Big Data und Datenschutz am Beispiel Facebook

Inhaltsverzeichnis

Inhaltsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

Abkürzungsverzeichnis

1. Einleitung

2. Big Data und Datenschutz
2.1 Definition Big Data
2.2 Definition Datenschutz
2.3 Rechtsquellen des Big Data Datenschutzes
2.3.1 Datenschutzgrundverordnung
2.3.1.1 Regelungen für Unternehmen
2.3.1.2 Betroffenenrechte
2.3.2 ePrivacy-Verordnung

3. Facebook und Datenschutz
3.1 Facebook als Big Data
3.2 Facebook als Geschäftsmodell
3.3 Facebook und Cambridge Analytica
3.4 Facebook und Datenschutz im Zeitverlauf
3.5 Facebook-Nutzer und Datenschutz
3.6 Facebook und die Datenschutzgrundverordnung
3.7 Risken und Gefahren für Facebook-Nutzer

ABBILDUNGSVERZEICHNIS

Abb. 1 Vom 3V-Modell zum 6V-Modell

Abb. 2 Neues Facebook Design auf mobilen Geräten

Abb. 3 Der Cambridge Analytica - Skandal und die Folgen

Abb. 4 Zahlungsbereitschaft Datenschutz

TABELLENVERZEICHNIS

Tab. 1 Facebook als Big Data nach dem 3V-Modell

Tab. 2 Informiertheit und hypothetische Einwilligung

ABKÜRZUNGSVERZEICHNIS

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Daten werden heutzutage gemeinhin als die „Rohstoffe des 21. Jahrhunderts“ bezeichnet, denn die Digitalisierung ist inzwischen in sämtlichen Lebensbereichen angekommen und hat der ge­samten Wirtschaft zu einem Quantensprung verholfen [Spin18, 41]. Im Fokus der Öffentlichkeit stehen diesbezüglich vor allem Internetplattformen wie Google, Facebook oder Amazon. Diese (teilweise) neuartigen, riesigen Daten(mengen) führen aber auch zu entsprechenden Daten-Verteilungskämpfen, beispielsweise zwischen Versicherern oder Datenintermediären. Es verwundert daher nicht, dass sich unter anderem der Deutsche Juristentag mit den Auswirkungen der Digitalisierung auf das Zivil- oder das Arbeitsrecht beschäftigt. Dieses neue Zeitalter von Big Data Analysen geht nämlich einher mit neuen Datenschutz-Fragestellungen, wie zum Beispiel „Wem gehören diese entstehenden Daten?“ oder „Wer hat das Recht diese Daten zu nutzen?“. Die EU trägt diesen Datenschutz-Herausforderungen einerseits mit der neuen Datenschutz­grundverordnung (DSGVO) und andererseits mit dem Digital Single Market Package (DSMP) Rechnung. Das DSMP ist ein Arbeitsprogramm, das unter anderem das Copyright-Package und die geplante ePrivacy-Verordnung (ePrivacy-VO) enthält [Spin18, 41]. Die nachfolgende Arbeit nähert sich dem komplexen Thema „Big Data und Datenschutz“ am konkreten Big-Data Bei­spiel Facebook. In einem ersten Schritt werden zunächst die Begriffe „Big Data“ und „Datenschutz“ definiert und abgegrenzt. Im nächsten Schritt werden mit der DSGVO und der ePrivacy-VO zwei zentrale, teilweise zukünftige Datenschutz-Rechtsquellen vorgestellt. Der zweite Teil der Arbeit beschäftigt sich mit konkreten Datenschutz-Sachverhalten bei Facebook. Eröffnend wird dazu zunächst die Frage geklärt, ob und wieso es sich bei Facebook um Big Data handelt. Im Anschluss daran erfolgt eine kurze Vorstellung des Facebook-Geschäftsmodells. Im weiteren Verlauf wird dann der veränderte Umgang von Facebook mit Datenschutz-Themen im Zeitverlauf betrachtet. In diesem Zusammenhang wird auch der medial viel diskutierte „Cambridge Analytica (CA)“-Fall aufgegriffen und genauer beleuchtet. Die Arbeit betrachtet neben der Rolle des Unternehmens auch die Rolle des Facebook-Users im Hinblick auf dessen Verantwortung seinen eigenen Daten gegenüber. Außerdem werden die Risken und Gefahren vorgestellt, die sich für User aus mangelndem Datenschutz ergeben oder zukünftig ergeben könnten. Die Arbeit wirft zudem einen kurzen Blick darauf, inwieweit Facebook von der DSGVO betroffen ist und wie das Unternehmen darauf reagiert hat. Die Arbeit verfolgt neben dem Ziel dem Leser eine Einführung in die komplexe Thematik „Big Data und Datenschutz“ am Beispiel von Facebook zu geben auch das Ziel, das Auge des Lesers dafür zu schärfen, wie aus vermeintlich belanglosen Daten mit Hilfe von Big-Data-Analysen Informationen entstehen können, denen dann beispielsweise zugetraut wird, eine entscheidende Rolle in Wahlkämpfen zu spielen. Ein kurzes Fazit rundet die Arbeit ab.

