Wie das Wall Street Journal berichtet, hat der Europäische Datenschutzausschuss festgestellt, dass Meta auf seinen Plattformen unrechtmäßig Nutzerprofile für gezielte Werbung erstellt hat. Gegen die Entscheidung kann Berufung eingelegt werden, aber es ist unwahrscheinlich, dass sie gekippt wird. Derzeit liegen keine Informationen über Sanktionen vor, aber angesichts der Menge an personenbezogenen Daten, um die es geht, könnte es zu einer saftigen Geldstrafe kommen.
Die Entscheidung geht auf eine Beschwerde zurück, die 2018 von der Datenschutz-NGO noyb eingereicht wurde, und hebt praktisch eine frühere Entscheidung der irischen Datenschutzbehörde (DPC) auf. Obwohl die Entscheidung noch nicht veröffentlicht wurde, ist das Bild ziemlich eindeutig, da einige Informationen über die Beschwerde bereits seit langem öffentlich zugänglich sind.
In diesem Blog erklären wir, was es mit Meta auf sich hat und warum es eine Folge eines umfassenderen Problems mit dem Geschäftsmodell hinter den sozialen Medien ist.
Lasst uns eintauchen!
Die Entscheidung
Um es klar zu sagen: Der EDPB hat nicht gesagt, dass gezielte Werbung auf Social-Media-Plattformen an sich illegal ist. Der Ausschuss stellte fest, dass Meta illegal Profile von Nutzern erstellt, weil es eine bestimmte Rechtsgrundlage gemäß der Datenschutz-Grundverordnung missbraucht - die Erfüllung eines Vertrags. Dies mag wie ein kleines Detail erscheinen, ist es aber nicht. Schauen wir uns das Problem genauer an.
Wie wir in unserem Blog erläutert haben, benötigt jeder für die Datenverarbeitung Verantwortliche nach der DSGVO eine Rechtsgrundlage für die Verarbeitung von Daten, d. h. eine Rechtfertigung wie die Einwilligung der betroffenen Person oder eine rechtliche Verpflichtung. Die DSGVO enthält eine geschlossene Liste von sechs Rechtsgrundlagen, von denen jede ihre eigenen Anforderungen hat.
Seit dem Inkrafttreten der DSGVO im Jahr 2018 hat Meta die Erfüllung eines Vertrags als Rechtsgrundlage verwendet, um Nutzern personalisierte Werbung auf der Grundlage ihrer Online-Aktivitäten zu zeigen. Damit hat Meta im Wesentlichen behauptet, dass personalisierte Werbung ein wesentlicher Bestandteil ihres Vertrags mit dem Nutzer ist (d. h. der Nutzungsbedingungen für Facebook und Instagram). Noyb behauptete, dass Meta die Rechtsgrundlage des Vertrags missbrauche, und erhob 2018 Klage und reichte die Beschwerde ein, die zur Entscheidung des EDPB führte.
Das Urteil selbst ist absolut nicht überraschend. In der europäischen Rechtsprechung ist seit langem geklärt, dass die Rechtsgrundlage des Vertrags nur Verarbeitungstätigkeiten abdeckt, die für die Erfüllung des Vertrags unbedingt erforderlich sind. Dies ist bei gezielter Werbung offensichtlich nicht der Fall. Darüber hinaus hat der EDPB selbst in seinen Leitlinien klargestellt, dass ein Vertrag keine geeignete Rechtsgrundlage für verhaltensbezogene Online-Werbung ist.
Aber warum konnte sich Meta nicht einfach auf eine andere Rechtsgrundlage stützen? Das ist ein bisschen kompliziert, deshalb fassen wir uns hier kurz und bündig und fügen in den Anmerkungen einige weitere Details hinzu. Kurz gesagt, wenn Meta sich nicht auf einen Vertrag berufen hätte, wäre sie gezwungen gewesen, stattdessen die Zustimmung der Nutzer einzuholen. Dies ist ein heikles Unterfangen, denn ein Nutzer könnte gezielte Werbung einfach ablehnen oder sich dagegen entscheiden. Da sich die Internetnutzer immer mehr der Privatsphäre bewusst werden, könnte dies die Werbeeinnahmen des Unternehmens erheblich beeinträcht igen.
(Hinweis: Meta verlässt sich bei der Profilerstellung immer noch nicht auf die Zustimmung der Nutzer. Weitere Einzelheiten finden Sie in den Aktualisierungen unten)
Unterm Strich hat Meta die Vorschriften umgangen und ist vier Jahre lang ungestraft davongekommen.
Daten sind keine Handelsware
Meta ist nicht das einzige große Technologieunternehmen, das mit der Datenschutz-Grundverordnung zu kämpfen hat. TikTok zum Beispiel bekam vor nicht allzu langer Zeit Ärger mit der italienischen Datenschutzbehörde wegen der Rechtsgrundlagen. Auch Google Analytics hat seinen Anteil an den Schwierigkeiten und wird in mehreren Mitgliedstaaten aus verschiedenen Gründen praktisch verboten (wir haben darüber in unserem Blog geschrieben).
Der Kern des Problems besteht darin, dass die Datenschutz-Grundverordnung (und der EU-Datenschutzrahmen im Allgemeinen) den Schutz der Privatsphäre und den Datenschutz als Grundrechte behandelt, während soziale Netzwerke (und viele andere Tech-Unternehmen) ein überwachungszentriertes Geschäftsmodell verkörpern, das personenbezogene Daten als Ware behandelt.
