„Die Mitglieder der Artikel 29 Arbeitsgruppe werden in diesen Prozess zusammenarbeiten.“ Diesen und zwei weitere Sätze enthält die Pressemitteilung von Andrea Jelinek, Vorsitzende der EU-Datenschutz-Arbeitsgruppe 29, die die nationale Datenschutzkommission CNPD vergangene Woche zum Facebook-Skandal auf ihre Webseite veröffentlichte – sie lässt wichtige Fragen offen.
Es geht um die laufende Untersuchung des Information Commissioner’s Office (ICO) in London der Hintergründe des jüngsten Facebook-Datenmissbrauchs. Seit Herbst vergangenen Jahres ermittelt die Behörde in dem Fall, der inzwischen ein mittleres Erdbeben ausgelöst hat – und weitere auslösen dürfte: Die britischen Datenschützer gehen dem Verdacht nach, das Votum zum Ausstieg aus der EU, das Brexit-Referendum, könnte durch gezielte Wähler-Manipulationen über illegal erlangte personenbezogene Daten beeinflusst gewesen sein. Im Mittelpunkt steht eine Datenfirma, Cambridge Analytica, die schon bei Donald Trumps Wahlsieg in den Vereinigten Staaten eine zweifelhafte Rolle gespielt haben soll.
Nachdem zwei Whistleblower gegenüber Journalisten der Tageszeitungen The Guardian und der New York Times ausgepackt hatten, ist der Skandal perfekt: Wie es scheint, hat Facebook im Wettbewerb um Marktanteile App-Entwicklern von Drittfirmen großzügigen Zugriff nicht nur auf die Stammdaten bestimmter Gruppen, sondern auch – ohne dass diese es wussten – auf deren Freunde und Freundesfreunde eingeräumt. Die britische Analysefirma Cambridge Analytica soll die Datensätze dann dazu benutzt haben, um mit einer Forschungs-App psychografische Profile von amerikanischen und britischen Facebook-Nutzern zu erstellen, um diese mit Falschinformationen und gezielten Werbekampagnen in ihrem Wahlverhalten zu beeinflussen. Facebook soll vom Missbrauch der Daten von rund 50 Millionen Facebook-Nutzern seit August 2016 Bescheid gewusst haben, ihn aber erst eingeräumt haben, nachdem Zeitungen davon Wind bekamen.
Seit der Enthüllung ist hektische Betriebsamkeit ausgebrochen: Die deutsche Justizministerin Katarina Barley zitierte Vertreter von Facebook Deutschland zu sich, um Erklärungen über den Vorfall und mögliche deutsche Betroffene zu erlangen und forderte, Unternehmen wie Facebook künftig deutlich strenger zu überwachen. Facebook-Chef Mark Zuckerberg soll vor dem Untersuchungsausschuss des britischen Unterhauses erscheinen, hat dies aber bisher nicht getan. Gleichzeitig läuft gegen ihn und seine Firma eine ähnliche Untersuchung vor dem Justizausschuss des US-Senats. Neuen Vorwürfen zufolge soll Facebook auf Android-Smartphones intransparent Verbindungsdaten von Telefonaten und SMS gesammelt haben, auch von Nutzern verworfene Videos wurden offenbar nicht, wie zugesagt, gelöscht. Kurz: Der Internetgigant steht unter Druck wie noch nie.
Ex-Pats in Luxemburg betroffen?
In Luxemburg wird derweil abgewartet – und das liegt nicht nur an den Schulferien. Die britischen Datenschützer erstatten der Artikel 29-Gruppe in Brüssel, in der sich die nationalen Datenschutzbehörden der EU-Mitgliedstaaten zusammengeschlossen haben, regelmäßig Bericht über die fortlaufenden Entwicklungen, zuletzt Ende März. Auch Luxemburgs Datenschutzkommission CNPD ist in der Gruppe vertreten und bekommt somit Analysen und Einschätzungen aus erster Hand. Aus dem letzten Debriefing ging besagte Solidaritätserklärung hervor.
