Den Social-Media-Giganten Facebook und Instagram wird es in Norwegen bald vorübergehend untersagt, Nutzer online zu verfolgen, um sie gezielt mit Werbung anzusprechen.
Die norwegische Datenschutzbehörde hat das US-Technologieunternehmen Meta, die Muttergesellschaft von Facebook und Instagram, angewiesen, Nutzern in Norwegen keine personalisierten Anzeigen mehr zu zeigen, die auf ihren Online-Aktivitäten und geschätzten Standorten basieren. Das Verbot tritt ab August in Kraft, wie aus einer exklusiv von POLITICO erhaltenen und am 14. Juli an Meta gesendeten Anordnung hervorgeht.
Metas Werbepraktiken auf Facebook und Instagram beinhalten derzeit die „Verarbeitung sehr privater und sensibler personenbezogener Daten durch äußerst undurchsichtige und aufdringliche Überwachungs- und Profilierungsvorgänge“, schrieb die norwegische Agentur Datatilsynet.
Das Verbot sogenannter verhaltensbezogener Werbung gilt ab dem 4. August für drei Monate. Facebook und Instagram können den Menschen personalisierte Anzeigen zeigen, allerdings nur auf der Grundlage der Informationen, die die Nutzer im Abschnitt „Über“ ihrer Profile angeben.
Meta muss mit einer täglichen Geldstrafe von 1 Million Norwegischen Kronen (89.500 Euro) rechnen, wenn es der Anordnung nicht nachkommt.
Das vorübergehende Verbot könnte aufgehoben werden, wenn Meta einen Weg findet, personenbezogene Daten rechtmäßig zu verarbeiten und den Nutzern das Recht zu geben, gezielte Werbung auf Basis von Tracking abzulehnen, heißt es in der Anordnung.
Die Einschränkung erfolgt, nachdem der Gerichtshof der Europäischen Union am 4. Juli entschieden hat, dass Meta ohne deren ausdrückliche Zustimmung und auf der Grundlage des „berechtigten Interesses“ des Unternehmens unrechtmäßig Daten von Personen sammelte, um sie mit Werbung anzusprechen.
Meta wird derzeit auch von seiner führenden Datenschutzbehörde, der irischen Datenschutzkommission, hinsichtlich seiner Werbepraktiken geprüft. Die in Dublin ansässige Behörde verhängte im Januar gegen das Social-Media-Unternehmen eine Geldstrafe von insgesamt 390 Millionen Euro wegen Verletzung der Privatsphäre der Europäer. Sie forderte Meta auf, eine neue rechtliche Grundlage für ihr Geschäftsmodell zu finden. Das Technologieunternehmen hat gegen die Entscheidung Berufung eingelegt.
Die irische Datenschutzkommission plant, „bis spätestens Mitte August“ eine Entscheidung über die Rechtsgrundlage von Meta für ihre gezielten Werbeaktivitäten zu treffen, sagte der stellvertretende Kommissar und Sprecher der Agentur, Graham Doyle.
Die irische Regulierungsbehörde überwacht Meta gemäß der Datenschutz-Grundverordnung (DSGVO) für ganz Europa, da das Technologieunternehmen dort seinen regionalen Hauptsitz hat. Andere europäische Länder wie Norwegen können in einem „Dringlichkeitsfall“ nach der DSGVO nationale Entscheidungen für eine Frist von drei Monaten erlassen.
„Der anhaltende Zustand der Nichteinhaltung nach dem [Irish] Entscheidungen erfordern[s] „Wir müssen unverzüglich Maßnahmen ergreifen, um die Rechte und Freiheiten europäischer Datensubjekte zu schützen“, schrieb die norwegische Datenagentur in ihrer Anordnung.
Die norwegische Regulierungsbehörde ist die erste europäische Datenschutzbehörde, die das datengesteuerte Geschäft von Meta nach dem obersten Gerichtsurteil der EU stark einschränkt. Das Unternehmen sagte außerdem, es plane, eine dringende verbindliche Entscheidung des Europäischen Datenschutzausschusses (EDPB) – dem Netzwerk der Datenschutzbehörden der Region – zu beantragen, um über endgültige Maßnahmen zu entscheiden.
Die irische Datenschutzkommission sagte, sie habe sich mit anderen europäischen Behörden beraten und ihnen nach dem neuen Gerichtsurteil eine vorläufige Bewertung der Einhaltung der DSGVO durch Meta für gezielte Werbung zugesandt. Die Behörden hätten bis zum 21. Juli Zeit, ihre Eingaben beim irischen DPC einzureichen, sagte Doyle.
In einer Antwort sagte Matt Pollard, Sprecher von Meta: „Die Debatte über Rechtsgrundlagen dauert schon seit einiger Zeit an und Unternehmen sind in diesem Bereich weiterhin mit einem Mangel an Regulierungssicherheit konfrontiert … Wir arbeiten weiterhin konstruktiv mit dem irischen DPC zusammen.“ , unsere führende Regulierungsbehörde in der EU, hinsichtlich unserer Einhaltung ihrer Entscheidung. Wir werden die Entscheidung der norwegischen Datenschutzbehörde überprüfen und es gibt keine unmittelbaren Auswirkungen auf unsere Dienste.“