Die hohen Bußgelder gegen Meta haben in letzter Zeit für Schlagzeilen gesorgt, aber eine Entscheidung ist unter dem Radar geflogen: das Urteil des EU-Gerichtshofs zum Bundeskartellamt.
Das ist eine Schande, denn das Urteil hat es in sich. Es wirft Metas Compliance-Strategie über den Haufen, stellt das gesamte Geschäftsmodell des Unternehmens in Frage und könnte Big Tech auf lange Sicht eine Menge Probleme bereiten, da es den Wettbewerbsbehörden erlaubt, den Marktmissbrauch zu untersuchen.
Nicht zuletzt stellt das Urteil klar, dass Analyse-Cookies sensible Daten sammeln können und dies oft auch tun(raten Sie mal, wer das die ganze Zeit behauptet hat?).
Es gibt viel zu dieser Entscheidung zu sagen, daher werden wir die Analyse in zwei Teile aufteilen. In diesem Blog wird analysiert, was das Urteil über sensible Daten aussagt und welche Bedeutung es im Gesamtbild hat. Der zweite Blog befasst sich mit dem Rest der Entscheidung und erklärt, wie sie sich sowohl auf das Geschäftsmodell von Meta als auch auf Big Tech im Allgemeinen auswirken könnte.
Hier erfahren Sie, worum es in der Entscheidung des Bundeskartellamts geht, was sie bedeutet und warum sie ein Wendepunkt sein könnte!
- Worum geht es in dem Fall?
- Was besagt das Urteil?
- Was besagt das Urteil über sensible Daten?
- Ist das überraschend?
- Was bedeutet das für Cookie-basierte Analysen?
- Schlussfolgerungen
Worum geht es in dem Fall?
Der Fall des Bundeskartellamts ist zwischen dem Datenschutzrecht und dem Kartellrecht angesiedelt. Im Jahr 2019 stellte dasBundeskartellamt fest, dass Meta seine marktbeherrschende Stellung auf dem Social-Media-Markt missbraucht. Um diesen Missbrauch zu korrigieren, ordnete die Behörde an, dass das Unternehmen seine Nutzungsbedingungen und Datenschutzrichtlinien für deutsche Nutzer ändern muss.
Zusammenfassend stellte die Behörde fest, dass Meta keine Off-Facebook-Daten (d. h. Daten, die auf anderen Websites durch Facebook-Cookies und andere Tracker gesammelt werden) ohne die Zustimmung der Nutzer verarbeiten darf. Sie stellte auch die Rechtsgrundlagen von Meta für die Bereitstellung personalisierter Werbung für Facebook-Nutzer in Frage.
Meta tat, was Big Tech immer tut, und focht die Entscheidung bis zum Ende an. Diese Strategie ging nach hinten los und führte am 4. Juli zu einem noch schlimmeren Urteil des Europäischen Gerichtshofs (EuGH).
Was besagt das Urteil?
Es gibt viel zu analysieren im Bundeskartellamt, aber hier sind einige der wichtigsten Punkte:
- Web-Analyse-Cookies können sensible Daten sammeln
- eine Wettbewerbsbehörde kann Verstöße gegen die DSGVO bei der Beurteilung des Missbrauchs einer marktbeherrschenden Stellung berücksichtigen
- Facebook darf ohne Zustimmung keine gezielte Werbung schalten.
Um es klar zu sagen: Der EuGH "entscheidet" nicht wirklich Fälle, sondern klärt die Auslegung des Rechts. Wenn wir also sagen, dass "der Gerichtshof festgestellt hat, dass Facebook ohne Zustimmung keine gezielte Werbung schalten darf", dann meinen wir damit, dass der EuGH eine Auslegung der Datenschutz-Grundverordnung bestätigt hat, nach der Facebook höchstwahrscheinlich sensible Daten verarbeitet. Ob dies letztendlich der Fall ist, muss das deutsche Gericht auf der Grundlage der Fakten des Falles entscheiden. Aber wenn es um die Bedeutung des Gesetzes geht, ist das Gericht an das Urteil des EuGH gebunden.
Schauen wir uns nun an, was der EuGH über sensible Daten gesagt hat und warum das so wichtig ist.
Was besagt das Urteil über sensible Daten?
