Abschlussbericht der Datenschutzbehörde

Nein, der Cambridge-Analytica-Skandal fällt nicht in sich zusammen

Die britische Datenschutzbehörde ICO hat ihre Ermittlungen im Fall Cambridge Analytica abgeschlossen. Einige Medien erklären den Skandal nun für aufgeblasen und beendet. Auch wenn die Kritik einen wahren Kern hat: Der Fall bleibt eine der wichtigsten Enthüllungsgeschichten des Jahrzehnts. Eine Bilanz.

"Forget about your house of cards And I'll do mine"
Gemeinfrei-ähnlich freigegeben durch unsplash.com Sigmund

Als der Datenskandal um Facebook und Cambridge Analytica im Frühjahr 2018 die Öffentlichkeit erschütterte, sorgte die britische Datenschutzbehörde für ikonische Bilder: In ihren groß mit „Enforcement“ beschrieben Jacken erinnerten die Mitarbeiter des Information Commissioner’s Office (ICO) mehr an FBI-Agenten als an Datenschützer. Sie beschlagnahmten 42 Laptops und Computer, 31 Server, 700 Terabyte Daten und über 300.000 Dokumente. Nun hat ICO-Chefin Elisabeth Denham ihre Ermittlungen mit einem öffentlichen Schreiben an das Parlament [PDF] offiziell abgeschlossen.

Das Ringen um die Deutungshoheit über den Skandal ist aber auch zweieinhalb Jahre, hunderte Artikel und eine Netflix-Doku nach der großen Enthüllungsgeschichte im britischen Observer nicht vorbei.

Weil Denham in ihrem Bericht die bereits bekannte Information wiederholt, dass sie weder eine Einmischung Russlands noch eine direkte Zusammenarbeit von Cambridge Analytica mit dem Pro-Brexit-Lager nachweisen kann, nehmen gleich mehrere Medien die Veröffentlichung zum Anlass, sich nachträglich von der kollektiven Empörung des Frühjahrs 2018 zu distanzieren. Von den damals erhobenen Vorwürfen gegen Cambridge Analytica bleibe nicht viel übrig, findet etwa die Financial Times. Die NZZ degradiert den Skandal gar zum „Hype“ und titelt, dieser falle „in sich zusammen“.

Entzauberung der Datenmagier?

Zur Erinnerung: Cambridge Analytica, das war eine Ausgründung der auf Verhaltensforschung und strategische Kommunikation spezialisierten britischen Firma SCL. Die zwielichtige Marketingfirma hatte die Daten von 87 Millionen Facebook-Nutzer:innen abgegriffen, für psychologisches Profiling eingesetzt und damit unter anderem den US-Präsidentschaftskandidaten Donald Trump unterstützt. Beide Firmen meldeten kurz nach den Enthüllungen Insolvenz an – um sich der weiteren Aufklärung zu entziehen, wie viele vermuten.

Während das Interesse an dem Thema in Deutschland schnell nachließ, als Facebook bekannt gab, dass nur wenige Deutsche betroffen seien, war der Aufklärungswille im Vereinigten Königreich höher. Gleich mehrere staatliche Stellen haben das Geschehen ausgiebig aufgearbeitet.

ICO-Chefin Denham wiederholt in dem Brief an das Parlament ihre Mahnung vor den „systemischen Verwundbarkeiten“ für demokratische Systeme, die sich durch den Einsatz personenbezogener Daten im politischen Kontext ergeben. Durch das beherzte Vorgehen ihrer Behörde im Frühjahr 2018 kann sie unter anderem nachweisen, wie eng die Datenkooperation zwischen der britischen Firma und der Trump-Kampagne war und wie die Verantwortlichen bei Cambridge Analytica hektisch versuchten, Daten von britischen Servern zu löschen und im Ausland zu speichern, als der Skandal hochkochte.

NZZ und Co. verleihen anlässlich des Abschlussberichtes aber lieber einer Skepsis Ausdruck, die die Aufarbeitung von Anfang an begleitete: Am Ende war es doch halb so wild, finden nicht wenige. Einfach nur datenbasiertes Marketing. Cambridge Analytica, das seien doch bloß aufdringliche Verkäufer von Schlangenöl gewesen, also von einem vermeintlichen Wundermittel ohne Wirkung. Und tatsächlich zeigt Denham erneut, dass die durch die Cambridge Analytica selbst geprägte Erzählung der großen Datenzauberer, die praktisch im Alleingang die US-Wahl drehten, überzogen ist. Entwarnung gibt die Datenschützerin deshalb jedoch nicht.

