Christina Etteldorf

Italien: Ermittlungen gegen Facebook im Zusammenhang mit Cambridge Analytica abgeschlossen


Die italienische Datenschutzaufsichtsbehörde (Garante per la protezione dei data personali - GPD) hat ihre Ermittlungen im Verfahren gegen Facebook in Zusammenhang mit einer potenziellen Beeinflussung politischer Wahlen und dem Fall „Cambridge Analytica“ abgeschlossen. Dabei wurde in Bezug auf zwei Vorgänge die Rechtswidrigkeit der Verarbeitung von personenbezogenen Daten italienischer Staatsbürger durch Facebook festgestellt und diese sowie die weitere Verwendung der so erhobenen Daten entsprechend gegenüber dem US-Unternehmen untersagt. Die GPD behielt sich dabei explizit vor, auch Geldstrafen zu verhängen.

Im März 2018 war bekannt geworden, dass das US-amerikanische Datenanalyse-Unternehmen Cambridge Analytica an Daten von mehreren Millionen Facebook-Usern gelangt war. Diese wurden u.a. zu Zwecken des – vor allem politischen – Microtargetings genutzt, mit dem bestimmte Profilgruppen gezielt angesprochen werden können. Die Sammlung der Daten erfolgte dabei über eine App eines Drittanbieters („thisisyourdigitallife“) mit der Facebook-User einen Persönlichkeitstest machen konnten, an dessen Ende sie einem Zugriff auf ihre Profile und ihre Kontakte zustimmten, was wiederum über eine von Facebook angebotene Programmierschnittstelle auch tatsächlich möglich war. Bei ihrer Untersuchung dieser Vorgänge stellte die GPD nunmehr fest, dass die so erhobenen Daten italienischer Staatsangehöriger nicht an Cambridge Analytica übermittelt wurden. Eine Beeinflussung des politischen Wahlkampfs im Rahmen der italienischen Parlamentswahlen im März 2018 durch Cambridge Analytica, wie sie dem Unternehmen etwa für die US-Wahlen vorgeworfen wird, sieht die GDP also offenbar nicht als wahrscheinlich an. Dennoch sei die Datenverarbeitung durch Facebook rechtswidrig erfolgt, weil die User nicht ausreichend über die Umstände und Zwecke informiert wurden und keine wirksame Einwilligung erteilt wurde.

 

Darüber hinaus brachte das Verfahren ans Licht, dass Daten von italienischen Facebook-Usern mit Hilfe des Tools „Candidati“ erfasst wurden. Dieses Tool ermöglichte es Wählern, ihre Postanschriften anzugeben und so Informationen über Kandidaten und Wahlprogramme zu erhalten. Facebook behauptete zwar, dass dabei keine Informationen über die politische Ausrichtung aufgezeichnet wurden, behielt jedoch die entsprechenden Protokolldateien 90 Tage lang und extrahierte danach nicht näher spezifizierte „Gesamtmatrizen“ daraus. Zudem wurden nach den Ermittlungen der GPD am Wahltag die betreffenden User in ihrem Newsfeed danach gefragt, ob sie abgestimmt haben, und dazu aufgefordert, ihre Meinung darüber zum Ausdruck zu bringen. Die GDP stellte hierzu fest, dass diese beiden Funktionen von Facebook, die speziell für italienische Staatsangehörige am Vorabend der nationalen Wahlen konzipiert und vorgesehen waren, nicht in den Datenschutzbestimmungen von Facebook erwähnt und Nutzer daher auch nicht ausreichend informiert werden. Eine solche Information insb. über die Verarbeitungszwecke sei aber erforderlich – vor allem, wenn es sich um sensible Daten wie die politische Ausrichtung einer Person handelt. Die allgemeine Einwilligung, die Nutzer bezüglich der Verarbeitung ihrer Daten gegenüber Facebook erteilen, wenn sie sich auf der Plattform anmelden, decke derartige Nutzungszwecke jedenfalls nicht ab.

 

Die Entscheidung der GDP wurde der irischen Aufsichtsbehörde zur Beurteilung und Bestimmung der Zuständigkeit übermittelt, die wegen der grenzüberschreitenden Datenverarbeitung federführende Aufsichtsbehörde ist, da sich die EU-Hauptniederlassung von Facebook in Irland befindet. Die DS-GVO sieht hierzu entsprechende Verfahren der Zusammenarbeit vor (Art. 60 ff. DS-GVO).

Ass. iur Christina Etteldorf ist wissenschaftliche Mitarbeiterin am Institut für Europäisches Medienrecht (EMR), Saarbrücken/Brüssel.