Meta verfolgt Facebook-Nutzer nicht nur in seinem eigenen sozialen Netzwerk. Es verwendet auch Cookies, APIs und andere Tools, um das Surfverhalten der Nutzer und die Nutzung von Apps außerhalb der Plattform zu verfolgen. In der Rechtssache Bunderskartellamt stellte das Gericht fest, dass diese Tracker sensible Daten sammeln, wenn jemand bestimmte Websites besucht oder bestimmte Apps nutzt (z. B. Dating-Apps für Schwule).
Zwei sehr wichtige Dinge müssen beachtet werden. Erstens: Diese Tracker funktionieren genauso wie alle Cookies, die im Webmarketing und in der Analyse verwendet werden. Die dem Urteil zugrundeliegenden Überlegungen gelten also für jeden Cookie-basierten Analysedienst (einschließlich des größten Anbieters, Google Analytics).
Zweitens: Der Gerichtshof hat ganz klar festgelegt, dass ein Datensatz als sensible Daten behandelt werden muss, wenn er sensible Daten enthält. Wenn Sie täglich eintausend Besucher haben und nur einer von ihnen die Nebenwirkungen seiner Medikamente googelt, dann müssen alle Daten als sensibel behandelt werden.
Unterm Strich sammeln Webanalyse- und Marketing-Cookies sensible Daten, und zwar sehr, sehr oft.
Dies ist keine Hypothese, sondern eine logische Konsequenz des Bundeskartellamtes. Es ist nur eine Frage der Zeit, bis ein Gericht oder eine Datenschutzbehörde diesen Punkt im Umgang mit Google Analytics oder anderen Cookie-basierten Analyseanbietern feststellt.
Ist das überraschend?
Nein, überhaupt nicht. Diese Entscheidung ist die Folge eines älteren Urteils, das wir bereits eingehend analysiert haben - und schon damals haben wir es kommen sehen.
Hier sind die rechtlichen Fragen, um die es geht. Die Datenschutz-Grundverordnung behandelt einige besondere Datenkategorien als sensible Daten. Dabei handelt es sich um Informationen wie Ihre sexuelle Orientierung, Ihre religiöse und politische Zugehörigkeit, Daten über Ihre Gesundheit und so weiter. Sensible Daten stellen ein großes Problem dar, wenn sie missbraucht werden oder in die falschen Hände geraten, weshalb die Anforderungen an die Verarbeitung sensibler Daten strenger sind als die an die Verarbeitung allgemeiner personenbezogener Daten.
Früher haben wir uns diese besonderen Datenkategorien als eine Reihe von beschrifteten Kästchen vorgestellt. Es gab ein Kästchen für die sexuelle Ausrichtung, eines für religiöse Überzeugungen, eines für die ethnische Herkunft und so weiter. Alles, was sich in den Kästchen befand, waren sensible Daten, alles, was sich außerhalb der Kästchen befand, nicht. Es gab einige unklare Fälle, aber das war's dann auch schon.
Aber hier ist der Haken: Was passiert, wenn man die Daten außerhalb der Box verwenden kann, um herauszufinden, was sich darin befindet? Werden dann auch die Daten außerhalb der Box zu sensiblen Daten?
Letztes Jahr hat der Gerichtshof mit "Ja" geantwortet und die Büchse der Pandora geöffnet.
DasBundeskartellamt ist die logische Konsequenz aus diesem Präzedenzfall. Die DSGVO besagt nicht, dass der Browserverlauf und die App-Nutzung sensible Daten sind, aber man kann aus dem Browserverlauf viele Rückschlüsse auf jemanden ziehen - und ein Teil dieser Rückschlüsse bezieht sich oft auf sensible Daten. Sie müssen also alle diese Daten als sensible Daten behandeln.
Was bedeutet das für Cookie-basierte Analysen?
In einem Wort: Es bedeutet Ärger. Sensible Daten sind sehr streng geregelt. Wenn Sie Cookie-basierte Analysen verwenden, müssen Sie alle Regeln für die Verarbeitung sensibler Daten einhalten, was nicht einfach ist.
Beispielsweise dürfen sensible Daten nach der Datenschutz-Grundverordnung nur in bestimmten Fällen verarbeitet werden. Bei der Webanalyse ist das einzige plausible Szenario, dass eine ausdrückliche Zustimmung vorliegt. Wie würde das in der Praxis funktionieren?