Daten über das Wahlverhalten von 160 Millionen Menschen

Also zu den Fakten: Denham berichtet unter anderem, dass Cambridge Analytica die eigenen Datenbestände und Analysefähigkeiten erheblich über Wert verkauft hat. Die Marketingfirma hatte damit geworben, dass sie je über 5.000 Datenpunkte zu 230 Millionen erwachsenen US-Amerikaner:innen verfüge. In Wahrheit konnte die Datenschutzbehörde nur Datenbanken mit 50 bis 500 Datenpunkten über jeweils 160 Millionen Individuen aufspüren, inklusive Daten über Konsum- und Wahlverhalten. Außerdem eine Datenbank mit jeweils 3.000 Datenpunkten über 100 Millionen Menschen.

Auch was die eigenen Analysewerkzeuge angeht, hat Cambridge Analytica offenbar übertrieben: Jenseits des psychographischen Profilings, das nicht von der Firma selbst, sondern von dem Uni-Forscher Alexandr Kogan durchgeführt wurde, hatte die Marketingfirma keine besonders elaborierten oder gar selbst entwickelten Methoden im Repertoire. Stattdessen berichtet Denham von Standardalgorithmen der Datenwissenschaft, die zur Visualisierung und Analyse von Daten sowie für Prognosemodelle genutzt worden seien.

So weit, so erwartbar. Dass eine Marketingfirma ihre eigenen Fähigkeiten über Wert verkauft, ist keine Seltenheit. Tatsächlich ging es bei einem zentralen Element des Skandals aber auch gar nicht um die Frage, was Cambridge Analytica mit den Daten gemacht hat, sondern woher diese stammten. Denn auch wenn Denham auf den Servern, Rechnern und Mailkonten der Marketingleute überwiegend auf handelsübliche Datenbestände von Data Brokern wie Acxiom oder Experian gestoßen ist: die Daten der Millionen Facebook-Nutzer:innen sind alles andere als Standardware.

Es war immer auch ein Facebook-Skandal

Der zu dem Zeitpunkt noch bei der Universität Cambridge angestellte Forscher Alexandr Kogan ergaunerte den Datenschatz für Cambridge Analytica, indem er Facebook vorspielte, sie für wissenschaftliche Zwecke zu sammeln. Er hatte eine App für die Drittanbieterplattform in dem Sozialen Netzwerk entwickelt. Über das Persönlichkeitsquiz „thisisyourdigitalife“ konnte er nicht nur die Daten der Nutzer:innen, sondern auch all ihrer Facebook-Kontakte sammeln, ohne das diese es auch nur mitbekommen hätten.

Die Existenz dieser Daten, von denen für Cambridge Analytica offenbar vor allem die von 30 Millionen US-Amerikaner:innen relevant waren, bestätigt Denham nun nochmal. Nicht nur die von Kogan berechneten psychographischen Profile der Facebook-Nutzerinnen gehörten dazu, sondern auch sämtliche Likes und die Social Graphs der Betroffenen, also die Abbildung all ihrer sozialen Beziehungen in dem Netzwerk.

Dass Facebook dieses Tor zu den Daten seiner Nutzer:innen für App-Entwickler:innen überhaupt so weit aufgelassen hatte, ist ein zentrales Element des Skandals. Schließlich hatte der Konzern etliche interne Warnungen über einen florierenden Schwarzmarkt mit den Nutzer:innendaten viel zu lange ignoriert und Drittanbieter auf seiner Plattform überhaupt nicht kontrolliert. Bis heute hat Mark Zuckerberg sein Versprechen an den US-Senat nicht eingelöst, weitere Datenabflüsse an andere App-Entwickler:innen transparent aufzuarbeitenn. Und bis heute weigert sich Facebook, anders als Twitter und Google, Microtargeting im politischen Kontext einzuschränken.

Der Cambridge-Analytica-Skandal war und ist deshalb immer auch ein Facebook-Skandal. Der Datenkonzern zahlte dafür eine Rekordstrafe von fünf Milliarden US-Dollar an die amerikanische Handelsaufsicht FTC. Auch die britische Datenschutzbehörde verhängte eine Rekordsanktion, aufgrund des geringen Bußgeldrahmens vor Einführung der Datenschutzgrundverordnung betrug sie jedoch nur 500.000 Pfund.