2. Big Data und Datenschutz

2.1 Definition Big Data

Der Begriff „Big Data“ setzt sich aus den englischen Begriffen „big“ und „data“ zusammen. Wörtlich ins Deutsche übersetzt bedeutet dies „große bzw. umfangreiche Daten(menge)“. Be­züglich des Ursprungs und der erstmaligen Verwendung des Begriffes „Big Data“ herrscht in der Literatur keine Einigkeit. Zudem werden unterschiedliche Quellen genannt, die den Begriff in der aktuellen Verwendung geprägt haben könnten [KlTr13, 322]. Big Data ist im Marketing und insbesondere im Bereich CRM (Customer Relationship Management) zu einem viel ge­nutzten Schlagwort geworden. Der Deutsche Bundestag definiert Big Data als „ein Bündel neu entwickelter Methoden und Technologien, die die Erfassung, Speicherung und Analyse eines großen und beliebig erweiterbaren Volumens unterschiedlich strukturierter Daten ermöglicht“ [Horv13, 1]. Nach herrschender Literaturmeinung geht es bei Big Data insbesondere um das Volumen, die Geschwindigkeit und die Vielfalt der genutzten Daten, welche in der Literatur gemäß ihrer englischen Wortherkunft als die „3V’s“ beschrieben werden [Horv13, 1; KlTr13, 320; erstmals bei Lane01]. Dieses 3V-Modell geht auf eine Veröffentlichung von Doug Lanley aus dem Jahr 2001 zurück und beinhaltet die Parameter „Volume“, „Velocity“ und „Variety“ [Lane01].

Die Datenmenge (Volume) verdoppelt sich in etwa alle zwei Jahre. Das liegt einerseits an der fortschreitenden Digitalisierung des modernen Lebens und andererseits an den riesigen Mengen, die produziert werden. Bereits im Jahr 2013 wurden über 2 Trilliarden Bytes an Daten weltweit gespeichert [Horv13, 1].

Neben der Datenmenge wird der heutige Datenverkehr außerdem durch seine Geschwindigkeit (Velocity) gekennzeichnet [Horv13, 1]. Das Kriterium „Geschwindigkeit“ beinhaltet zwei As­pekte: Einerseits die enorme Rate, mit der Daten in den unterschiedlichsten Anwendungsfel­dern generiert werden und andererseits die Anforderung an die Verarbeitungszeit dieser entstehenden Daten [MoMA18, 97]. Während früher Daten in bestimmten Abständen anfielen, die eine sukzessive Datenverarbeitung möglich machten, ist man heute aufgrund von Vernetzung und elektronischer Kommunikation dem Datenfluss ununterbrochen ausgesetzt. Einlaufende Informationen müssen folglich immer schneller oder sogar in „Echtzeit“ verarbeitet werden [MoMA18, 97].

Das dritte Daten-Charakteristikum stellt die unterschiedliche Beschaffenheit (Variety) der Da­ten dar. Die unterschiedlichen Datenquellen sind oftmals vielfältig und komplex. So können beispielhaft soziale Netzwerke, Fotos, Videos, MP3-Dateien, Blogs, Suchmaschinen, Tweets, Emails, Internet-Telefonie, Musikstreaming oder Sensoren „intelligenter Geräte“ große Daten­mengen enthalten [Horv13, 1]. Das klassische 3V-Modell wurde in einem nächsten Schritt von IBM um das Kriterium der Datenzuverlässigkeit (Veracity) erweitert [FaBi12, 2; ZiRo12]. Daten stammen häufig aus verschiedenen Quellen und unterliegen daher gegebenenfalls Ein­schränkungen was Vollständigkeit, Qualität und/oder Genauigkeit betrifft. Aufgrund der Er­wartungshaltung an die Geschwindigkeit (Velocity) der Datenverarbeitung können die Daten oft auch nicht rechtzeitig bereinigt werden. Folglich haftet den gesammelten Daten regelmäßig eine gewisse Ungenauigkeit oder Unsicherheit an, die es zu berücksichtigen gilt [ZiRo12]. Demchenko [DeGr13] entwickelte den IBM-Vorschlag zum 5V-Modell weiter und ergänzte das Kriterium „Value“. Das Kriterium Value beschreibt den Mehrwert, den die Daten dem Prozess bzw. der Unternehmung generieren [DeGr13; FaBi12, 2]. Basierend darauf hat Microsoft das 5V-Modell zum 6V-Modell übergeleitet und das Kriterium „Visibility“ ergänzt [DeGr13]. Das Kriterium „Visibility“ beschreibt, dass man informationsbasierte Entscheidungen nur dann treffen kann, wenn man einen Gesamtüberblick über die Daten hat.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1 Vom 3V-Modell zum 6V-Modell [BuCa16, 9]

Abb. 1 fasst die Entwicklung vom 3V-Modell zum 6V-Modell graphisch zusammen. Anzumer­ken ist, dass das 6V-Modell keineswegs das Ende der Entwicklung darstellt. So spricht bei­spielsweise das IT-Beratungs-Unternehmen Transforming Data With Intelligence™ von 10V’s, die Big Data ausmachen (Vulnerability, Volatitlity, Visualization, Value, Validity, Veracity, Variability, Variety, Velocity, Volume) [Firi17].

2.2 Definition Datenschutz

Auf den ersten Blick betrachtet erscheint der Begriff „Datenschutz“ irreführend zu sein, da er der Wortherkunft nach zwei Bedeutungen haben kann:

- Schutz der (gespeicherten Daten) und ihrer Verarbeitung vor nicht gewünschtem Zu­griff (im Besonderen vor zweckwidrigem Missbrauch) oder Verlust [Witt10, 3].
- Schutz des Bürgers vor nicht gewünschten Folgen (im Besonderen durch zweckwidri­gen Missbrauch) durch den Zugriff auf (gespeicherte) Daten beziehungsweise des un­gewollten Datenverlusts [Witt10, 3].

Der erste Ansatz stellt die Voraussetzung für den zweiten Ansatz dar. Die erste Sichtweise kann insbesondere in Einklang mit dem Begriff „Datensicherheit“ gebracht werden [Witt10, 3]. Im weiteren Verlauf der Arbeit liegt der Schwerpunkt auf Datenschutz im Sinne der zweiten Sicht­weise. Aus Datenschutz-Sicht ist es wichtig zwischen personenbezogenen und nicht-personenbeziehbaren Daten zu unterscheiden [BaAp17, 1825]. Artikel 4 Absatz 1 der DSGVO definiert personenbezogene Daten als:

„ Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (…) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen (…), identifiziert werden kann “ [PaPa18, 26ff].

Aus der Definition lässt sich ableiten, dass auch aus Daten, die keinen unmittelbaren Personen­bezug beinhalten, personenbezogene Daten werden können. Es kann daher innerhalb der per­sonenbezogenen Daten zwischen unmittelbar personenbezogenen Daten und personenbezieh­baren Daten unterschieden werden [Witt10, 6]. Das europäische Datenschutzrecht besteht im Wesentlichen aus zwei Elementen, der DSGVO und der wesentlich weniger beachteten Epri­vacy-Richtlinie [Schl17, 460ff; Spin18, 43f; Woge17, 80ff]. Die DSGVO unterscheidet nicht zwischen unmittelbar personenbezogen Daten und personenbeziehbaren Daten, sondern fasst diese Daten unter dem Begriff „personenbezogene Daten“ zusammen. Nach geltendem Recht (de lege lata) besteht größtenteils Einigkeit, dass personenbezogene Daten durch die DSGVO geschützt werden [Spin18, 41f]. Nicht-personenbezogene Daten sind weder durch das Immate­rialgüterrecht noch durch das Urheberrecht geschützt. Auch die Datenbankschutz-Richtlinie schützt grundsätzlich nur die logische Struktur einer Datenbank als Investition und nur in Aus­nahmefällen die Gewinnung der Daten selbst [Wieb16, 877]. Ferner existieren grundsätzlich auch keine Eigentumsrechte an den Daten selbst. Die DSGVO kann im Hinblick auf personen­bezogene Daten nicht so interpretiert werden, dass sie Eigentumsrechte i.S.v. handelbaren Gü­tern für Daten bereitstellen würde. Die DSGVO gibt nach Art. 7 Abs. 3 Satz 1 Datensubjekten u.a. das unverzichtbare Recht ihre Einwilligung in die Datenverarbeitung jederzeit zu widerru­fen. Dieser Sachverhalt ist mit einem Eigentumsrecht schwer vereinbar [Spin18, 41f]. Ebenso lässt sich auch aus der Richtlinie über Geheimnisschutz kein Eigentumsrecht an Daten ableiten, da diese zwar Geschäftsgeheimnisse schützt, diese aber nicht als Ausschließlichkeitsrechte handelbar macht [Spin18, 41f].

2.3 Rechtsquellen des Big Data Datenschutzes

2.3.1 Datenschutzgrundverordnung

Durch die Veröffentlichung der DSGVO im EU-Amtsblatt vom 04.05.2016 wurde bekannt, dass diese ab 25.05.2018 gelten wird. Für die Umsetzung ergab sich für die Unternehmen folglich eine Frist von etwas mehr als zwei Jahren [Ehma18, 199; Thie18, 1]. Mit der Umsetzung der DSGVO verfolgte der Gesetzgeber vor allem eine Stärkung der Betroffenenrechte [EhKr18, 200]. Diese Rechte sind allerdings bis auf wenige Ausnahmen, wie beispielsweise dem Recht auf Datenübertragbarkeit (Art. 20 DSGVO) nicht neu [EhKr18, 200]. Im Folgenden werden einige zentrale Regelungen der DSGVO vorgestellt.

2.3.1.1 Regelungen für Unternehmen

Art. 30 DSGVO schreibt vor, dass Unternehmen ein Verzeichnis über die Verarbeitungstätigkeiten von personenbezogenen Daten vorzuhalten haben. Aus diesem muss hervorgehen, wo und wie im eigenem Unternehmen mit personenbezogenen Daten umgegangen wird [Bulk18; EhKr18, 199f]. Dieses Verzeichnis kann dann von Unternehmen genutzt werden, um sicherzustellen, dass die datenschutzrechtlichen Anforderungen (z.B. Wahrung der Betroffenenrechte, Meldung von Datenschutzverletzungen, usw.) im Unternehmen eingehalten werden [Bulk18; EhKr18, 199f]. Das Verzeichnis gibt ferner einen Überblick darüber, was mit personenbezogenen Daten von Kunden, Beschäftigten und anderen Personen im Unternehmen geschieht [EhKr18, 199f]. Die DSGVO verteilt in diesem Zusammenhang verschiedene Rollen wie z.B. „Verantwortlicher“ oder „Auftragsverarbeiter“ in Datenschutz-Sachverhalten. Je nach Rolle variieren die sich ergebenden Verpflichtungen. So muss beispielsweise nach Artikel 30 Abs. 1 Satz 1 DSGVO jeder „Verantwortliche“¹ sicherstellen, dass das Verzeichnis der Verarbeitungstätigkeiten vorhanden ist [EhKr18, 199f]. Die genauen inhaltlichen Anforderungen regelt Artikel 30 Abs.1 DSGVO. Auf die inhaltlichen Besonderheiten des nach Art. 30 Abs. 2 DSGVO durch den Auftragsverarbeiter² zu führenden Verzeichnisses [EhKr18, 199f] wird im Folgenden aber nicht weiter eingegangen.

Die DSGVO regelt außerdem, dass ein Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss, wenn bei einem „Verantwortlichen“ normalerweise mehr als neun Personen ständig Umgang mit personenbezogenen Daten haben [Bulk18; EhKr18, 200]. Weder das Erstellen noch das Führen des Verzeichnisses gehört zu den gesetzlichen Pflichtaufgaben des DSB [EhKr18, 200]. Diese Aufgaben können ihm jedoch unter gewissen Voraussetzungen nach Art. 38 Abs. 6 Satz 1 DSGVO übertragen werden. Die Einzelheiten sind in Art. 37 Abs.1 DSGVO und §38 BDSG 2018 geregelt [EhKr18, 200]. Diese werden aber hier nicht tiefergehend behandelt. Mit der Umsetzung der DSGVO verschärft der Gesetzgeber zudem die drohenden Bußgelder für Unternehmen bei Verstößen gegen die Datenschutzregelungen. Nach Art. 83 Abs. 6 DSGVO müssen Unternehmen künftig bis zu 20 Millionen Euro oder vier Prozent ihres Jahresumsatzes als Strafe zahlen [Bulk18]. Außerdem müssen in Zukunft die Unternehmen nachweisen können, dass sie regelkonform gearbeitet haben, da die Beweislast nun bei den Unternehmen liegt. Bisher mussten die zuständigen Behörden den Unternehmen die Verstöße nachweisen. Durch Art. 3 DSGVO gilt das Datenschutzrecht nun außerdem für alle Unternehmen, die auf dem europäischen Markt agieren, unabhängig davon, wo die Datenverarbeitung stattfindet oder ein Unternehmen seinen Firmensitz hat. Damit fallen nun auch Unternehmen ohne Sitz in der EU, die aber in die EU Waren oder Dienstleistungen liefern, in den Geltungsbereich der DSGVO. Diese Regelung wird als Marktortprinzip bezeichnet [Bulk18]. Art. 33 und Art. 34 der DSGVO regeln im Wesentlichen die Meldung von Schutzverletzungen. Nach Art. 83 Abs. 4 DSGVO stellen Verstöße gegen die Pflicht zur Meldung an die Aufsichtsbehörde und gegen die Pflicht zur Benachrichtigung der betroffenen Personen einen Bußgeldtatbestand dar [EhKr18, 201].

2.3.1.2 Betroffenenrechte

Das umfassende Auskunftsrecht gem. Art. 15 DSGVO ist weitestgehend mit dem bisherigen §34 BDSG vergleichbar. Neu ist, dass der Betroffene nun das Recht auf eine Kopie der personenbezogenen Daten hat, die verarbeitet wurden. Ferner muss der „Verantwortliche“ auf Verlangen der betroffenen Person eine Bestätigung darüber erteilen, ob überhaupt personenbezogene Daten verarbeitet wurden. Auch hier ist die Intention des Gesetzgebers, dass Verstöße wirksam, verhältnismäßig und abschreckend sanktioniert werden (Art. 83 Abs. 1 i.V.m. Abs. 5 DSGVO) [EhKr18, 201]. Die DSGVO regelt konkret, dass ein Betroffener innerhalb der gesetzlich vorgegebenen Frist von einem Monat (Art. 12 Abs. 3 Satz 1 DSGVO) das Recht hat zu erfahren, welche personenbezogenen Daten von ihm gespeichert wurden. In Ausnahmefällen kann die Frist zwei Monate betragen (Art. 12 Abs. 3 DSGVO) [EhKr18, 201]. Diese Auskunft wird den Unternehmen durch das in Kapitel 2.3.1.1 angesprochene Verzeichnis der Verarbeitung deutlich erleichtert. Art 12 Abs. 1 Satz 1 DSGVO legt zudem fest, dass die Übermittlung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln“ [PaPa18, 153] ist [EhKr18, 201]. Neu ist zudem, dass Nutzer aufgrund von Art. 20 Abs. 1 DSGVO ihre persönlichen Daten wie Fotos, Videos, persönliche Nachrichten und Freundeslisten von einem Dienstleister wie Facebook zu einem anderen Netzwerk mitnehmen können [Bulk18]. Außerdem müssen Unternehmen von nun an personenbezogene Daten auf Wunsch der Betroffenen löschen. Diese Regelung geht maßgeblich auf ein Urteil des Europäischen Gerichtshofs zurück. In diesem Urteil wurde Google die Pflicht auferlegt, auf Verlangen von Nutzern Suchergebnisse zu löschen, welche die Privatsphäre der User verletzen [Bulk18].

