Was hat Facebook nach dem Datenskandal verändert?

von Annika Leister // Das Geschäftsmodell heißt weiter: Datensammeln. Schlupflöcher werden dabei ohne Skrupel ausgenutzt.

Nie stand Facebook härter in der Kritik als nach dem Skandal um Cambridge Analytica. Kein Wunder: Von dem Datenleck sind 87 Millionen Nutzer weltweit betroffen. Ihre Profil-Informationen wurden nicht etwa gehackt, sondern im ersten Schritt von einem App-Entwickler legal über eine Schnittstelle gesammelt, wie Facebook sie in der Vergangenheit zuhauf zur Verfügung stellte. Erst die Weitergabe der Daten vom Entwickler zur dubiosen Analysefirma Cambridge Analytica stellt für Facebook den Vertragsbruch dar.

Ins Bewusstsein der breiten Öffentlichkeit sickerte mit diesen Fakten so klar wie nie zuvor die Erkenntnis: Das hemmungslose Datenschürfen ohne Einwilligung der Nutzer ist Facebooks Geschäftsmodell – und von wem diese Daten verwendet werden, darüber hat der Konzern zum Teil so gut wie keine Kontrolle.

Für Facebook ein PR-Desaster, das den Börsenkurs in die Tiefe zog. Der Konzern entschuldigte sich per Pressemitteilung und in ganzseitigen Zeitungsannoncen. Facebook-Gründer Mark Zuckerberg stellte sich erstmals Befragungen im US-Kongress und im EU-Parlament und gelobte Besserung. Was aber hat Facebook seither tatsächlich verändert?

Aufgrund des Skandals: sehr wenig. Zwar verkündete Facebook, die Entwickler-Schnittstellen bereits 2014 beschränkt zu haben, in Zukunft alle Apps von Drittanbietern zu überprüfen, die ähnlich umfangreichen Zugang hatten wie im Cambridge Analytica Fall und spätestens bis Ende September dieses Jahres die viel kritisierte Zusammenarbeit mit externen Datenhändlern wie Acxiom beenden zu wollen.

Doch die für Facebook aus PR-Sicht glücklichste Fügung war, dass die europäische Datenschutz-Grundverordnung (DSGVO) Ende Mai verpflichtend in Kraft trat – nur knapp zwei Monate nach Bekanntwerden des Skandals. Die EU-Verordnung droht Großkonzernen bei Verstößen mit Strafen von bis zu vier Prozent des weltweiten Umsatzes. Seit Jahren hatte sich Facebook mit einem internationalen Team aus Entwicklern und Anwälten darauf vorbereitet. Viele der jüngsten Änderungen, die den Nutzern mehr Übersicht und Kontrolle über ihre Daten schenken sollen, standen deswegen ohnehin kurz davor, ausgespielt zu werden. Facebook bestreitet das nicht, im Gegenteil: Auch in den Anhörungen verwies Zuckerberg immer wieder auf die DSGVO, die viele Probleme beheben solle.

Die DSGVO-Forderungen „Privacy by Design“ (Datenschutz soll schon zentraler Bestandteil des Designs sein) und „Privacy by Default“ (die Standardeinstellungen sollen so datenschutzfreundlich sein wie nur möglich) führten zu der für Nutzer sichtbarsten Veränderung: Anstatt wie zuvor verteilt über mehr als ein Dutzend Unterseiten können Nutzer ihre Privatsphäre-Einstellungen jetzt gesammelt an einem Ort managen. Seither haben sie zum Beispiel die Möglichkeit, personalisierte Werbung relativ leicht abzuschalten, ihre persönlichen Daten herunterzuladen, sie von Facebook abzuziehen und an andere Anbieter zu übermitteln.