Diese Perspektiven sind radikal unvereinbar. Aus rein wirtschaftlicher Sicht ist die Profilerstellung für die Erfüllung des Vertrags notwendig, da sie ein wesentlicher Bestandteil des Geschäftsmodells von Meta ist: Könnte das Unternehmen nicht von dem Vertrag profitieren, wäre es nicht in der Lage, den Dienst zu erbringen, und es hätte auch keinen Anreiz, dies zu tun. Nach der Datenschutz-Grundverordnung sind Privatsphäre und Datenschutz jedoch nicht verhandelbare Rechte. Die Verarbeitung personenbezogener Daten lässt sich nicht rechtfertigen, nur weil sie Teil eines Geschäftsmodells ist, egal wie weit verbreitet und erfolgreich es ist.
Einige Kritiker der Datenschutz-Grundverordnung behaupten, die Verordnung sei nicht praktikabel und habe mit der datengesteuerten Wirtschaft nichts zu tun, aber das ist nicht der Fall. Die europäischen Institutionen sind sich der entscheidenden Rolle von Daten durchaus bewusst. Deshalb bemüht sich die Datenschutz-Grundverordnung um ein Gleichgewicht zwischen den Datenschutzrechten und anderen Grundrechten, einschließlich der Freiheit, ein Unternehmen zu führen.
Die Datenschutz-Grundverordnung zieht aber auch eine Grenze zwischen einer datengesteuerten Wirtschaft und einer Überwachungswirtschaft, und diese Grenze wurde zu Recht gegen Meta durchgesetzt.
Aktualisierung
Seit der Veröffentlichung dieses Blogs gibt es einige Aktualisierungen:
- Die Datenschutzbehörde hat wegen der Verstöße von Facebook und Instagram gegen die DSGVO Geldbußen in Höhe von insgesamt 390 Millionen Euro verhängt.
- der EDPB hat einen ähnlichen Fall gegen das Meta-eigene Unternehmen Whatsapp beigelegt. Der EDSB verhängte gegen Whatsapp eine Geldstrafe von nur 5 Mio. EUR
- der EDSB wies den Datenschutzbeauftragten an, die Datenverarbeitungsvorgänge von Meta weiter zu untersuchen. Der Datenschutzbeauftragte ist der Ansicht, dass der EDSB dazu nicht befugt ist, und kündigte eine Klage gegen die Anordnung vor dem EU-Gerichtshof an.
- Das Bezirksgericht Amsterdam hat das gezielte Profiling von Meta in einer kürzlich eingereichten Sammelklage für rechtswidrig erklärt(wir haben diesen Fall ausführlich besprochen).
- Seit dem 5. April stützt sich Meta bei der gezielten Werbung auf die Rechtsgrundlage des berechtigten Interesses. noyb ist mit der neuen Rechtsgrundlage nicht zufrieden (zu Recht, wie wir meinen) und will sie anfechten.
390 Millionen Euro mögen viel erscheinen, sind es aber nicht. Der größte Teil der Geldbußen dreht sich um mangelnde Transparenz. Das Fehlen einer Rechtsgrundlage, das wohl das größte Problem darstellt, kostete Meta insgesamt 120 Millionen Euro für die Verstöße von Facebook und Instagram. Zum Vergleich: Die belgische Datenschutzbehörde verurteilte Amazon wegen ähnlicher Verstöße zu einer Geldstrafe von 746 Millionen Euro!
Es ist schwer zu sagen, wie sich die Klage der Datenschutzbehörde gegen die EDPB auswirken wird, aber sie wird sicherlich die bereits alarmierenden Reibereien zwischen der Datenschutzbehörde und ihren europäischen Kollegen verstärken.
Zu guter Letzt wurde Meta in einem anderen Fall, bei dem es um Datenübertragungen geht, von der Datenschutzbehörde zu einer Geldstrafe von 1,2 Milliarden Euro (nein, das ist kein Tippfehler!) verurteilt und angewiesen, die Übermittlung von US-Daten für Facebook auszusetzen. Dies könnte zu einem Blackout von Facebook in Europa führen. Natürlich haben wir diesen wichtigen Fall ausführlich besprochen.
Schlussfolgerungen
Die Entscheidung des EDPB zeigt einmal mehr, dass die Datenschutz-Grundverordnung ein wirksames Instrument zur Durchsetzung des Datenschutzes gegen überwachungsbasierte Geschäftsmodelle sein kann. Aber die Durchsetzung ist nur ein Teil des Bildes. Die Verbraucher sind sich der Datenschutzproblematik zunehmend bewusst, und die Unternehmen beginnen, den Wert einer guten, datenschutzfreundlichen Datenverwaltung zu erkennen.
Eine Entwicklung hin zu datenschutzfreundlichen Werkzeugen kann eine große Rolle beim Aufbau eines überwachungsfreien Internets spielen. Mit Simple Analytics versuchen wir, dies zu erleichtern. Wir sind davon überzeugt, dass Sie aus Ihren Webanalysen Erkenntnisse gewinnen können, ohne dass Sie persönliche Daten sammeln oder Cookies auf den Computern Ihrer Besucher installieren müssen.
Wir glauben an ein unabhängiges, besucherfreundliches Internet. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren!