Personalisierte Werbung: Irland muss Riesenbusse verhängen
Es war ein widerwilliger Schlag mit Signalwirkung: In der ersten Januarwoche kommunizierte die irische Datenschutzbehörde DPC (Metas EU-Hauptsitz befindet sich in Irland), dass sie Bussen für Datenschutzverletzungen von Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) ausgesprochen hat. Zudem muss Meta ihre Datenverarbeitung innert drei Monaten der EU-Gesetzgebung unterstellen. Denn, so stellte die Behörde fest, Metas Nutzung personenbezogener Daten war seit der Einführung der EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 rechtswidrig.
Damit folgte die DPC den Vorgaben der EU-Datenschützer, welche sie im Grunde dazu zwangen, härter gegen Metas Geschäft mit Personendaten vorzugehen (Infosperber berichtete). Die DPC hatte ursprünglich weit tiefere Bussen ausgesprochen.
Doch ganz sicher ist noch nichts. Denn Meta hat angekündigt, gegen die Entscheidung der Behörde in Berufung zu gehen. Auch wenn die Chancen eines Rekurses nach dem verbindlichen Entscheid der EU-Datenschutzbehörde minimal sind, könnte Meta so die Anpassung des eigenen Geschäftsmodells ans EU-Gesetz auch nach viereinhalb Jahren weiter hinauszögern.
Der Konzern ist anscheinend der Meinung, dass er seine Dienste ganz grundsätzlich nur personalisiert anbietet, was neben der Anzeige personalisierter Newsfeeds auch die Ausspielung personalisierter Werbung beinhaltet. «Wir sind der festen Überzeugung, dass unser Vorgehen die DSGVO respektiert, und sind deshalb enttäuscht von diesen Entscheidungen und beabsichtigen, gegen sie zu rekurrieren», sagte eine Sprecherin gegenüber der Irish Times.
Die irische Datenschutzbehörde ist zusätzlich auf Konfrontationskurs mit den EU-KollegInnen. Diese forderten die DPC nämlich auf, eine neue Untersuchung der Datenbearbeitungen aller Meta-Dienste vorzunehmen. Die DPC sagte gegenüber TechCrunch, dabei handle es sich um Überregulierung, und will sich angeblich rechtlich gegen den Auftrag wehren, die eigene Arbeit gründlicher zu machen.
Vorgehen der irischen Datenschutzbehörde irritiert
Die NGO «noyb» (Akronym von «none of your business»), Klägerin gegen Meta in dieser Sache, zeigte sich zwar zufrieden mit dem Entscheid. Gleichzeitig ist sie aber weiterhin höchst erstaunt über das Verhalten der irischen Behörde. Die DPC habe sich im Lauf des Verfahrens zehnmal mit Meta getroffen und dem Konzern angeblich erlaubt, die DSGVO mit der entsprechenden Begründung zu umgehen. «Jahrelang hat die DPC darauf bestanden, dass Meta die DSGVO umgehen darf, wurde aber nun von den anderen EU- Behörden überstimmt. Es ist insgesamt das vierte Mal in Folge, dass die irische DPC überstimmt wurde», sagte noyb-Vertreter Max Schrems.
Im Gegensatz zu Meta stellte die DPC noyb die Entscheidung zuerst nicht zu. Schrems zeigte sich darüber auf Twitter äusserst irritiert – er kommentierte mit: «F*cking crazy… ? ». «In zehn Jahren als Jurist habe ich noch nie erlebt, dass eine Entscheidung nur einer Partei zugestellt wurde, aber nicht der anderen. Die DPC spielt ein zynisches Spiel mit der Öffentlichkeit. Indem sie noyb und der Öffentlichkeit nicht erlaubt, die Entscheidung zu lesen, versucht sie, das Narrativ gemeinsam mit Meta zu prägen. Es scheint, dass die Zusammenarbeit zwischen Meta und der irischen DPC weiter sehr lebendig ist.»
