In den Wochen seit den Enthüllungen über den unverantwortlichen Umgang mit Daten bei Facebook hat der US-Kongress zwei überraschende Entdeckungen gemacht. Erstens, dass sie für eine Regulierung des Datenschutzes sind. Zweitens, dass es in Europa bereits eine solche Regelung gibt.
Dabei handelt es sich natürlich um die Allgemeine Datenschutzverordnung – besser bekannt als GDPR -, die am 25. Mai 2018 in Kraft tritt. (In Großbritannien wird es von einem fast identischen Datenschutzgesetz widergespiegelt.) Und für einen langjährigen Beobachter ist es bizarr, dass es so viel Aufmerksamkeit erregt. Als GDPR zum ersten Mal verabschiedet wurde, haben die US-Kommentatoren es als ein Stück eifersüchtigen Protektionismus abgetan. Jetzt fordert die New York Times ähnliche Regeln in ihren redaktionellen Seiten.
Um die Tonänderung zu beobachten, sehen Sie sich die Aussagen von Mark Zuckerberg an. Unter dem Druck, Maßnahmen zum Datenschutz zu ergreifen, kündigte Zuckerberg – der sich 2010 daran erinnerte, dass der Datenschutz keine „soziale Norm“ mehr sei – am 2. April an, dass er den Schutz des GDPR auf alle Nutzer von Facebook „im Geiste“ ausdehnen wolle. Niemand wusste genau, was das bedeutete – „Wir nageln immer noch Details fest“, sagte Zuckerberg zu Reuters – und der Rückschlag war schnell. Op-eds wurden verfasst; Tweets wurden abgefeuert; US-amerikanische und europäische Verbrauchergruppen stellten Forderungen in offenen Briefen. Einige Tage später gab Zuckerberg einen entschuldigenden (wenn auch noch sehr unklaren) Rückzieher heraus.
Irgendwie hat sich GDPR, Fluch der IT-Abteilungen und Verkaufsinstrument der zweifelhaften „Sicherheitsberater“, zu einem politischen Sammelpunkt entwickelt. Es ist ein bisschen so, als ob Ihre Personalpolitik im Büro zum Schlüsseltext einer revolutionären Bewegung geworden wäre.
Zuckerberg wird heute und morgen vor dem Kongress und dem Senat erscheinen, um Fragen zu den anhaltenden Problemen von Facebook zu beantworten – wo zweifellos die Datenschutzpolitik weitergehen wird. Für diejenigen, die mit diesen Sitzungen nicht vertraut sind, stellen Sie sich eine Pantomime vor, nur mit shoutier Frauen. Jeder Senator braucht viereinhalb Minuten, um eine Frage zu stellen, die ihnen einen Platz in den Nachrichten verschafft. Der CEO nimmt eine Tracht Prügel, aber wenn er nicht etwas wirklich katastrophales sagt, kommt wenig Substanz heraus.
Facebook’s GDPR Probleme
Um zu sehen, wie wichtig GDPR für Facebook ist, müssen Sie nur bis ganz unten in den Datenschutzdokumenten des Unternehmens scrollen, wo es Postadressen für „Fragen zu dieser Richtlinie“ vorschlägt. Amerikanische und kanadische Nutzer werden auf den Menlo Park Campus der Firma geleitet. Alle anderen werden auf das irische Hauptquartier von Facebook am Grand Canal Square in den Docklands von Dublin hingewiesen.
GDPR umfasst nicht nur Personen mit Sitz in der Europäischen Union, sondern auch Daten, die dort verarbeitet werden. Da sich die globale Datenverarbeitungseinheit von Facebook in Irland befindet, unterliegt jeder Nutzer außerhalb der USA und Kanadas den Nutzungsbedingungen. Am 25. Mai bekommt jeder von Australien bis Simbabwe neue Rechte.
Im Gegensatz zu vielen anderen Unternehmen fehlt es Facebook nicht an juristischem und technischem Know-how. Dennoch könnte die drohende Beaufsichtigung von GDPR ein echtes Problem für das soziale Netzwerk sein, sagt Technologiepolitikforscher Michael Veale. „Facebook wird es sehr einfach finden, sich auf einer grundlegenden Ebene zu bewegen. Die Frage ist, dass das Gesetz ziemlich tief in ihr Geschäftsmodell eindringt.“
So bietet beispielsweise das „Daten-Download“-Tool Facebook Nutzern, die wissen wollen, was das Unternehmen über sie weiß. „Das gibt Ihnen eine Menge Informationen über sich selbst“, sagt Veale. „Es gibt Ihnen nicht alle Informationen, ganz klar.“
Facebook hat eine Aufzeichnung von jedem Gleichen, jedem Klick, jeder Interaktion auf seiner Website, sowie die Schlussfolgerungen, die aus diesen Daten gezogen werden, um Menschen nach Klasse, politischer Zugehörigkeit oder Kaufkraft zu kategorisieren.