Dass die Untersuchungen gegen Facebook und Cambridge Analytica auf weitere Mitgliedstaaten ausgedehnt werden, gilt als sicher, auch wenn noch nicht klar ist, wie deren Beiträge konkret aussehen, respektive welchen Umfang sie in den jeweiligen Ländern haben werden. „Wenn britische oder US-amerikanische Bürger mit Wohnsitz in Luxemburg betroffen wären, dann gibt es auch bei uns Untersuchungsbedarf. Wir warten diesbezüglich auf weitere Informationen aus London“, sagte Thierry Lallemang von der CNPD dem Land. Facebook hatte angegeben, etwa ein Prozent der Nutzer besagter Facebook-App stammten aus Europa. Der europäische Facebook-Hauptsitz ist in Irland, die dortigen Datenschützer haben angekündigt, eigenen Nachforschungen anstellen zu wollen. Weil Cambridge Analytica in London ansässig ist, untersucht die dortige ICO den Fall. Bisher liegen keine Ergebnisse vor, die ICO hat aber die Büroräume der Londoner Zentrale durchsuchen und Material sicherstellen lassen. Die Auswertung ist mühsam und wird einige Zeit dauern.
Doch Europas oberster Datenschützer, Giovanni Buttarelli spricht schon jetzt von einem möglichen „Skandal des Jahrhunderts“ und davon, die Enthüllungen könnten „lediglich die Spitze eines Eisbergs“ sein. Er hatte vor zwei Wochen angekündigt, um die Aufklärung der Affäre voranzutreiben, würden die nationalen Datenschutzbehörden in ganz Europa ihre Kräfte bündeln: „Keiner von uns wird es alleine schaffen. Eine gemeinsame Aktion ist nötig.“ Das heißt: Auf die Datenschützer in Luxemburg mit seiner Expat-Community werden aller Voraussicht nach Anfragen aus London nach Amtshilfe zukommen. Noch etwas sagte Buttarelli: Angesichts des rezenten Skandals müssten laufende Verhandlungen zum Datenschutz noch einmal genau unter die Lupe genommen werden.
CSV, DP, LSAP: Kein Microtargeting
In Luxemburg spielen die Protagonisten des Skandals nach jetzigem Kenntnisstand keine Rolle: Cambridge Analytica hat hierzulande keinen Sitz und auch die Mutterfirma SCL Group, jene international umtriebige Kommunikationsfirma, die sich auf die Nutzung der Verhaltensforschung in der Werbung spezialisiert hat und aus der laut Whistleblower Christopher Wylie Cambridge Analytica (CA) hervorgegangen sei, scheint in Luxemburg nicht als PR-Firma aktiv zu sein. Die drei Volksparteien haben die Analysedienste nicht in Anspruch genommen. Vom Land gefragt, verneinte die CSV Kontakt mit der Firma zu haben oder gehabt zu haben. Man habe auch „nicht den Willen“, mit solchen Firmen zusammenzuarbeiten, so CSV-Generalsekretär Laurent Seimetz. Facebook nutze man „in eigener Regie“, in dem man Inhalte poste und Annoncen schalte. Wählerprofile für Microtargeting, das gezielte Ansprechen kleiner und kleinster Wählergruppen, erstelle man nicht und habe „nicht vor“, dies zu tun.
LSAP-Kampagnenmanager Pascal Husting zufolge arbeite auch seine Partei weder „mit dieser, noch mit anderen Datamining-Firmen“ zusammen. Man habe „bis jetzt nicht auf bezahlbare FB-Funktionen wie Sponsoring oder Audience Trageting“ zurückgegriffen und erstelle auch keine Wählerpsychogramme. Claude Lamberty, Generalsekretär der Liberalen, schloss eine Zusammenarbeit mit Cambridge Analytica für seine Partei ebenfalls aus: „Wir beraten uns in punkto Facebook selbst.“ Wohl würden parteibezogene Inhalte gesponsort, diese würden aber erkennbar über die Verteilmöglichkeit „Luxemburg“ an DP-Follower verteilt. Lamberty wollte nicht ausschließen, dass einzelne DP-Politiker auf Facebook möglicherweise gezielt in ihrer Region politische Werbeanzeigen schalten, Microtargeting entlang soziodemografischer Kriterien schloss er jedoch aus. „Da steckt Luxemburg in den Kinderschuhen“, ist sich Lamberty sicher. Ähnlich Déi Gréng, deren Generalsekretär Dan Michels dem Land sagte, es gebe „keine versteckten Inhalte wie das berüchtigte Microtargeting“. Man mache zwar selbst ein „gewisses Targeting, aber nur mit „offiziellen Facebook-Bordmitteln (ohne beigekaufte oder gekreuzte Daten) und dieses nur eingeschränkt auf „klassischen grünen Posts“. Eine eigene App zu den Wahlen, die Zugang zu weiteren persönlichen Daten verschaffen könnte, haben weder Déi Gréng, die LSAP, noch die CSV oder DP entwickelt. So gesehen, haben alle Parteien Facebook für Werbezwecke entdeckt und nutzen es fleißig, aber offenbar nicht in dem Ausmaße, wie das in anderen Ländern und besonders in den USA der Fall ist. Parteien, Politiker und Ortsverbände sind auf Facebook präsent und versuchen gezielt, Inhalte zu streuen, Aufmerksamkeit zu erlangen und Wähler für sich zu gewinnen. Dabei setzen sie, so scheint es, in erster Linie Instrumente ein, die die Plattform legal bietet, um Botschaften auf Zielgruppen zuzuschneidern. Demnach würden, anders als in Deutschland wo Medienberichten zufolge die CDU,CSU und die Linkspartei mit sogenannten Darkposts experimentiert haben, die lediglich einer ausgewählten Zielgruppe angezeigt und nicht allgemein veröffentlicht werden, in Luxemburg bislang nicht eingesetzt.
