Jetzt wurde entschieden: Meta (also Facebook, Instagram, WhatsApp) ist es künftig durch den Europäischen Datenschutzausschuss (EDSA) untersagt, in der EU personenbezogene Daten für Werbezwecke zu nutzen. Die Strafe, die Meta bezahlen muss, hat sich nun von 32 Millionen € auf 390 Millionen € mehr als verzehnfacht. Denn die Nutzung der personenbezogenen Daten durch Meta war seit Mai 2018 rechtswidrig.
Meta umgeht DSGVO
Das Unternehmen “Noyb” von Max Schrems hatte bereits im Jahre 2018 mehrfach Beschwerde gegen Meta eingereicht. Grund dafür war, dass Meta die nach der DSGVO erforderliche Einwilligung gemäß Artikel 6 Abs. 1 lit. a über eine bestimmte Klausel in den Allgemeinen Geschäftsbedingungen (AGB) umging. Meta muss die „Opt-in“-Zustimmung für personalisierte Werbung des jeweiligen betroffenen Nutzers einholen und muss diesen eine „Ja/Nein“-Option für personalisierte Werbung ermöglichen. Noch im Dezember 2022 überstimmte der EDSA einen früheren Entscheidungsentwurf der irischen Datenschutzbehörde “Data Protection Commission” (DPC), denn diese war der Auffassung, die Umgehung der DSGVO durch Meta sei rechtmäßig. Nun wurde durch den EDSA endgültig beschlossen, dass Meta personenbezogene Daten nicht für Werbezwecke nutzen darf. Die Datenverarbeitung der personenbezogenen Daten muss grundsätzlich auf der Grundlage einer Einwilligung Artikel 6(1)(a) DSGVO) erfolgen. Diese Einwilligung muss freiwillig abgegeben werden und kann jederzeit widerrufen werden. Zudem kann man darüber bestimmen, welchen Punkten man seine Zustimmung erteilen möchte und welchen nicht. Facebook umgeht jedoch diese erforderliche Einwilligung, indem sie die Einwilligung zur Datenverarbeitung einfach als Vertragsklausel in den Allgemeinen Geschäftsbedingungen unterbringen. Dementsprechend wird ein Vertrag gem. Artikel 6 Abs. 1 b DSGVO darüber geschlossen, dass die personenbezogenen Daten verwendet werden. Somit werden die Anforderungen der DSGVO für eine Einwilligung umgangen. Nach Meinung der DPC in ihrem Entscheidungsentwurf des letzten Jahres sei dies jedoch legal; das heißt Facebook könne die Einwilligung zur Datenverarbeitung einfach in einen Vertrag schieben, der dann unter die Allgemeinen Geschäftsbedingungen fällt, denen man ja zustimmen muss. Der Konzern Facebook könnte daher sämtliche verfügbaren Daten für alle seine Dienste nutzen – dabei sind Werbung und Online-Tracking eingeschlossen. Nutzer müssen dann keine freiwillige Einwilligung mehr abgeben. Diese personenbezogenen Daten, die von Meta verarbeitet werden, basieren somit auf einem vermeintlichen Vertrag. Den Nutzern muss jetzt mit der Entscheidung des EDSA eine Ja/Nein-Einwilligungsoption („opt-in“) angeboten werden. Ohne eine entsprechende Einwilligung darf Meta die Daten nicht für personalisierte Werbung verwenden. Dahingehend werden jedoch andere Werbeformen wie z.B. kontextbezogene Werbung, die auf dem Inhalt einer Seite basiert, durch die Entscheidung nicht verboten.
Max Schrems äußerte sich dazu wie folgt: „Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal. Uns ist kein anderes Unternehmen bekannt, das versucht hat, die Datenschutzgrundverordnung auf so arrogante Weise zu ignorieren.“
Immense Geldstrafe – 390 Millionen Euro
Jetzt wurde vom EDSA eine immense Geldstrafe verhängt. Diese beläuft sich nun auf 390 Millionen € statt 28 bis 36 Millionen €, da die Nutzung der personenbezogenen Daten durch Meta seit Mai 2018 rechtswidrig war und die kommerzielle Datenverarbeitungen auf eine Rechtsgrundlage gestützt wurde, die vom EDPB in Leitlinien schon seit 2019 ausdrücklich ausgeschlossen wurde. Ein klarer Vorsatz eines Gesetzesverstoßes ist deutlich anzunehmen. Meta wurde im Jahre 2022 bisher schon mit mehr als 900 Millionen € an DSGVO-Bußgeldern bestraft. Die Geldstrafe geht dabei an den irischen Staat und muss von Irland bezahlt werden. Im Laufe des Verfahrens hat sich Meta auf zehn vertrauliche Treffen mit der irischen DPC berufen, in denen die Datenschutzbehörde Meta angeblich erlaubt hat, diese „Umgehung“ zu nutzen. Wie sich später bemerkbar machte, versuchte die DPC sogar, die einschlägigen EDSA-Leitlinien im Interesse von Meta zu beeinflussen. Die DPC unterstützte also die Umgehung der DSGVO und förderte entsprechende Datenschutzverstöße.
