Ende Juli akzeptierte Facebook einen Vergleich, der eine Strafe von 5 Milliarden US-Dollar nach sich zieht. Das setzt ein Schlusspunkt unter den Skandal mit Cambridge Analytica. Facebook muss zukünftig auch seinen Datenschutz verbessern. Kritiker sagen, dass eigentlich keiner bei Facebook direkt verantwortlich für den Missbrauch der persönlichen Daten seiner Kunden gemacht wurde. Außerdem würde die Strafe nichts daran ändern, wie das Unternehmen weiterhin Daten sammelt.

Die Summe ist die höchste Strafe, die die US-Handelsbehörde FTC jemals auferlegt hat. Dagegen sind andere Schuldige wie Equifax (275 Millionen US-Dollar), British Airways (230 Millionen US-Dollar) und Uber (148 Millionen US-Dollar) wirklich glimpflich davongekommen. Allerdings ist die Sachlage bei Facebook etwas anders. Facebook ist nicht von Hackern angegriffen worden. Auch ging es hier nicht um ein Datensicherheitsproblem. Es ging hier um die ganz bewusste Verwendung von Kundendaten zur eigenen Bereicherung. Das war der eigentliche Grund für die hohe Strafsumme.

Außerdem setzte die Federal Trade Commission noch andere Auflagen durch: Facebook muss in seinem Vorstand einen Ausschuss für Datenschutz aufstellen. Es muss aus unabhängigen Mitgliedern bestehen, die durch ein eigenständiges Komitee nominiert werden. Des Weiteren müssen Compliance-Beauftragte im Facebook Konzern den Datenschutz überwachen. Sie haben die Aufgabe, quartalsmäßige Datenschutzzertifikate an die FTC zu übermitteln. Die Zertifikate sollen die Konformität des Unternehmens mit dem Datenschutz garantieren. Bei fehlender Konformität oder falscher Darstellung, drohen sowohl zivil- als auch strafrechtliche Sanktionen. Außerdem gibt es noch eine ganz Menge anderer Auflagen, denen Facebook zustimmen musste. Die Technik der Gesichtserkennung muss besser offengelegt und ein neues Datenschutzprogramm muss eingerichtet werden.

Die US-Handelsbehörde hatte den Fall Facebook / Cambridge Analytica über ein Jahr lang gründlich untersucht. Es wollte wissen, ob Facebook durch die Weitergabe seiner Nutzerdaten an Cambridge Analytica, gegen ein seit 2011 bestehendes Datenschutzgesetz verstoßen hatte. Der Verstoß fand während des letzten US-Präsidentschaftswahlkampfs statt. Damals hatte das Analyseunternehmen die Daten von etwa 87 Millionen Facebook-Nutzern ausgenutzt. Höchstwahrscheinlich sollten sie bei der Präsidentenwahl missbraucht werden, um den Kandidaten Donald Trump zu unterstützen. Seitdem ist der öffentliche und politische Aufschrei gegen Facebook weltweit sehr viel lauter geworden. Alle fordern eine stärkere Überwachung des Social Media Riesens.

Im Übrigen ging es bei dem Vergleich auch um mehrere Anklagepunkte, die alle durch die FTC-Untersuchungen ans Licht kamen. Einer davon war Facebooks jahrelanger Umgang mit App-Genehmigungen von Drittanbietern. Facebook hat außerdem wiederholt gegen eine frühere Auflage verstoßen. Es hatte den Verbrauchern das Abwählen der Gesichtserkennung falsch erklärt. Die für die Zwei-Faktor-Authentifizierung benötigten Telefonnummern hatte es einfach für Werbezwecke verwendet. Natürlich wurden die Verbraucher nicht darüber informiert. Die Behörde entdeckte auch, dass Facebook die Benutzerpasswörter unverschlüsselt abgespeichert hatte.