Wenig Datenschutz-Bewusstsein
Ansonsten sind Gefahren, die durch die Weitergabe, das gezielte Ausnutzen oder die mangelhafte Absicherung persönlicher Daten entstehen können, vergleichsweise wenig Thema. Die Parlamentarier sind im Urlaub oder kennen sich nicht aus. Luxemburgs Medien stellen, außer Berichte zu den Enthüllungen in den USA und Großbritannien und mit Ausnahme des Radios 100,7 zu veröffentlichen, kaum eigene Nachforschungen an. Dabei gäbe es gute Gründe, den Datenschutz ganz oben auf die Tagesordnung zu setzen, nicht nur wegen des Facebook-Skandals: Wie nachlässig hierzulande mit dem Schutz sensibler Daten und dem Recht auf Privatsphäre umgegangen wird, wie wenig Bewusstsein für die Problematik herrscht, zeigen die verhaltenen Reaktionen auf Chamber-Leaks, wo persönliche Daten sowie geheime Sitzungsberichte an die Öffentlichkeit quasi ungeschützt auf dem Chamber-Server lagen. Außer dass die Staatsanwaltschaft nun ermittelt, hat das Datenloch kaum zu einer öffentlichen Reflexion über den Schutz von sensiblen Daten und Internetsicherheit geführt.
Das könnte sich rächen. Denn ab dem 25. Mai muss Luxemburg die Europäische Datenschutz-Grundverordnung umsetzen und mit ihr verschärfte Datenschutzbestimmungen (d’Land berichtete). Die Verordnung schreibt unter anderem vor, dass Einwilligungen, die Menschen für die Nutzung ihrer persönlichen Daten geben, informiert und freiwillig erfolgen müssen. Bislang lautete der Status quo eher, dass die wenigsten Nutzer wissen, wie ihre Daten genutzt und ob und an wen sie für welche Zwecke weitergegeben und verkauft werden. Privatfirmen und öffentliche Einrichtungen, die Daten verarbeiten und diese nicht ausreichend schützen, müssen Missbrauch und Leaks melden; Zuwiderhandlungen ziehen im schlimmsten Falle millionenschwere Geldstrafen nach sich.
Die Luxemburger Regierung hat den Gesetzentwurf zur Umsetzung der Datenschutz-Grundverordnung in nationales Recht im September vorgelegt. Die Reaktion der Datenschutzkommission auf den Text fiel in verschiedenen Punkten verhalten bis kritisch aus, teils weil die Regierung in Schlüsselfragen hinter den Möglichkeiten der Brüsseler Vorlage bleibt und beispielsweise Strafinstrumente der CNPD nur verwaltungsrechtliche Reichweiten, nicht aber strafrechtliche haben. Vergangene Woche veröffentlichte der Staatsrat sein Gutachten und seine Analyse fällt in wesentlichen Punkten ähnlich kritisch aus: 16 gelbe Karten verteilte das Hohe Gremium, davon mehrere mit der Begründung, die Regierung habe die Verordnung nicht voll umgesetzt.