Erst am 12. Januar 2023 veröffentlichte die irische Behörde ihre Entscheidung. Max Schrems von noyb kommentierte: «Die Entscheidung liest sich wie eine Hausaufgabe, bei der sich der Schüler nicht einmal darum gekümmert hat, Fehler zu ändern, sondern einfach die Korrekturen des Lehrers in einen Text kopiert hat.» Und: «Offenbar ist die Datenschutzbehörde mehr daran interessiert, die Nutzer auf transparente Weise zu bescheissen, als sie überhaupt nicht zu bescheissen.»
Der Entscheid löste besonders in den USA, die kein nationales Datenschutzgesetz haben, ein grosses Medienecho aus. Die New York Times schrieb zum Beispiel: «Änderungen, die Meta aufgrund dieses Entscheids anbringen muss, könnten auch UserInnen in den USA betreffen, da viele Tech-Unternehmen EU-Regeln global anwenden, weil das einfacher ist, als sie nur in EU-Ländern zu implementieren.»
Die Datenschutzjournalistin Natasha Lomas von TechCrunch spricht gar von einer neuen Durchsetzungsdynamik in der EU, die sich auch auf andere Anbieter auswirken könnte. «Dass Facebook jahrelang über den Verkauf illegaler Werbung von den Daten der EuropäerInnen profitiert hat, heisst nicht, dass andere werbefinanzierte Plattformen von den EU-Regulierern dieselbe Behandlung erfahren werden. Endlich ist die Rechtsdurchsetzung hier.»
EDÖB kommentiert zurückhaltend
Auch in der Schweiz werden heftig kritisierte Geschäfte mit personalisierter Werbung betrieben, bei denen die NutzerInnen ungenügend über die Verwertung ihrer persönlichen Daten informiert werden (Infosperber berichtete). Deshalb ist nicht unwichtig, wie der Eidgenössische Datenschutzbeauftragte (EDÖB) den Meta-Konflikt interpretiert.
Auf Infosperber-Anfrage antwortete sein Büro zurückhaltend: «Die Frage ist in der EU nicht ganz unumstritten, wie es sich auch in den Differenzen zwischen der irischen Aufsichtsbehörde und dem Europäischen Datenschutzausschuss zeigt.» Es gelte einen möglichen Entscheid des Europäischen Gerichtshofs (EuGH) über einen allfälligen Meta-Rekurs abzuwarten.
«Sollte die Auffassung des Europäischen Datenschutzausschusses durch den EuGH bestätigt werden, dann dürften auch die Nutzenden in der Schweiz davon profitieren. Allerdings dürfen wir nicht ausser Acht lassen, dass ein Urteil des EuGH keine unmittelbare Wirkung in der Schweiz hätte.»
Der juristische Hintergrund gemäss «noyb»
Die NGO noyb, Klägerin im Verfahren gegen Meta, stellt die Rechtslage aufgrund der im Mai 2018 eingesetzten EU-Datenschutzgrundverordnung (DSGVO) folgendermassen dar:
«Die DSGVO sieht sechs Rechtsgrundlagen für die Verarbeitung von Daten vor, eine davon ist die Einwilligung gemäss Artikel 6(1)(a). Meta versuchte, das Erfordernis der Einwilligung für Tracking und Online-Werbung zu umgehen, indem es argumentierte, dass Anzeigen ein Teil des ‹Dienstes› sind, den es den Nutzer:innen vertraglich schuldet. Der angebliche Wechsel der Rechtsgrundlage fand genau am 25. Mai 2018 um Mitternacht statt, als die DSGVO in Kraft trat. Die «vertragliche Erforderlichkeit» nach Artikel 6(1)(b) wird in der Regel eng verstanden. Sie würde es beispielsweise einem Online-Shop erlauben, die Adresse an einen Postdienstleister weiterzuleiten, da dies für die Zustellung einer Bestellung unbedingt erforderlich ist. Meta vertrat jedoch die Ansicht, dass es einfach beliebige Elemente in den Vertrag einfügen könnte (wie z. B. personalisierte Werbung), um eine Ja/Nein-Einwilligung für die Nutzer zu vermeiden.»
Themenbezogene Interessenbindung der Autorin/des Autors
Keine
_____________________
Meinungen in Beiträgen auf Infosperber entsprechen jeweils den persönlichen Einschätzungen der Autorin oder des Autors.