5 Milliarden US-Dollar klingt nach sehr viel. Aber das eigentlich Erschreckende ist, dass es Facebook gar nicht mal so hart trifft. Es macht nur 23 % des Unternehmensgewinns aus, basierend auf die Unternehmenszahlen aus 2018. In einem Kommentar schrieb SANS IT-Security Experte John Pescatore:

Es dreht sich hier alles um Zahlen, die vom CEO und dem Vorstand jongliert werden. Facebook hat Cambridge Analytica erlaubt, die Privatsphäre von 87 Millionen Facebook-Benutzerkonten zu mißachten. Das beläuft sich auf etwa 57,50 US-Dollar pro Konto. Die anderen Kosten für die Aufarbeitung des Vorfalls dürften die Gesamtkosten auf bis zu 100 US-Dollar pro Datensatz ansteigen lassen. Facebook hatte die Geldbuße bereits im Finanzbericht des ersten Quartals 2019 mit einer geschätzten Zahl von 3-5 Milliarden US-Dollar einkalkuliert. Facebook Gewinn lag bei über 2,5 Milliarden US-Dollar im ersten Quartal 19. Daher wird die Geldstrafe diesen und wahrscheinlich den größten Teil des Gewinns im zweiten Quartal ausgleichen.

Facebook ist nicht das einzige Unternehmen, das in diesem Datenskandal Strafen bezahlen muss. Ein Vergleich über 100 Millionen US-Dollar stellte die FTC an mit Cambridge Analytica. Hier ging es um Täuschung der Kunden. Das Analyseunternehmen hatte gelogen, als es offiziell bestätigte, es hätten keine persönlichen Daten gesammelt.

Um Täuschung ging es auch im dritten Vergleich. Die US-Börsenaufsichtsbehörde beschuldigte Facebook, Anleger und Investoren getäuscht zu haben. Facebook muss 100 Millionen US-Dollar dafür zahlen, weil es

„das Risiko des Datenmissbrauchs als rein hypothetisch dargestellt hatte. In Wirklichkeit hatte Facebook genau gewusst, dass ein Drittanbieter die Benutzerdaten tatsächlich missbraucht hatte.“

Ein Facebook-Sprecher sagte zu dem Vergleich, die Einigung würde „strenge neue Standards für den Schutz der Privatsphäre“ mit sich bringen und einen „grundlegenden Wandel in der Art und Weise erfordern, wie wir unsere Arbeit angehen“. Die Aussage,

„es markiert eine stärkere Hinwendung zum Datenschutz, und zwar in einer anderen Dimension als alles, was wir in der Vergangenheit getan haben“,

lässt ahnen, wie sorglos der Datenschutz bisher gehandhabt wurde.

Kritiker sagen weiterhin, dass all das immer noch nicht weit genug geht. Es sei einfach eine schöne Schlagzeile in ihren Augen. Außerdem sei niemand persönlich in die Verantwortung gezogen worden. Zuckerberg zumindest, hätte genauso zur Rechenschaft gezogen werden müssen, wie Top-Manager in anderen Unternehmen. Auch ein Fingerzeig in Richtung des US-Kongresses sind Ausrufe, dass es große Defizite in der US-Gesetzgebung gibt in Sachen Datenschutz. Genereller Tenor: Facebook sei wieder einmal glimpflich davongekommen. In Sachen Datenschutz tut es nur, was es ihm unmittelbar auferlegt wird.

Der Vorsitzende der FTC wies die Kritiker auf die bestehende Gesetzeslage hin. Er selbst forderte er den Kongress mehrmals auf, endlich die neuen Datenschutzgesetze zu verabschieden. Dann könnte seine Behörde sie auch durchzusetzen. Er sagt:

„Wir sind eine Strafverfolgungsbehörde ohne die Befugnis, allgemeine Datenschutzbestimmungen zu erlassen. Unsere Autorität basiert hier auf einem 100 Jahre alten Gesetz, das nie dazu gedacht war, sich mit Datenschutzfragen zu befassen, so wie wir sie heute kennen.“

Siehe auch:

• Facebook: Millionen Benutzer-Daten sind wieder ungeschützt in der Cloud
• Hintergründe des Facebook-Skandals: 90 Mio. Nutzerdaten an Cambridge Analytica geleitet, Wahlmanipulation in einigen Ländern und Datenmissbrauch der Facebook-Nutzer im großen Stil
• Schon wieder Facebook: diesmal wieder massiv bei Kundendaten geschlampt

Artikel von arstechnica.com, 24.07.2019: FTC fines Facebook $5 billion, imposes new privacy oversight
Artikel von zdnet.com, 24.07.2019: FTC hits Facebook with record $5 billion fine for user privacy violations
Artikel von ftc.gov, 24.07.2019: FTC Imposes $5 Billion Penalty and Sweeping New Privacy Restrictions on Facebook

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0