Regierung hält sich bedeckt
Die Datenschutz-Grundverordnung hat jedoch eine in Luxemburg wenig beachtete, doch wichtige Schwester: die E-Privacy-Richtlinie von 2009 über Datenschutz und Vertraulichkeit der elektronischen Kommunikation, die derzeit neu verhandelt wird, weil sie sich bislang nur an herkömmliche Telefondienstleister wendete und soziale Netzwerke wie Facebook, WhatsApp und Co. ausblendete. Es geht einerseits um die Verschlüsselung von Kommunikationsdaten bei sozialen Netzwerken, aber auch um Regelungen zum Tracking, zu Telefonwerbung und Internettelefonie sowie zur Weitergabe von Kundendaten an Dritte. Über die Verordnung wird seit Monaten gestritten: Unternehmerfreundliche Positionen, die Wettbewerbsnachteile durch zu restriktive Datenschutzbestimmungen beim Zugang, der Sammlung und der Verarbeitung von Kundendaten befürchten, stehen Verfechtern einer besser geschützten Privatsphäre gegenüber.
Ein erster Vorschlag der EU-Kommission wurde vom zuständigen Rechtsausschuss des Europaparlaments in zentralen Punkten verschärft: Brower, Apps und andere Software dürfen nur mit datenschutzrechtlichen Grundeinstellungen ausgeliefert werden, für jede Weitergabe personenbezogener Daten muss die Zustimmung der Nutzerin eingeholt werden. Provider sind angehalten, eine Ende-zu-Ende-Verschlüsselung der Kommunikation vorzusehen, Werbebanner mit versteckten Analyse- und Spionageprogrammen, um das Such-, Lese- oder Kaufverhalten oder die Hardware von Nutzern auszuspähen, sollen verboten werden, der Einbau von Hintertüren in Sicherheitsanwendungen, wie sie europäische Polizeibehörden fordern, ist ausgeschlossen. In dem Ausschuss sitzt auch die Luxemburger LSAP-Abgeordnete Mady Delvaux, deren Fraktion den privacy by design-Ansatz unterstützt. Das Argument eventueller Wettbewerbsnachteile kontern die Befürworter eines hohen Datenschutzniveaus damit, der Verbraucherschutz sei selbst ein Wettbewerbsvorteil, mit dem Europa in der Welt punkten könne.
Wie es scheint sind die verbraucherfreundlichen Vorstellungen vieler EU-Parlamentarier jedoch manchen Regierungen der Mitgliedsländer ein Dorn im Auge. Die bulgarische Ratspräsidentschaft hat einen überarbeiteten Text aus der Schublade gezaubert, über dessen Lesart nun gestritten wird und der unter anderem vorsieht, ein zustimmender Klick möge als Einwilligung genügen, um beim Tracking die Datenweitergabe an Dritte zu ermöglichen. Dadurch könnten, so die Befürchtung von Datenschutz-Bürgerinitiativen European Digital Rights jene unerlaubten Datentransfers legalisiert werden, die derzeit im Zuge der Facebook-Enthüllungen ans Tageslicht kommen und für psychografishe Nutzerprofile missbraucht wurden. Die Änderungen wurden von der Nichtregierungsorganisation Statewatch veröffentlicht. Delvaux’ Büro wollte die geleakte Version nicht kommentieren, sondern Erläuterungen des Rats am 8. Juni abwarten.
Beobachter gehen davon aus, dass sich der Konflikt nach den Sommerferien erneut zuspitzen wird: Dann nämlich, wenn das EU-Parlament mit dem EU-Rat in die sogenannten Trilog-Verhandlungen eintreten wird. Unklar ist, ob sich Luxemburg dort für einen möglichst weitreichenden Schutt der Privatsphäre Luxemburger Online-Nutzer und für starke Verbraucherrechte einsetzen oder sie eher dafür optieren wird, Schutzbestimmungen etwas vager zu halten, um somit auch Luxemburger Firmen im digitalen Wettbewerb Vorteile einzuräumen.