2.3.2 ePrivacy-Verordnung

Ursprünglich sollte die ePrivacy-VO zeitgleich mit der DSGVO in Kraft treten. Diese Verordnung wird die sogenannte ePrivacy-Richtlinie (RL 2002/58/EG) ablösen und verfolgt die Zielsetzung zu einer Vereinheitlichung der Rechtslage innerhalb der EU beizutragen. Die neue ePrivacy-VO soll als lex specialis zur DSGVO die besonderen Fragen des Datenschutzes bei elektronischer Kommunikation und deren Übertragung beantworten [Pilt18; Spin, 41]. Doch ähnlich wie beim Gesetzgebungsverfahren der DSGVO gibt es auch bei der ePrivacy-VO erheblichen Diskussionsbedarf. Derzeit ist nicht absehbar, wann die Neuregelung wirklich in Kraft treten wird [EhKr18, 255]. Für die zweite Hälfte des Jahres 2018 sind die Trilog-Verhandlungen mit dem EU-Parlament und dem Rat der Europäischen Union geplant [Pilt18]. Die ePrivacy-VO soll nun auch andere Formen der Datenverwertung betreffen, beispielsweise die Metadaten von Kommunikationen. Dies beinhaltet z.B. Dauer, Ort und Zeit von Kommunikationen, aber auch Bewegungsprofile, die über Kommunikationsendgeräte angelegt werden können. Zudem sollen auch Daten geschützt werden, die in den Endgeräten erfasst werden. Dies hatte schon bei der ePrivacy-Richtlinie für Cookies für Streit gesorgt. Während die frühere Regelung weitgehend auf Telefondienste beschränkt war, sollen jetzt technologieneutral alle Kommunikationsdienste erfasst werden. Somit sind auch OTT-Dienste (webbasierte E-Mail etc.) oder Voiceover-IP betroffen. Auch das Internet of Things, soll künftig unter die ePrivacy-VO fallen. Dies könnte aber gerade für die Industrie 4.0 bei nicht-personenbezogenen Daten (auch Bestandteil der ePrivacy-VO) erhebliche Probleme darstellen. Die ePrivacy-VO folgt etlichen Grundprinzipien der DSGVO, besonders dem in Kapitel 2.3.1.1 erwähnten Marktortprinzip. Das heißt, dass auch alle Dienste von Anbietern außerhalb der EU erfasst werden, solange sie Unionsbürger betreffen [Spin18, 43f]. Einer der wesentlichen Streitpunkte zwischen Ministerrat, Parlament und Kommission betrifft die möglichen Rechtfertigungen für die Verarbeitung der unter die ePrivacy-VO fallenden Daten. Das EU-Parlament verfolgt eine restriktive Strategie. Es plädiert dafür, dass die Rechtfertigungsgründe auf den Aspekt „Einwilligung“ beschränkt werden (zum Teil selbst bei anonymisierten Daten) [Spin18, 43f]. Gleichzeitig sollen zusätzlich die geschützten Bereiche erweitert werden. Ein Beispiel dafür ist, dass der Schutz vor Online-Tracking durch Voreinstellungen zugunsten des Nutzers verbessert werden soll („do not track“). Das Parlament plädiert zudem – anders als die Kommission – für eine Pflicht der Kommunikationsdienst-Anbieter, die Kommunikation ihrer Nutzer nach dem aktuellsten „Stand der Technik“ (z.B. Ende-zu-Ende-Verschlüsselungen) vor unbefugtem Zugriff schützen zu müssen. Auf den ersten Blick wirkt der Einfluss der ePrivacy-VO auf die Wirtschaft insgesamt begrenzt. Aber diese wird durch die Vernetzung der Wirtschaft und die Erfassung auch nicht-personenbezogener Daten bei der Kommunikation zwischen Geräten von nicht zu unterschätzender Bedeutung sein [Spin18, 43f].

3. Facebook und Datenschutz

3.1 Facebook als Big Data

Das Schlagwort „Big Data“ wird oft im Zusammenhang mit Facebook verwendet. Im Folgenden soll nun die Frage geklärt werden, ob es sich bei dem sozialen Netzwerk tatsächlich um Big Data handelt. Zur Beantwortung dieser Frage wird das in 2.1 diskutierte 3V-Modell von Gartner herangezogen. Es existieren zwar wie anfangs dargestellt diverse Erweiterungen des 3Vs-Modells“, aber all diese Erweiterungs-Modelle basieren in der Regel auf dem Basis-Modell von Gartner. Daher ist in der Folge zu klären, ob die Kriterien: Volume, Variety und Veracity auf Facebook zutreffen.

