Kanadas Datenschutz scheitert an Cambridge Analytica

Am Cambridge-Analytica-Skandal beißt sich Kanadas schwacher Datenschutz die Zähne aus. Die vom kanadischen Bundesdatenschutzbeautragten verhängten Auflagen für Facebook-Betreiber Meta Platforms sind nichtig. Das hat ein kanadischer Bundesrichter entschieden. Er spricht Meta 80.000 kanadische Dollar (rund 55.000 Euro) als Ersatz für die Verfahrenskosten zu.

Der im Jahr 2018 bekannt gewordene Datenmissbrauch durch Cambridge Analytica gehört zu den größten Skandalen in der Geschichte Facebooks. Das inzwischen insolvente britische Unternehmen Cambridge Analytica war auf regelwidrige Weise an Daten von 87 Millionen Facebook-Nutzern gelangt: Es hatte eine "Umfrage"-App unter dem Namen thisisyourdigitallife (TYDL) veröffentlicht, an der einige Facebook-Nutzer teilnahmen. Doch dank der damaligen Privatsphäre-Einstellungen des Datenkonzerns bekam Cambridge Analytica auch Zugang zu Informationen deren Facebook-Freunde. Diese Daten wurden in der Folge für manipulative Polit-Kampagnen missbraucht.

Als das bekannt wurde, geriet Facebook, dessen Management sich in dem Datenskandal selbst als Opfer sieht, massiv in die Kritik und gelobte Besserung beim Datenschutz. Es folgten verschiedene Verfahren; in den USA musste Facebook fünf Milliarden US-Dollar Strafe zahlen, die höchste Strafe in der Geschichte der US-Handelsbehörde FTC (Federal Trade Commission). Eine Sammelklage in dem Land mündete in eine Vergleichszahlung Metas von 725 Millionen Dollar. In Großbritannien fasste der Konzern die mickrige Höchststrafe von einer halben Millionen Pfund aus, in Italien setzte eines 1,1 Millionen Euro.

Laue Empfehlungen aufgehoben

In Kanada konnte das Bundesdatenschutzbeauftragten OPC (Office of the Privacy Commissioner) keine Strafe verhängen, sondern lediglich Empfehlungen aussprechen. Facebook möge doch bitte

• Den Zugriff Dritter auf nicht benötigte Daten einschränken
• Nutzer darüber informieren, welche Informationen eine Anwendung benötige und für welchen Zweck
• und die Zustimmung der Nutzer zur Übertragung dieser Daten einholen.

Selbst gegen diese Minimalauflagen hat sich Meta gewehrt – mit erstaunlichem Erfolg. Laut Bundesgerichtsurteil hat das Bundesdatenschutzbureau nämlich nicht nachgewiesen, dass Facebook keine wirksame Zustimmung der Nutzer eingeholt hat. Es gäbe ein "Beweisvakuum". Diese Einschätzung erstaunt, behauptet Facebook doch, selbst von Cambridge Analytica hinters Licht geführt worden zu sein. Wenn Facebook schon nicht weiß, welche Daten wofür abkopiert worden, ist schwer ersichtlich, wie es wirksame Zustimmung seiner User eingeholt haben könnte.

Zweitens sei Facebook nach kanadischem Datenschutzrecht gar nicht verpflichtet, die Nutzerdaten zu schützen, sobald sie an Dritte übertragen werden. Dabei spart der Richter nicht mit Kritik am gegebenen Recht: Es liege am Gesetzgeber, "gut durchdachte und ausbalancierte Gesetze, die die durch (…) digitales Teilen personenbezogener Daten gestellten Herausforderungen angehen", zu schaffen. Das Gericht könne nur bestehendes Recht anwenden, das für Soziale Netzwerke in gleicher Weise greife wie für den lokalen Autohändler.

Das Verfahren heißt Privacy Commissioner of Canada v. Facebook und wurde am 13. April vom Federal Court in Ottawa unter dem Az. 2023 FC 533 entschieden.

• Urteil Privacy Commissioner of Canada v. Facebook

Halbgare Gesetzesnovelle in Arbeit

Der kanadische Datenschutzbeauftragte kann selbst keine Strafen verhängen, sondern sie nur bei Gericht beantragen. Dabei liegt die Höchstgrenze derzeit bei mageren 100.000 Dollar (zirka 68.000 Euro), was Datenkonzerne wie Meta Platforms nicht spüren würden.

Zwar ist im kanadischen Bundesparlament derzeit ein Gesetzesantrag namens Bill C-27 in Arbeit, der Datenschutz verbessern, mögliche Geldstrafen deutlich erhöhen und Betroffenen den Klageweg gegen schludrige Unternehmen eröffnen soll. Allerdings sollen Betroffene nur dann klagen dürfen, wenn der Datenschutzbeauftragte Kanadas oder ein neues Datenschutztribunal bereits rechtskräftig festgestellt hat, dass Datenschutzrecht verletzt wurde.

Eine solche Feststellung kann Jahre dauern, wie man am vorliegenden Fall sieht. Und Verbraucher können so eine Untersuchung nicht erzwingen. Hat der Datenschutzbeauftragte Kanadas also keine Kapazität oder Lust, sich mit einem bestimmten Fall auseinanderzusetzen, bleibt dessen Opfern der Klageweg auch nach der beabsichtigten Gesetzesnovelle versperrt.

(ds)