Bisher ist diesbezüglich von Regierungsseite wenig zu hören: Eine Nachfrage im Staatsministerium wurde in die Luxemburger Vertretung nach Brüssel weitergeleitet. Dort hält man sich bedeckt. Wenn Worte aus Regierungskreisen fallen, dann sind es nichtssagende Floskeln wie, das Recht auf informationelle Selbstbestimmung gehöre geschützt und das Schutzniveau der EU-Datenschutz-Grundverordnung dürfe durch die Reform der EU-Privacy-Verordnung auf keinen Fall unterlaufen werden. Offenbar wartet man Präzisionen seitens der Ratspräsidentschaft – sowie Positionierungen insbesondere der Nachbarn Deutschland und Frankreich ab. Insider im Umkreis des EU-Parlaments, die Luxemburger Regierungsvertretern zum Austausch getroffen haben, taten sich schwer, danach die Luxemburger Verhandlungsposition wiederzugeben: Bisher seien inhaltliche Aussagen „wenig konkret“ gewesen, sagte ein Gesprächsteilnehmer dem Land. Die Argumentation Luxemburgs in dem brisanten Dossier kann auch nicht in Rats-Sitzungsprotokollen nachvollzogen werden: Sie werden nicht veröffentlicht, Positionen der Mitgliedstaaten sind streng vertraulich.
Analysten gehen davon aus, dass alles auf eine Konfrontation zwischen EU-Parlament, Ministerrat und Kommisision hinausläuft. Nicht ausgeschlossen ist, dass der Facebook-Skandal dazu führt, dass mit zunehmender Öffentlichkeit für eine an sich sperrige Problematik ein verstärktes Nachdenken einsetzt und Befürworter strengster Privacy-Regeln mehr Zulauf bekommen. Denn der Skandal zieht immer breitere Kreise: Mark Zuckerberg räumte diese Woche ein, nicht 50 Millionen, sondern 87 Millionen Facebook-Nutzer seien vom Missbrauch betroffen. Er sagte auch: Um die Fehler zu beheben, die zu dem Datenmissbrauch geführt hätten, würde seine Firma noch „Jahre brauchen“.
Schlüsseletappe für den Datenschutz
Die Datenschutz-Grundverordnung soll Regeln zur Verarbeitung personenbeszogener Daten durch private Unternehmen und öffentlichen Einrichtungen euorpaweit vereinheitlichen. Dabei geht es vor allem darumden Einzelnen leichteren Zugang und mehr Kontrolle über die eigenen Daten zu geben: Der Nutzer soll besser erkennen könnenwer seine Daten wo für welche Zeit speichertverarbeitet oder weitergibt. Dazu gehört auchdass datenverarbeitende Unternehmen und Stellen künftig verpflichtet sindDaten-Hacks oder Leaks schneller zu kommunizieren. Missbrauch und schlampiger Umgang mit Daten werden mit sehr viel höheren Geldbußen als bislang geahndet. Um eine bessere Kontrolle zu garantierenwird die Rolle der Dantenschutzbehörden europaweit deutlich gestärkt. Die Datenschutz-Grundverordnung soll am 25. Mai in Kraft tretenalso in nationales Recht umgesetzt werdenLuxemburg hinkt bislang im Zeitplan hinterher.
Im Zuge der neuen Datenschutz-Grundverordnung werden weitere Rechtsvorschriften angepasstdarunter die von 2009damals auf herkömmliche Telefondienstleister beschränkte E-Privacy-Richtlinie. Sie regelt unter anderem Voraussetzungen für das Online-Trackingaber auch die Verschlüsselung von Kommunikationsdaten und den Umgang mit Online-Werbung und ergänzt somit die Datenschutz-Grundverordnung in wesentlichen Bereichen (d’Land vom 23.12.16). Während das EU-Parlament die entsprechende Kommissionsvorlage in wichtigen Punkten verschärft und seine Änderungen mehrheitlich verabschiedet hatist die Position des Rats unklar. Neue Änderungsvorschläge durch die bulgarische Ratspräsidentschaft führen erneut zu teils heftigen Diskussionen um DefinitionenAnwendungsbereich und Lesart der Verordnung. Beobachter warnen davorInkohärenzen zwischen der E-Privacy-Verordnung könnten die strengen Datenschutzbestimmungen der Grundverordnung aushöhlen. Eigentlich sollte der Privacy-Reformtext ebenfalls zum 25. Mai in Kraft tretendas ist aber nicht mehr möglich. Es droht rechtlich ein ziemlich unübersichtliche Situationwenn die diesbezüglichen Regelungen der 27 (28) EU-Mitgliedstaaten in Kraft bleiben soll. ik