Dieser Beitrag stammt aus der frühen öffentlichen Reaktion auf die Cambridge-Analytica-Affäre im März 2018. Aus heutiger Sicht ist er vor allem als zeitgebundene Einordnung einer eskalierenden Debatte über Plattformdaten, Drittanbieter-Zugriffe und Nutzertransparenz zu lesen. Wer die heutige Rechtslage zu Verantwortlichkeit, Informationspflichten und belastbaren Datenschutzstrukturen systematisch einordnen will, findet die passende Vertiefung im Datenschutzrecht; bei kanal- und plattformbezogenen Anschlussfragen ist Social Media Recht die nähere Schnittstelle.
Das Wichtigste vorab
- Der Text bildet eine Momentaufnahme unmittelbar nach Bekanntwerden der Affäre ab.
- Heute liegt der Mehrwert vor allem in der historischen Einordnung: Die Diskussion um App-Zugriffe, Datenweitergabe und Nutzeraufklärung war kein Randthema, sondern ein früher Wendepunkt der Plattformregulierung.
- Praktisch relevant bleiben bis heute transparente Datenflüsse, klare Rollenverteilungen, sparsame Berechtigungen und belastbare Reaktionswege bei Plattform- und App-Konstellationen.
Stand April 2026
Der hier beschriebene Vorgang war rückblickend kein kurzer Empörungsmoment. Die britische Datenschutzaufsicht ICO ordnete die Cambridge-Analytica-Sache als Teil ihrer Untersuchung zum Einsatz von Datenanalytik in politischen Kampagnen ein. 2019 verhängte die US-amerikanische FTC gegen Facebook eine 5-Milliarden-Dollar-Sanktion mit zusätzlichen Datenschutzauflagen; im selben Jahr stellte die FTC auch förmlich fest, dass Cambridge Analytica täuschend personenbezogene Facebook-Daten für Profiling und Targeting erhoben hatte. In Australien wurde Ende 2024 ein Zahlungsprogramm über 50 Millionen Dollar für betroffene Facebook-Nutzer vereinbart; seit Juni 2025 läuft dort die Registrierung. Für die Einordnung dieses älteren Beitrags ist deshalb wichtig: Die damalige Diskussion war der Auftakt zu einer langen Kette aus Aufsicht, Durchsetzung und neuen Erwartungen an Plattformverantwortung.
Facebook, der Datenschutz-Skandal und die Nutzersicht
Mal ehrlich: ist die aktuell bei Facebook geschehene Datenweitergabe nun so überraschend für uns Facebook-Nutzer? Und an alle „FarmVille-Spieler“: Macht ihr euch darüber kundig und wen interessiert's, welche Daten an den App-Anbieter abfließen? Habt ihr eigentlich mal die Datenschutzbestimmungen oder vielleicht sogar die AGB bei Facebook gelesen? Und wenn, habt ihr bei Ziffer 14.1.8.3, Unterabschnitt f) aufgehört zu lesen und damit wie bei Amazon die Zombie-Apokalypse oder wie bei Apple die ewige Verpfändung eures Geistes überlesen?
Oder gilt nicht eher das Zitat des russischen Schriftstellers Tschechow, welches der Deutschland-Funk in seiner heutigen Morgensendung bemühte: „Wenn im ersten Akt ein Gewehr an der Wand hängt, kann man davon ausgehen, dass es im letzten Akt abgefeuert wird“.
Am Montag jedenfalls wurde bekannt ( Überraschung? ), dass die Datenanalyse-Firma, Cambridge Analytics, die nach Angaben ihres zwischenzeitlich suspendierten Chefs einen Großteil des Wahlkampfs für Trump betrieben hat, Zugriff auf Facebook-Daten von bis mehreren Millionen Menschen gehabt haben soll. Damit soll die Firma den Wahlkampf zugunsten Trumps formiert – und womöglich zum Sieg verholfen haben. Diese Angaben hatte der suspendierte Chef gegenüber einem vermeintlichen Kunden gemacht. Dieser Kunde stellte sich später Reporter von Channel 4, einem britischen Fernsehsender, heraus.
Wie ist die Cambridge Analytics an die wertvollen Daten gekommen?