Bis heute im Team Trump

Dass Russland bei all dem mitgemischt hat, war von vornherein keine besonders plausible Annahme. Der Cambridge-Analytica-Skandal drehte sich nie um die Einmischung einer dunklen, fremden Macht – es ging von Beginn an darum, wozu die politischen Akteure innerhalb der demokratischen Systeme fähig sind. Denn ohne Zweifel ist heute belegt, dass Cambridge Analytica direkt mit der Kernkampagne von Donald Trump zusammengearbeitet hat. Dessen Mitarbeiter:innen sind zwar darum bemüht, die Kooperation kleinzureden, doch die Fakten sprechen gegen sie.

Als die britische Firma SCL ihre Tochterfirma Cambridge Analytica gründen wollte, war es Trump-Freund und Milliardär Robert Mercer, der sie finanziell unterstützte. Der Breitbart-Chef und damalige Trump-Stratege Steve Bannon fungierte zwischenzeitlich gar als ein Vize-Chef der Firma. Und es war Kellyane „Alternative Facts“ Conway, die wenig später berühmt gewordene Kommunikationsberaterin des Präsidentin, die als eine Art Verbindungsoffizierin zwischen beiden Organisationen fungierte.

Es ist deshalb keine Überraschung, dass die Datenschutzbehörde bei Cambridge Analytica auch Daten aus dem Bestand des Trump-Lagers gefunden hat, unter anderem Informationen über 30 Millionen Menschen in der Pro-Trump-Facebook-Gruppe „Pro America“ sowie Informationen über Millionen Menschen aus dem „Data Trust“ genannten Datenwarenhaus der republikanischen Partei.

Erst vor wenigen Wochen zeigte der britische Fernsehsender Channel 4 auf der Basis eines Leaks, dass sich anders herum auch die von Cambridge Analytica genutzten psychographischen Profile Trumps eigener Wahlkampf-Datenbank mit Informationen über 200 Millionen wiederfanden. An der engen Kooperation besteht deshalb kein Zweifel. Dem Medium zufolge arbeiten bis heute zwei ehemalige Mitarbeiter von Cambridge Analytica in Trumps 2020er Wahlkampf-Team.

Offene Fragen beim Brexit

Deutlich dünner ist die Evidenz jedoch, wenn es um Cambridge Analyticas Mitwirkung am Brexit-Votum geht. In Kogans Facebook-Datensatz finden sich die Daten von höchstens einer Millionen Briten. Elisabeth Denham stellt zudem erneut klar, dass sie für eine direkte Zusammenarbeit mit Vote-Leave-Gruppierungen keine Belege finden konnte. Diese sei zwar angedacht gewesen, wurde aber offenbar nie in die Tat umgesetzt.

Allerdings bleibt hier bis auf weiteres vieles unklar: So bestätigt die Datenschutzbehörde, dass das Pro-Brexit-Lager eng mit einer kanadischen Firma namens Aggregate IQ zusammengearbeitet hat. SCL hatte dieses Unternehmen in der Vergangenheit als kanadische Tochterfirma beschrieben und Rechnungen für sie gezahlt. Aggregate IQ aber streitet engere Verbindungen zu SCL und Cambridge Analytica ab.

Bleibt am Ende also die Frage nach der Wirkung. Seit Jahren gibt es eine Debatte darum, wie genau Microtargeting wirkt und ob psychographisches Profiling wirklich einen Effekt hat.

Zur Erinnerung: Die Nutzer:innen von Kogans Datensammel-App haben einen Fragebogen zur Analyse von Persönlichkeitseigenschaften ausgefüllt, der nach dem in der Psychologie weit verbreiteten OCEAN-Model funktionierte. Dabei werden Menschen anhand ihrer Aussagen in Kategorien wie „Offenheit“ und „Neurotizismus“ eingeteilt. Schließlich wurden auch die zig Millionen Nutzer:innen, die den Fragebogen gar nicht ausgefüllt hatten, in dessen Kategorien eingeteilt: Auf Basis ihrer Facebook-Daten wurden sie genauso kategorisiert wie die Menschen, denen sie statistisch ähneln.

Hochstapler und zwielichtige Figuren

Denham berichtet davon, dass es intern bei Cambridge Analytica Skepsis gab, ob diese Übertragung funktioniert. Die Kritik hat hier einen wahren Kern. Noch immer wissen wir viel zu wenig darüber, wie Microtargeting wirkt. Dass die Geschichte um Cambridge Analytics so voller zwielichtiger Figuren und Hochstapler ist, die die Macht des Microtargeting rhetorisch ins Unermessliche steigern, macht es nicht besser.

