor, Facebook sei das Opfer. Da müssten also noch weitere Indizien ermittelt werden, dass und wie diese Datenweitergabe wirklich stattgefunden hat. Die Datenweitergabe müsste gerichtsfest nachgewiesen werden. Da bin ich mir bei der gegenwärtigen Indizienlage überhaupt nicht sicher, wie das ausgehen würde.
Kloiber: Aber immerhin können nach der Europäischen Datenschutzgrundverordnung europäische Behörden gegen Facebook ermitteln. Und Facebook kann sich nicht darauf zurückziehen, seinen Sitz in den USA zu haben.
EU- und US-Behörden blieben lange untätig
Welchering: Das ist tatsächlich neu und insgesamt ein Fortschritt bei der DSGO. Allerdings im Falle Facebooks bin ich mir da überhaupt nicht sicher, ob das etwas helfen würde. Zum einen hätte in der Vergangenheit schon gegen Facebook Europa ermittelt werden können. Die Europa-Zentrale von Facebook hat ihren Sitz in Dublin. Und selbst nach den recht laxen irischen Datenschutzbestimmungen wären nach dem Urteil vieler Datenschützer Ermittlungen gegen Facebook in Sachen Persönlichkeitsprofile erfolgreich gewesen. Zum anderen hätten auch die US-Behörden tätig werden können und müssen. Dass die Datenschutzbehörden nicht tätig geworden sind in der Vergangenheit hat natürlich auch damit zu tun, dass Facebooks Interessenvertreter hier Lobbyarbeit auf einem sehr hohen Niveau geleistet haben. Das hat sich Facebook sehr viel Geld kosten lassen. Meine Prognose für die Zeit nach dem 25. Mai, also wenn die EU-DSGO dann gilt, lautet: Es wird sich hier nicht viel ändern. Profilbildung und entsprechende Datensammelei werden auch weiterhin rechtswidrig stattfinden wie in der Vergangenheit.
Sonntagsreden oder Nachhaltigkeit?
Kloiber: Aber wir haben jetzt die Situation, dass Politiker fast aller Parteien ernsthafte Konsequenzen fordern. Eine so große Koalition pro Datenschutz ist neu. Das dürfte doch etwas verändern, oder?
Welchering: Ich fürchte, dass sich da nicht viel ändert. Die Weitergabe der Facebook-Profildaten ist jetzt durch Christopher Wylie hochgekocht. Das ist gut. Das hat zu Empörung geführt. Initiativen und Aktionen wie #deletefacebook zeigen ja, dass das für eine Menge Unmut gesorgt hat. Dem wollen die meisten Politiker jetzt Rechnung tragen. Und das müssen sie auch. Es geht um Sympathiepunkte. Aber die jetzt gehaltenen Sonntagsreden in Sachen Datenschutz werden schnell wieder vergessen sein. Und vor allen Dingen: Diese Sonntagsreden haben keine praktischen Auswirkungen. Facebook dürfte im Wesentlichen weitermachen wie bisher.
Kloiber: Peter Welchering über das Facebook-Debakel und welche Folgen es haben könnte. Danke.