Abbildung in dieser Leseprobe nicht enthalten

Tab. 1 Facebook als Big Data nach dem 3V-Modell

Facebook hat fast zwei Milliarden Nutzer weltweit. Pro Tag werden mehr als 800 Millionen Updates in dem sozialen Netzwerk hochgeladen. Hinzukommen über 600 Millionen Zugriffe über mobile Endgeräte pro Monat, so dass das Kriterium „Volume“ als erfüllt angesehen werden kann.

Auch für den Aspekt „Velocity“ lassen sich Argumente finden. So werden beispielsweise pro Minute ca. 35.000 Likes an Hersteller und Organisationen vergeben. Außerdem werden in einer Minute etwa 650.000 verschiedene Inhalte generiert. Folglich wird aufgrund der hohen Geschwindigkeit, mit der bei Facebook riesige Datenmengen verarbeiten kann, auch das Kriterium „Velocity“ als zutreffend angesehen.

Damit verbleibt für die Betrachtung noch der dritte Aspekt des 3V-Modells von Gartner, nämlich „Variety“. Ein Facebook-Post kann unterschiedliche Strukturen aufweisen. Es kann sich dabei um reinen Text, ein Bild, ein Video oder auch einen Link auf Inhalte außerhalb von Facebook handeln. Somit ist auch das Kriterium „Variety“ für Facebook zutreffend und es kann abschließend festgehalten werden, dass Facebook nach dem 3Vs Modell nach Gartner als „Big Data“ eingestuft werden kann.

Bei einem genaueren Blick auf die von Facebook gesammelten Daten zeigt sich, dass diese Daten in verschiedene Kategorien eingeteilt werden können. Zunächst existieren Daten, die Nutzer aktiv beitragen. Bei der Registrierung sind das beispielsweise der Name, der Wohnort, der Geburtstag, das Geschlecht und die E-Mail-Adresse. Diese Angaben sind verpflichtend [DjPa17]. Darüber hinaus können Nutzer freiwillig zusätzliche persönliche Informationen eingeben (z.B. Schule, Abschluss, Ausbildung, Arbeitsort). Bei der aktiven Nutzung von Facebook kommen weitere Daten hinzu, etwa durch „Gefällt mir“-Angaben, Kommentare, Statusmeldungen, das Eingehen von Freundschaften, die Teilnahme an Gruppen und Veranstaltungen, Verlinkungen und Postings, die Kommunikation über die Mail- und Chat-Funktionen und viele andere. Facebook speichert aber auch Metadaten von einem hochgeladenen Foto oder Video. Das beinhaltet zum Beispiel den Zeitpunkt und den Standort der Aufnahme, sowie die Information, welches Gerät für den Upload benutzt wurde (Smartphone, Tablet, usw.) [DjPa17].

Eine zweite Daten-Kategorie ergibt sich aus den Daten, die durch (meist automatische oder maschinelle) Beobachtung des Verhaltens der Benutzer generiert werden können. Ist ein User beispielsweise über ein Smartphone dauerhaft auf Facebook eingeloggt, kann Facebook daraus mit Hilfe der IP-Adressen ein alltägliches Bewegungsprofil des Users ableiten. Facebook erstellt hierzu minutengenaue Bewegungsprofile. Dabei werden Koordinaten gesammelt und mit Zeitstempeln versehen. Facebook speichert wo und über welches Gerät sich ein User eingeloggt hat [DjPa17]. Diese Bewegungsprofile kann Facebook allerdings nur nutzen, wenn der Nutzer die Facebook-App auf dem Handy nutzt. Laut statista.de sind dies mehr als die Hälfte der deutschen Facebook-Nutzer [LeWe18].

Die dritte Datenkategorie sind die Daten, die aus vorhandenen Daten abgeleitet werden. Facebook arbeitet mit statistischen Verfahren, um aus den vorhandenen Daten neue Informationen abzuleiten [DjPa17]. Diese „Big Data“-Analysen zielen oftmals darauf ab, Korrelationen zwischen Daten herzuleiten. Als Beispiel können hierfür abgeleitete Informationen aus „Gefällt mir“-Angaben dienen. Die britischen Wissenschaftler Michal Kosinski und David Stillwell konnten bei einer Untersuchung von 58.000 Facebook-Nutzern in den USA mit hoher Genauigkeit aus den „Gefällt mir“-Angaben ableiten, ob ein Facebook-Nutzer weiblich oder männlich, homo- oder heterosexuell, christlichen oder muslimischen Glaubens ist und welche politische Einstellung er vertritt [DjPa17, Kann13]. Aber auch Facebook selbst untersucht die Nutzerdaten. Gelegentlich werden einzelne dieser Untersuchungen mit der Öffentlichkeit geteilt. Beispielsweise lies Facebook untersuchen, ob viele positive oder negative Nachrichten auf Facebook zu einer emotionalen Ansteckung führen. Das bedeutet, ob Facebook durch die Auswahl der Nachrichten im Newsfeed Einfluss auf die Gefühle seiner Nutzer nehmen kann. Außerdem wurde getestet, ob sich eine Liebesbeziehung zwischen zwei Nutzern aus der Struktur ihres Gesamtnetzwerks statistisch vorhersagen lässt [DjPa17].