Das fängt bei Alexander Nix an, dem Co-Direktor von SCL und Gründer vom Cambridge Analytica, der stets weniger wie Geschäftsmann und mehr wie ein Bösewicht aus einem Bond-Film wirkte. Er selbst war der fleißigste Verkäufer der Erzählung vom großen Daten-Vodoo, mit dem sich politische Meinungen um 180 Grad drehen lassen und vermeintlich aussichtslose Wahlen gewinnen lassen. Mit der geschickten Eigenvermarktung war er auf Kongressen (auch der deutschen) Marketing-Branche zu Gast.

Dann gibt es da die schillernden Whistleblower:innen. Christopher Wylie ist die Hauptquelle für die Enthüllungsgeschichte im britischen Observer, wandte sich jedoch erst an die Öffentlichkeit, nachdem sein Versuch scheiterte, einen eigenen Cambridge-Analytica-Klon aufzubauen. Brittany Kaiser ist die Hauptfigur einer Netflix-Doku über den Skandal und Autorin eines eigenen Buches, sprang aber erst auf den Zug auf, als ihr Arbeitgeber kurz vor der öffentlichen Implosion stand. Beide sind bis heute um Superlative in Bezug auf ihre alte Firma nie verlegen – auch weil es hilft, ihre eigenen Geschichten, zu verkaufen.

Und nicht zuletzt ist da der selbsternannte Erfinder des psychographischen Profilings mit Facebook-Daten: Der Psychologe Michal Kosinski, der das Verfahren an der Universität Cambridge entwickelte. Er wurde noch vor der Aufdeckung der Machenschaften von Cambridge Analytica durch den „Bombe“-Artikel im Schweizer Magazin [PDF] berühmt, in dem er unwidersprochen von der Qualität seines Prognosemodells schwärmen konnte. Bis heute profitiert Kosinski von dieser Erzählung, hält überall auf der Welt gut bezahlte Vorträge zu einem angeblich unvermeidbaren Privacy-Tsunami und ist damit zum prominentesten Vertreter der längst vergessen Post-Privacy-Ideologie geworden.

Ein paar zehntausend Wahlstimmen machten den Unterschied

Die überzogenen Versprechen der Selbstvermarkter:innen ändern jedoch nichts daran, dass der Fall Cambridge Analytica eine der wichtigsten Enthüllungsgeschichten des letzten Jahrzehnts ist.

Wie kein zweiter hat der Skandal den Einsatz persönlicher Daten im politischen Marketing ins öffentliche Bewusstsein gerückt. Er hat belegt, wie fahrlässig Facebook mit den Daten seiner Nutzer:innen umgeht und war ein Wendepunkt für das öffentliche Image des blauen Datenkonzerns. Er hat gezeigt, wie skrupellos Firmen und Forscher mit den persönlichen Informationen von Bürger:innen umgehen können, wenn man sie lässt. Er hat illustriert, dass der Datenschutz bislang das einzige effektive Mittel ist, um die Grauzonen des politischen Microtargetings auszuleuchten und zu kontrollieren.

Und der Skandal hat bewiesen, dass Donald Trump keine Scheu hatte, sich die Hände schmutzig zu machen, um ins Amt zu gelangen. Hierfür musste er die Sympathisant:innen des demokratischen Lagers gar nicht mit Microtargeting politisch umpolen. Es reichte, sie davon abzuhalten, überhaupt zur Wahl zugehen. Denn am Ende gewann er die Wahl mit ein paar zehntausend Stimmen in einigen Swing States. Gemeinsam mit Cambridge Analytica hat sein Team die Strategie entwickelt, insbesondere Schwarze Menschen mit gezielter Negativwerbung zu demobilisieren. Die Social Graphs, Likes und psychologischen Einschätzungen von 30 Millionen Amerikaner:inen werden daran ihren Anteil gehabt haben.

Intransparenz auch in Deutschland

Die Enthüllungen aus dem Umfeld von Cambridge Analytica gehen derweil weiter. Erst Mitte Oktober hat eine US-amerikanische Nichtregierungsorganisation Beschwerde bei der Federal Election Commission eingelegt. Der Vorwurf: illegale Koordination zwischen Trumps Team und dem von Robert Mercer finanzierten super PAC „Make America Number 1“, bei der Cambridge Analytica als Mittlerin fungiert hat.