Nun, die Online-Werbebranche tut sich selbst mit der Einholung einer "einfachen", nicht expliziten Einwilligung nach der DSGVO schwer. Zahllose Websites erpressen die Einwilligung durch trügerische Cookie-Banner, obwohl dies nicht konform ist. Das derzeitige Umfeld der Online-Werbung ist in keiner Weise in der Lage, die höheren Anforderungen an eine ausdrückliche Einwilligung zu erfüllen.
Die ausdrückliche Zustimmung ist nicht das einzige Problem. Artikel 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DPIA) in bestimmten risikoreichen Verarbeitungsszenarien, zu denen auch die groß angelegte Verarbeitung sensibler Daten gehört. Es ist nicht zu 100 % klar, was " in großem Umfang" bedeutet, aber es ist nicht abwegig anzunehmen, dass diese Vorschrift für viele Websites gelten würde, die Cookie-basierte Analysen verwenden - und sie würde definitiv für größere Websites gelten.
In der Praxis müssten diese Websites in ihren Unterlagen erklären, warum es eine gute Idee ist, eine große Menge sensibler Daten von Besuchern zu sammeln und sie in den Müllcontainer der Online-Werbung zu werfen, und warum dies keine untragbaren und unverhältnismäßig hohen Risiken für den Datenschutz mit sich bringt. Neben der Bewertung der Risiken müssen die Unternehmen auch erklären, wie sie diese Risiken zu mindern gedenken.
Viel Glück dabei.
Insgesamt wird das Bundeskartellamt sicherlich ein sehr ernstes Problem für Websites, die mit sensiblen Themen zu tun haben, und für Cookies von Dritten im Allgemeinen.
Apropos, die norwegische Datenschutzbehörde hat einige interessante Ratschläge zur Webanalyse (bitte beachten Sie, dass wir für den norwegischen Text eine maschinelle Übersetzung verwenden):
Norwegen ist kein EU-Mitgliedstaat, aber es ist Mitglied des EWR. Die Datenschutz-Grundverordnung gilt also uneingeschränkt, und die Behörde denkt hier an europäisches Recht - nicht an norwegisches Recht! Und es ist wohl kein Zufall, dass dieser Hinweis kurz nach dem Bundeskartellamt veröffentlicht wurde.
Das bedeutet nicht, dass andere europäische Behörden zwangsläufig damit einverstanden sind, aber wir sind nicht die Einzigen, die glauben, dass die Cookie-basierte Analyse ein ernsthaftes Compliance-Problem mit sensiblen Daten hat.
Schlussfolgerungen
DasBundeskartellamt ist nicht gerade eine Offenbarung. Datenschützer haben schon seit Jahren auf die Risiken von Tracking-Technologien aufmerksam gemacht. Wir wussten schon lange vor dem Urteil, dass Werbung auf der Grundlage von Cookies gefährlich ist und extrem in die Privatsphäre des Einzelnen eingreift.
Aber es ist wichtig, auf das Offensichtliche hinzuweisen, denn viele Unternehmen spielen die Risiken des Trackings systematisch herunter.
Google und viele andere Anbieter müssen das Produkt anpreisen, also versuchen sie alles, um die Datenschutzprobleme unter den Teppich zu kehren. Sie spielen die rhetorische Karte der Nutzerkontrolle über die Daten aus, obwohl sie wissen, dass dieser Anschein von Kontrolle nichts als eine Farce ist.
Die Kunden dieser Unternehmen glauben das und machen sich keine allzu großen Gedanken über die Auswirkungen der von ihnen verwendeten Tools auf den Datenschutz. Schließlich ist die Cookie-basierte Analyse mittlerweile Standard. Jeder macht das schon seit Jahren, also kann es nicht so schlimm sein!
Aber es ist so schlimm, und das Bundeskartellamt beweist zweifelsfrei, dass die derzeitigen Praktiken in der Webanalyse und im Marketing weder GDPR-konform noch langfristig tragfähig sind.
Alles in allem wäre dies ein guter Zeitpunkt, um Cookies ganz abzuschaffen. Webanalyse ohne Cookies ist durchaus möglich, und das ist genau das, was wir tun.
Wir haben Simple Analytics entwickelt, um Unternehmen alle nötigen Einblicke zu geben, ohne persönliche Daten zu sammeln! Der Datenschutz ist der Eckpfeiler von Simple Analytics. Wir verwenden keine Cookies, Fingerabdrücke oder verfolgen Nutzer in irgendeiner Weise. Wenn sich das gut anhört, können Sie uns gerne ausprobieren!