Die jüngere Zukunft hat noch eine vierte Kategorie von Datensätzen hervorgebracht. Durch die Kombination von verschiedenen Datenquellen, können neuartige Informationen generiert werden. So kann Facebook durch den Zukauf von Instagram auch die Nutzerdaten der Fotoplattform v erwenden. Die Firmen der Facebook-Unternehmensgruppe sammeln aber auch weitere Informationen v on Datenhändlern und Marktforschungsunternehmen. Facebook nutzt in Deutschland Daten der Firmen Acxiom und Datalogix. International kooperiert das soziale Netzwerk mit den Unternehmen Blue-Kai, Epsilon und Quantium. Dadurch können Werbekunden Zielgruppen zusätzlich anhand von Informationen eingrenzen, über die Facebook möglicherweise nicht selbst verfügt. Das kann zum Beispiel die Information sein, welches Auto ein User besitzt. Um die verschiedenen Datentöpfe zuzuordnen verwendet Facebook sogenannte „Key Indicators“. Dafür eignen sich z.B. E-Mail-Adressen, Telefonnummern oder daraus gebildete Prüfsummen [DjPa17].

3.2 Facebook als Geschäftsmodell

Entgegen etwaiger Gerüchte basiert das Geschäftsmodell von Facebook nicht auf dem Verkauf von personenbezogenen Daten an Dritte (zum Beispiel andere Unternehmen). Dies ist aus rechtlichen Gründen (DSGVO) nicht bzw. nur in Ausnahmefällen möglich. Wenn Facebook Daten über Nutzer an Dritte weitergibt, dann in erster Linie zum Zwecke der Strafverfolgung. Daten dürfen nämlich per Gerichtsbeschluss an Ermittlungsbehörden herausgegeben werden. Laut eigener Aussage erhielt Facebook in Deutschland im ersten Halbjahr 2016 rund 3.600 solcher Anfragen, die in etwa 4.500 Nutzerkonten betrafen. Für ca. die Hälfte gab Facebook die entsprechenden Datensätze weiter. Außerdem können Unternehmen wie Facebook auch zur Zusammenarbeit mit Geheimdiensten gezwungen werden, ohne dass dies publik gemacht werden darf (z.B. in den USA) [DjPa17]. Anzumerken ist aber, dass es zudem nicht im Interesse von Facebook ist, Nutzerdaten mit Dritten zu teilen, denn das Geschäftsmodell von Facebook basiert im Wesentlichen darauf, eine Plattform für zielgerichtete, personalisierte Werbung zu sein. Je besser Facebook also seine Nutzer kennt, desto besser kann es Unternehmen zielgenaue Anzeigen verkaufen, die dann auf den Bildschirmen der potenziellen Kunden landen [DjPa17]. Anzeigen-Zielgruppen können sehr kleinteilig definiert werden. So könnte eine beispielhafte Anzeigengruppe „verheiratete Akademikerinnen, wohnhaft in Berlin, Monatseinkommen über 5.000 Euro und Wohneigentum vorhanden“ lauten. Wenn ein Online-Händler Facebook-Funktionen auf seiner Website nutzt, dann kann Facebook zusätzlich die Einkaufsgewohnheiten eines Users auswerten. Insgesamt sind mehr als 1.300 Nutzer-Merkmale für Werbeschaltungen bekannt [DjPa17].

3.3 Facebook und Cambridge Analytica

CA ist ein Datenanalyse-Unternehmen aus Großbritannien, das unter anderem von der Hedgefonds-Milliardärs-Familie Mercer, die auch Donald Trump nahesteht, finanziert wurde [DeBe18, OrJe18]. Das Unternehmen hat mittlerweile im Zuge des Datenschutzskandals einen Antrag auf Insolvenz gestellt [OV18a]. CA war nach Angaben von Facebook unerlaubterweise an die persönlichen Daten von bis zu 87 Millionen Menschen gelangt [BrHa18, DeBe18, OV18a], ohne diese zu informieren [OV18a]. Zuvor hatten rund 270.000 Nutzer einer App namens "thisisyourdigitallife", die ein Psychologie-Professor der Universität Cambridge namens Aleksandr Kogan entwickelt hatte, auf Facebook ihre Daten gegeben. Sie taten dies in dem fälschlichen Glauben, dass diese für wissenschaftliche Zwecke verwendet werden sollten [BrHa18; DeBe18; Kuge18, 338]. Stattdessen soll CA sie zu Psychogrammen verarbeitet haben, mit der Absicht damit Nutzer gezielt mit politischer Werbung ansprechen zu können. Es wurden aber nicht nur die Daten von den 270.000 App-Nutzern, die eingewilligt hatten, an CA übertragen, sondern auch die Daten von deren Facebook-Freunden, so dass insgesamt bis zu 87 Millionen Nutzer betroffen sein könnten [BrHa18, DeBe18]. Auch rund 310.000 deutsche Mitglieder könnten von dem Datendiebstahl betroffen sein [Berg18, BrHa18]. Möglich wurde der Datenraub, da die Standardeinstellung von Facebook zu diesem Zeitpunkt besagte, dass Menschen, die das User-Profil sehen konnten, auch die Informationen in Apps übertragen konnten. Betroffen waren unter anderem folgende Informationen: Geburtstag; aktueller Wohnort, Familie und Beziehungen; Online-Status; Chronik-Beiträge; Steckbrief; Heimatstadt; Ausbildung und Beruf; Aktivitäten, Interessen und Dinge, die mir gefallen; Aktivitäten in Apps. Nicht erfasst werden laut Voreinstellung: „Interessiert an“ (also sexuelle Vorlieben) sowie religiöse Ansichten und politische Einstellung [DeBe18].