Wer die Warnung von ICO-Chefin Denham vor der Verletzlichkeit demokratischer Systeme durch den Missbrauch persönlicher Daten im politischen Kontext ernst nehmen will, muss allerdings nicht erst über den Atlantik schauen. Auch in Europa werden datengetriebene Kampagnen mehr und mehr zum Standard. Das muss an sich noch kein Problem sein und die Datenschutzgrundverordnung schränkt die Missbrauchswahrscheinlichkeit ein. Doch das Beispiel der österreichischen Post, die Kontaktdaten und Informationen zu politischen Affinitäten von Millionen Menschen an Parteien verkaufte, zeugt davon, dass auch hierzulande Grenzen überschritten werden.

In Deutschland sind Politiker:innen beim Microtargeting vergleichweise zurückhaltend, verweigern sich jedoch bis heute echter Transparenz. Die aber wäre das Mindeste, um Missbrauch zu verhindern. Noch besser wären demokratisch legitimierte Regeln für die Nutzung persönlicher Daten in der politischen Kommunikation.

Elisbaeth Denham hat ihre Untersuchungen im Fall Cambridge Analytica nun beendet. Das Thema ist für sie allerdings lange nicht vorbei. In ihrem Brief an das Parlament kündigte sie für nahe Zukunft weitere Untersuchungen an. Neben der Branche der Datenhändler und um dem Psychologie-Departement der Universität Cambridge will sie auch die Datennutzung der britischen Parteien in den Blick nehmen.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

5 Ergänzungen
  1. „In Wahrheit konnte die Datenschutzbehörde nur Datenbanken mit 50 bis 500 Datenpunkten über jeweils 160 Millionen Individuen aufspüren, inklusive Daten über Konsum- und Wahlverhalten. Außerdem eine Datenbank mit jeweils 3.000 Datenpunkten über 100 Millionen Menschen.“

    Wie würde wohl die Schufa-, Bürgel-, Arvato- und wie sie alle heissen -Riege über ein Angebot solcher Daten entscheiden?

  2. Neeeein, Russland war und ist nicht beteiligt, Ehrenwort!
    Nur, dass der zentrale Forscher Aleksandr Kogan heißt (dies als Korrektur!) und gebürtiger Russe ist.
    Aber das heißt natürlich nichts …

    1. Danke für den Typo-Hinweis beim Vornamen. Aber mal unabhängig davon, dass Kogan aus Moldawien und nicht aus Russland kommt: Geburtsort, wow, ganz heiße Spur. Ist Peter Thiel jetzt deutscher Spion, weil er in Frankfurt geboren wurde?

  3. „Als die britische Firma SCL ihre Tochterfirma Cambridge Analytica gründen wollte, war es Trump-Freund und Milliardär Robert Mercer, der sie finanziell unterstützte. Der Breitbart-Chef und damalige Trump-Stratege Steve Bannon fungierte zwischenzeitlich gar als ein Vize-Chef der Firma. Und es war Kellyane „Alternative Facts“ Conway, die wenig später berühmt gewordene Kommunikationsberaterin des Präsidentin, die als eine Art Verbindungsoffizierin zwischen beiden Organisationen fungierte.“

    Dass ausgerechnet Euch dieser Fauxpas passiert: in dieser Reihe fehlen doch wohl zwei wichtigen Namen, die sowohl für die Verbindung zu Facebook, die Verbindung zu Trump und die Verbindung zu Cambridge Analytica stehen: Peter Thiel und dessen Firma Palantir.

    https://www.nytimes.com/2018/03/27/us/cambridge-analytica-palantir.html

    Auch deshalb ist es wenig realistisch, dass hier ein „äußerer Feind“ agiert hat. Die offenkundigsten Verbindungen führen zu einer kleinen, skrupellosen amerikanische Milliardärsclique, die Einen der Ihren ins Weiße Haus hiefen wollte – und deren Software deutsche und europäische Innenpolitiker z.T. direkt in europäische Staatsapparate installieren (Hessen-Data), und dafür gleich ganze Gesetze fast schon für sie maßschneidern (Hamburg, „Lex Palantir“).

    https://netzpolitik.org/?s=palantir

  4. Fällt in „sich“ zusammen.

    Das ist wahrscheinlich die einzige Karte in einem noch viel größeren Kartenhaus, bei der man es mal „legal“ probiert hatte ;).

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.