Max Schrems: „Die Strafe wird an Irland gehen – den Staat, der sich auf die Seite von Meta gestellt und die Durchsetzung mehr als vier Jahre lang verzögert hat. Meta wird in diesem Fall wahrscheinlich in Berufung gehen, was zu weiteren Kosten für noyb führen wird.“
Was ist die Konsequenz des Verarbeitungsverbots für Werbezwecke?
Dadurch, dass die personalisierte Werbung nun untersagt wurde, steht der EU somit weniger Gewinn von den Einnahmen des Meta-Konzerns aus. Zudem muss Meta seinen Nutzern eine Version aller Apps, die zu Meta gehören, zur Verfügung stellen, bei denen keine persönlichen Daten für Werbezwecke verwendet werden. Meta hat jedoch trotz der Entscheidung des EDSA die Möglichkeit, nicht-personenbezogene Daten für Werbezwecke zu verwenden und/ oder eine Ja/Nein-Option bereitzustellen.
Was gilt?
Es gilt, dass die Möglichkeit besteht, die Einwilligung, welche die Nutzer in die Verarbeitung ihrer personenbezogenen Daten gewähren, jederzeit widerrufen werden kann. Dabei ist zu beachten, dass der Dienst, den Meta anbietet, nicht für Nutzer eingeschränkt werden darf, welche ihre Einwilligung in die Verarbeitung verboten haben. Daraus folgt zwar, dass die Gewinne von Meta in der EU erheblich eingeschränkt werden, aber andere Arten und Formen von Werbung nicht vollständig verboten werden können.
DPC zensiert Entscheidung – illegale Machenschaften der DPC
Grundsätzlich ist es rechtlich sehr verwerflich, wenn die höchste europäische Datenschutzbehörde vorsätzlich Datenschutzverstöße begeht. Jedoch ist es mindestens genauso verwerflich, grundlegende rechtliche Schritte zu missachten, die gesetzlich festgelegt sind. So hat nämlich die DPC die Entscheidung des EDSA zensiert, um einen Wettbewerbsvorteil zu erhalten. Der einen Verfahrenspartei, Meta, wurde die Entscheidung nämlich schon zugestellt. Als Grund von der DPC dafür wurde genannt, dass die Entscheidung angeblich „vertrauliche“ Informationen enthalten könne. Die Entscheidung wird dem Unternehmen noyb, welches eine Verfahrenspartei in dem Rechtsstreit darstellt, nicht zugestellt und soll möglicherweise erst nach Ablauf der Rechtsmittelfrist zugänglich gemacht werden. Dies ist höchst illegal und rechtswidrig.
Max Schrems: „Dass die Entscheidung durch den EDPB gekippt wurde, ist ein schwerer Schlag für den DPC. Nun scheint es so als würden sie zumindest versuchen, die öffentliche Wahrnehmung dieses Falles umzudrehen. In zehn Jahren als Jurist habe ich noch nie erlebt, dass eine Entscheidung nur einer Partei zugestellt wurde, aber nicht der anderen. Die DPC spielt ein zynisches Spiel mit der Öffentlichkeit. Indem sie noyb und der Öffentlichkeit nicht erlaubt, die Entscheidung zu lesen, versucht sie, den Narrativ gemeinsam mit Meta zu prägen. Es scheint, dass die Zusammenarbeit zwischen Meta und der irischen DPC weiter sehr lebendig ist – insbesondere nachdem sie vom EDPB überstimmt wurden.“
Ausblick
Künftig ist zu erwarten, dass Meta in Berufung gehen wird. Die DPC sowie auch Meta missachten seit Jahren die DSGVO. Die immense Bußgeldstrafe, die jetzt von der EDSA verhängt wurde, ist dahingehend mehr als angebracht. Es gilt abzuwarten, was das Verfahren noch mit sich bringen wird. Fest steht: nach jetzigem Stand können die Nutzer gegen die rechtswidrige Verwendung ihrer Daten in den letzten 4,5 Jahren gegen Meta vorgehen.
Bildquelle: TheDigitalArtist_7235541_pixabay