Allerdings nutzte der Konzern die DSGVO auch zum gegenteiligen Zweck: Die automatisierte Gesichtserkennung, die einst aufgrund massiver Proteste in Europa und Kanada zurückgezogen wurde, rollte der Konzern erneut aus. Einzige Änderung: Nutzer werden jetzt nach ihrem Einverständnis gefragt, bevor ihr Gesicht gescannt und mit allen Fotos abgeglichen wird, die ins Netzwerk geladen werden. Auch der Datenfluss zwischen Facebook und WhatsApp, zuvor von Datenschutzbeauftragten untersagt, hat sich seither verstärkt. Mit dem Argument, im Sinne der DSGVO Fake Accounts und Fake News auf Facebook bekämpfen zu wollen, werden jetzt Details wie Telefonnummer und Nutzungsinformationen zwischen den beiden Plattformen ausgetauscht.

Dennoch: Die DSGVO bringt mehr Transparenz für rund 370 Millionen Facebook-Nutzer aus der EU. Dank dem in der Verordnung verankerten „Marktortprinzip“ gilt: Selbst wenn ein Unternehmen nicht in der EU ansässig ist, muss es sich an die DSGVO halten, wenn es Waren oder Dienstleistungen innerhalb der EU anbietet. Facebook-Chef Mark Zuckerberg kündigte in einer US-Anhörung außerdem an, dass man die strengeren EU-Regeln weltweit zur Anwendung bringen wolle. Nur wenige Tage darauf aber wurde bekannt, dass Facebook die Vertragsbedingungen von Nutzern aus Afrika, Asien, Südamerika und Australien ändert, so dass ihre Daten nicht mehr wie zuvor der Zentrale in Irland zugeordnet werden, sondern der Zentrale in den USA. Auf diese Weise vermeidet Facebook, dass sich diese Nutzer vor Gericht ebenfalls auf die DSGVO und die extrem hohen Bußgelder beziehen können. Durch diese vermeintlich geringfügige Änderung gelten die DSGVO-Regeln für 1,5 Milliarden Menschen weniger – das sind 70 Prozent der Facebook-Nutzer weltweit.

An Facebooks Geschäftsmodell hat sich auch nach dem Skandal nichts geändert: Nach wie vor will der Konzern so viel wie nur möglich über seine Nutzer erfahren, um Werbung perfekt auf sie zuschneiden zu können – und damit Milliarden zu verdienen. Intransparenz ist zur Erhaltung dieses Systems ein wesentlicher Faktor.

Die überwiegende Zahl der Fragen bleibt deswegen weiterhin unbeantwortet: Mit welchem Recht und in welchem Umfang sammelt Facebook in sogenannten „Schattenprofilen“ Informationen über Menschen, die gar nicht bei Facebook angemeldet sind? Welche Akteure können über welche Wege Informationen, die von Facebook gesammelt werden, einsehen und einsetzen? Welche Algorithmen verwendet Facebook genau zur Big-Data-Analyse? Wie stark wird Facebook von politischen Gruppen genutzt? Und warum soll die Öffentlichkeit Zuckerberg glauben, dass man im Fall eines neuen Lecks sofort agieren und Betroffene informieren will – wo Facebook über Cambridge Analytica doch bereits seit zwei Jahren Bescheid wusste, ohne an die Medien zu gehen?

Mark Zuckerberg selbst sagte in einer Anhörung, es würde „Jahre“ benötigen, um Facebook im Sinne der Nutzer „zu reparieren“. Man muss zweifelnd hinzufügen: Wenn Facebook das denn überhaupt wirklich will.


Annika Leister ist Korrespondentin der DuMont-Hauptstadtredaktion in Berlin. Unter anderem für die Frankfurter Rundschau, die Berliner Zeitung und den Kölner Stadt-Anzeiger berichtet sie über soziale Netzwerke und deren Umgang mit Datenschutz. Ihr Volontariat absolvierte sie beim Kölner Stadt-Anzeiger und arbeitete im Anschluss in verschiedenen Print- wie Digitalredaktionen.