Die irische Verbindung
Es wäre eine Ironie, wenn der Wohnsitz von Facebook in Irland es in Schwierigkeiten bringen würde, denn als das Unternehmen 2008 dorthin zog, sollte es teilweise die schwache Durchsetzung des Datenschutzes ausnutzen. „Bis vor kurzem befand sich der Regulator über einem Supermarkt in einer verfallenen Stadt namens Portarlington“, erinnert sich Veale. „Es hatte etwa zehn Praktikanten und vier voll ausgebildete Leute, und Facebook kam herein und schrieb die Regeln. Es war verrückt.“
Seitdem haben sich die Dinge professionalisiert, aber Irland hat immer noch den Ruf einer unternehmensfreundlichen Regulierung, und es bleibt unklar, ob Fragen über den genauen Inhalt des Daten-Downloads von Facebook ausreichen werden, um regulatorische Maßnahmen einzuleiten.
„Mein allgemeines Verständnis ist, dass Datenschutzbehörden keine Polizei sein wollen“, sagt Sandra Wachter, wissenschaftliche Mitarbeiterin am Oxford Internet Institute. „Das Gesetz will ein Gleichgewicht zwischen den Geschäftsinteressen finden.
Es war nicht einfach, Daten aus Facebook herauszuholen. Bei der Anhörung des Parlamentsausschusses zum Cambridge Analytica-Facebook-Skandal im vergangenen Monat beschrieb Paul-Olivier Dehaye, Mitbegründer von PersonalData.IO, seine „Jahre“ des Kampfes, seine persönlichen Daten aus dem Unternehmen zurückzuholen. Schließlich gab ihm Facebook den ersten „Daten-Download“ von Werbetreibenden mit seinen Kontaktdaten – allerdings nur für einen Schnappschuss von acht Wochen.
GDPR erlaubt es Unternehmen, ein „legitimes – meist kommerzielles – Interesse“ an der Offenlegung von Daten geltend zu machen. Wird diese Verteidigung ausreichen? Wachter ist sich nicht sicher. „Es wird Aufgabe der Datenschutzbehörde sein, darüber zu entscheiden und ein Gleichgewicht zwischen Unternehmen und Verbrauchern zu finden. Es gibt keine Präferenz im Gesetz. Es kommt auf den Einzelfall an.“
Ein Fall von Wettbewerb
Viele Beobachter glauben, dass GDPR ihre Position stärken wird, anstatt Facebook, Google und ähnliches zu untergraben. Wie Analytiker Ben Thompson es ausdrückt: „GDPR wird ein Schmerz für Google und Facebook sein, aber es wird für viele ihrer Konkurrenten tödlich sein, was bedeutet, dass die digitalen Werbeeinnahmen nach GDPR…. an Facebook und Google gehen werden.“
Der Beweis für diese These kam, als Facebook kürzlich Datenmakler wie Axciom und Experian aussperrte und ihre Aktienkurse stark zurückgingen. Ein Axciom-Vorstandsmitglied warf Facebook vor, den Skandal „zur Konsolidierung der Macht über das offene Netz“ zu nutzen.
Doch Veale argumentiert, dass diese Konsolidierung die größte Schwäche von Facebook sein könnte. Die Entscheidung, Daten-Broker zu entfernen, bedeutet zum Beispiel, dass das soziale Netzwerk selbst Werbung machen muss. „Dann haben Sie einen einzigen Flaschenhalspunkt, an dem Sie als Regulierer eingreifen und sagen können, Sie können auf diese Gründe zielen, aber nicht auf diese, und bitte zeigen Sie statistisch, wie Sie diesen Prozess managen“, sagt er. „Aus Sicht der Zentralisierung der Transparenz ist das sehr interessant.“
Dehaye machte einen ähnlichen Punkt wie das Commons Select Committee, als er die Gründe für den „unverhältnismäßigen Aufwand“ von Facebook erläuterte. Er argumentierte, dass sich das Unternehmen für eine weitere Reihe von Gesetzen öffnen könnte, die einst von amerikanischen Beobachtern angeprangert wurden: die Wettbewerbsregulierung.