Nach den neuesten Berichten der New York Times und des britischen Observer soll ein Professor eine Umfrage zu Persönlichkeits-Merkmalen per App bei Facebook initiiert haben. Diese App soll er bei Facebook als wissenschaftliche Forschung angemeldet haben. Mindestens 270.000 Nutzer sollen, natürlich freiwillig, an dem Test teilgenommen haben. Durch die Teilnahme sollen auch Daten der Freunde der jeweiligen Teilnehmer ausgelesen worden sein. Diese gesamten erhobenen Nutzerdaten sollen dann an die Cambridge Analytica weitergegeben worden sein, ohne dass die Teilnehmer hierüber aufgeklärt worden seien, geschweige denn in die Weitergabe eingewilligt hätten.
Facebook bezahlt hart für den noch nicht erwiesenen Verstoß: Der Kurs der Facebook-Aktie hatte am Montag um sieben Prozent nachgegeben. Dies entspricht einem Börsenwert von rund 35 Milliarden Dollar.
Diese und unzählige weitere vermeintliche Verstöße gegen geltenden Datenschutzrechte gehen jährliche durch die Presse. Die Aufregung ist immer groß. Mit dem 25.05.2018, dem Zeitpunkt der unmittelbaren Anwendung der DS-GVO, werden aufgrund des neu eingeführten Marktortprinzips auch Facebook und Co. nicht mehr dem häufig im Staat der Niederlassung laxeren Datenschutzrecht unterfallen, sondern sich ebenfalls an die Prinzipien und Vorschriften der DS-GVO halten müssen.
Täglich haben wir in unserer Kanzlei viele und vielfältige Anfragen von Unternehmen rund um die DS-GVO. Fragen zu der konkreten Umsetzung, zu Absicherung vor Verantwortlichkeit und Haftung, Fragen zur Ausgestaltung von Datenschutzerklärungen, der Gestaltung von Auftragsverarbeitungsverträgen, den bestehenden Pflichten als App-Anbieter, und vielem mehr. Die Unternehmen scheuen keine Kosten und Mühen, um sich, ihre Datenströme und die Nutzer abzusichern. Auch wir als Kanzlei haben einiges zu tun mit der Umsetzung der neuen Vorschriften.
Wirklich funktionieren im Sinne einer datensparsameren Kommunikationswelt kann die gesamte Umsetzung der DS-GVO aber nur, wenn wir Nutzer uns dabei auch mal an die eigene Nase fassen und im Umgang mit unseren persönlichen Daten bewusster werden. Alternativ sollten wir künftig jedenfalls etwas leiser aufschreien, wenn mal wieder Datenpannen in den Medien zerpflückt werden.
Was davon heute noch wichtig ist
Drittanbieter-Zugriffe bleiben ein Kernproblem
Der Fall steht beispielhaft dafür, dass Datenschutzrisiken nicht nur aus klassischen Sicherheitslücken entstehen. Schon weit gefasste App-Berechtigungen, Login-Integrationen und unklare Weitergaben an Dritte können erhebliche Folgen auslösen.
Transparenz endet nicht im Kleingedruckten
Wer personenbezogene Daten über Plattformen, Apps oder angeblich harmlose Zusatzfunktionen erhebt, muss Zwecke, Empfänger, Reichweite und Konsequenzen für Betroffene nachvollziehbar offenlegen. Genau daran scheitern viele Konstellationen bis heute.
Für Unternehmen zählt belastbare Steuerung
Relevant sind heute weniger spontane Empörungswellen als sauber dokumentierte Entscheidungen zu Datenflüssen, Rollen, Berechtigungen, Einwilligungen, Informationspflichten und Reaktionsprozessen. Die vertiefte Einordnung dazu findet sich im Datenschutzrecht.
Knappe Abgrenzung
Der vorliegende Beitrag betrifft die Cambridge-Analytica-Konstellation rund um Drittanbieter-Apps, Datenweitergabe und politische Profilbildung. Er steht damit neben anderen, späteren Facebook-/Meta-Verfahren zu Werbedaten, Fanpages, Scraping oder Plattformverantwortung und ersetzt deren gesonderte rechtliche Bewertung nicht.
Offizielle Quellen und weiterführende Hinweise
- FTC: 5-Milliarden-Dollar-Sanktion und neue Datenschutzauflagen für Facebook
- FTC: Anordnung gegen Cambridge Analytica wegen irreführender Erhebung von Facebook-Daten
- ICO: Untersuchung zum Einsatz von Datenanalytik in politischen Kampagnen
- OAIC: Enforceable Undertaking und Zahlungsprogramm für betroffene australische Nutzer
- OAIC: Registrierung zum Zahlungsprogramm seit Juni 2025
Datenpanne bei Facebook – Überraschung?