Also doch: Facebooks Datenweitergabe an Cambridge Analytica war in Kanada falsch
Rund ein Jahrzehnt später steht fest, dass Facebook durch Datenweitergabe an Cambridge Analytica Kanadas Datenschutzrecht verletzt hat. Strafe gibt es keine.​
"... no user provided meaningful consent to all data disclosures by Facebook in the relevant period", sagt Kanadas Bundesberufungsgericht in einem Datenschutzprozess infolge des Cambridge-Analytica-Skandals. Denn Facebooks Nutzungsbestimmungen sind zu lang und zu vage. Das bedeutet: Facebook hat 2013 bis 2015 Daten von Nutzern ohne deren wirksame Zustimmung weitergegeben. Diese Feststellung konnte Facebook in den USA und GroĂźbritannien durch Zahlung von GeldbuĂźen vermeiden; in Kanada ist das nun gerichtlich festgestellt. Allerdings folgen daraus null Dollar Strafe.
Zudem stellt das kanadische Bundesberufungsgericht fest, dass Facebook die gesammelten Daten nicht ausreichend geschĂĽtzt hat, weil es die Datenschutzbestimmungen seiner Partner nie geprĂĽft hat. Das Gericht hebt ein anders lautendes Urteil der ersten Instanz auf. Ob aus dem neuen Urteil Auflagen fĂĽr Facebook folgen, ist offen. Eine Geldstrafe wird es jedenfalls nicht geben.
Im Vorjahr schien Kanadas Datenschutz noch am Fall Cambridge Analytica gescheitert. Das Bundesgericht in Ottawa urteilte, dass das Bundesdatenschutzbureau nicht nachgewiesen habe, dass Facebook keine wirksame Zustimmung der Nutzer eingeholt hat. Außerdem könne Facebook kein Vorwurf hinsichtlich der Datensicherheit gemacht werden, weil es für Datennutzung Dritter keine Verantwortung trage.
Wichtige Grundsatzentscheidungen
Dagegen hat das Bureau berufen. Mit Erfolg. Das Bundesberufungsgericht zerpflückt die erstinstanzliche Entscheidung und trifft dabei wichtige Grundsatzentscheidungen für den schwach ausgebildeten Datenschutz der Monarchie. Dazu gehört, dass Unternehmen entgegen der Annahme der unteren Instanz kein Recht (right) auf Datensammlung haben. Kanadas Datenschutzrecht gesteht ihnen lediglich ein Bedürfnis (need) zu, das aber mit dem Recht (right) der Nutzer auf Datenschutz abzuwägen sei.
Außerdem seien Verträge zwischen digitalen Plattformen und Nutzern anders auszulegen als klassische Verträge. Denn Nutzer haben keinen Verhandlungsspielraum, sie können nur abnicken oder aussteigen.
Darüber hinaus stellt das Gericht wichtige Leitlinien dafür auf, wie die Wirksamkeit datenschutzrechtlicher Zustimmungen nach kanadischem Recht zu bestimmten ist: Kontext, demographische Parameter des jeweiligen Users, die Art der Interaktion zwischen User und Datenverarbeiter, ob der Vertrag ausgehandelt oder einseitig vorgegeben wird, Deutlichkeit und Länge des Vertrages und seiner Klauseln, und wie etwaige Datenschutzeinstellungen voreingestellt sind. Hie zu kritisiert das Gericht Facebook dafür, dass es die Optionen generell in der datenschutzfeindlichsten Weise voreinstellt. Darüber hinaus könnten auch unconscionability (etwa gröbliche Benachteiligung, Sittenwidrigkeit) und Ungleichgewichte in der Verhandlungsmacht über Vertragsdetails relevant für die Beurteilung der Wirksamkeit von Zustimmungen sein.
Der Cambridge Analytica Skandal
Der im Jahr 2018 bekannt gewordene Datenmissbrauch durch Cambridge Analytica gehört zu den größten Skandalen in der Geschichte Facebooks. Das inzwischen insolvente britische Unternehmen Cambridge Analytica war auf regelwidrige Weise an Daten von 87 Millionen Facebook-Nutzern gelangt: Es hatte 2013 auf Facebook eine "Umfrage"-App unter dem Namen thisisyourdigitallife (TYDL) veröffentlicht, an der einige Tausend Facebook-Nutzer teilnahmen. Doch dank der damaligen Privatsphäre-Einstellungen des Datenkonzerns bekam Cambridge Analytica auch Zugang zu Informationen von deren 87 Millionen Facebook-Kontakten ("friends"). Diese Daten wurden in der Folge für manipulative Polit-Kampagnen missbraucht und verkauft.
In Kanada haben circa 272 Facebook-User TYDL genutzt. Doch damit bekam Cambridge Analytica auch die Facebook-Daten der Facebook-Friends. So bescherten 272 Teilnehmer die Daten von mehr als 600.000 Kanadiern, die nie gefragt wurden. Ähnlich in anderen Ländern: In Italien beispielsweise bescherten 57 Teilnehmer die Daten von weiteren 214.077 nichtsahnenden Italienern.
Als die Sache aufflog, beschwerte sich ein betroffener Kanadier beim kanadischen Bundesdatenschutzbureau (Office of the Privacy Commissioner, OPC). Dieses darf allerdings keine Strafen verhängen, sondern nur Empfehlungen aussprechen. Es empfahl, Facebook möge doch bitte
- Den Zugriff Dritter auf nicht benötigte Daten einschränken,
- Nutzer darüber informieren, welche Informationen eine Anwendung benötige und für welchen Zweck, und
- die Zustimmung der Nutzer zur Ăśbertragung dieser Daten einholen.
Doch selbst gegen diese lauen Empfehlungen wehrte sich Facebook vor Gericht und gewann in erster Instanz. Das Office of the Privacy Commissioner ergriff Rechtsmittel.