Interessant in diesem Zusammenhang ist, dass der amerikanische rechtspopulistische Stratege Stephen Bannon im Aufsichtsrat von CA vertreten war. CA unterstütze außerdem Donald Trumps Wahlkampf 2016. Ob die angesprochenen gestohlenen (Facebook-) Daten auch für Wahlkampfzwecke eingesetzt wurden, ist jedoch genauso unklar, wie die Frage „Was genau mit wessen persönlichen Daten passiert ist?“ [Horc18]. Nicht endgültig geklärt ist zudem, welche Rückschlüsse CA aus den erworben Daten ziehen konnte. Feststeht, dass es theoretische Versuche gab, in denen Forscher Rückschlüsse auf politische Positionen, sexuelle Orientierung oder sozialen Status aus öffentlichen Facebook-Daten ableiten konnten. CA selbst warb damit, dass das Unternehmen Psycho-Profile der Facebook-Nutzer erstellen könne und damit in der Lage sei, politische Botschaften auf Ängste und Wünsche der User hin maßzuschneidern. Außerdem brüstete sich das Unternehmen öffentlich damit Donald Trump geholfen zu haben, die amerikanische Präsidentenwahl zu gewinnen [DeBe18], indem es auf einzelne Nutzer hin zugeschnittene politische Botschaften ausgeliefert habe. Konkret hatte CA versucht, potenzielle Wähler von Donald Trump in ihrer Weltanschauung zu bestätigen und Anhänger der Gegenkandidatin Hillary Clinton vom Wählen abzuhalten [OV18a]. CA verdiente alleine an der Trump-Kampagne mehr als 6 Millionen US-Dollar [OrJe18]. Es wird zudem gemutmaßt, dass CA Trump dabei unterstützte die Paranoia vor dem „Deep State" weiter anzuschüren. Zu dieser Zeit existierten einzelne Gerüchte, wonach Präsident Barack Obama nicht zurücktreten werde und er bereits Waffen im gesamten Land sicherstellen lasse, so dass kein Widerstand gegen diesen Staatsputsch möglich sei. CA soll diese Gerüchte aufgegriffen, verstärkt und gezielt weiterverbreitet haben, mit der Absicht Menschen bewusst zu manipulieren und in die Irre zu führen [Schi18]. Trump wusste auch deshalb um die Macht zielgerichteter Werbung, da nach Angaben von CA Ted Cruz diese bereits im Wahlkampf 2016 gegen Trump eingesetzt hatte. Konkret nutzte Cruz für seinen Wahlkampf im US-Bundestaat Iowa (Vorwahlen um die Kandidatur zum Präsidentenamt) die Information, welche potentiellen Wähler sich gegen Blitzer-Ampeln ausgesprochen hatten. Wähler, die in der Nähe von Blitzer-Ampeln lebten, erhielten dann eine Nachricht, dass sich Ted Cruz gegen diese Art von Radarfallen einsetzen wollen würde [OrJe18]. Interessanterweise verweigerte Facebook bezogen auf die Beteiligung im Wahlkampf 2016 von Ted Cruz eine Stellungnahme [OrJe18]. Nach eigener Aussage weiß Facebook seit 2015 von dem Datenmissbrauch von CA. Das soziale Netzwerk hatte damals die App entfernt und sowohl Kogan als auch CA aufgefordert, die gespeicherten Nutzerdaten zu löschen. Facebook überprüfte nach derzeitigem Wissensstand aber die Löschung nicht und arbeitete in der Folge weiter mit CA zusammen [DeBe18]. Facebook informierte zudem weder die Öffentlichkeit noch die betroffenen Nutzer über das Sicherheitsproblem. Facebook hat seit Mitte März 2018 im Zuge des Skandals zwischenzeitlich bis zu 70 Milliarden Dollar Börsenwert verloren [Asse18, OV18a]. Erwähnenswert ist auch, dass Facebook im Zeitraum von 2010 bis 2015 allen App-Anbietern die Daten-Erfassung wie im CA-Fall ermöglichte. Daher könnte es zehntausende andere Apps geben, die ähnlich wie CA die Daten für ihre Zwecke missbraucht haben könnten. Es ist daher nicht auszuschließen, dass CA nur die Spitze des Eisbergs ist [BrHa18].

[...]

¹ Verantwortlicher: „die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“ [PaPa18].

² Auftragsverarbeiter: „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“ [PaPa18].