Die beiden am Mittwoch (4. Januar) veröffentlichten Entscheidungen sind ein herber Rückschlag für die Meta-eigenen sozialen Medien, da sie das gesamte Geschäftsmodell des Unternehmens aufs Spiel setzen und mit einer saftigen Geldbuße verbunden sind.
Der irische Datenschutzbeauftragte (DPC) veröffentlichte zwei Entscheidungen im Zusammenhang mit Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) durch Facebook und Instagram von Meta, die zu Geldbußen in Höhe von insgesamt 210 Millionen Euro bzw. 180 Millionen Euro führten.
Die Entscheidungen betreffen die Rechtsgrundlage für die Verarbeitung personenbezogener Daten zum Zwecke personalisierter Werbung, die den Kern des Geschäftsmodells des Unternehmens bildet. Die derzeitige Rechtsgrundlage wurde als mit der EU-Gesetzgebung unvereinbar befunden, und Meta hat drei Monate Zeit, um eine neue zu finden.
Die beiden Beschwerden gehen auf den 25. Mai 2018 zurück, denselben Tag, an dem das EU-Datenschutzregelwerk in den Antrag aufgenommen wurde. Vor diesem Datum änderten die beiden sozialen Netzwerke ihre Nutzungsbedingungen und forderten bestehende und neue Benutzer auf, der Verarbeitung ihrer personenbezogenen Daten zur Nutzung ihrer Dienste zuzustimmen.
Vertragsmodell
Die derzeitige Rechtsgrundlage von Meta besteht aus dem sogenannten „Vertragsmodell“, das heißt, dass die Nutzer mit der Annahme der Nutzungsbedingungen einen Vertrag mit der Plattform eingehen. Darüber hinaus war das Unternehmen der Ansicht, dass personenbezogene Daten für die Durchführung einer solchen Vereinbarung erforderlich sind, die die Bereitstellung personalisierter Dienste und verhaltensbezogene Werbung umfasst.
Auf diese Weise hielt sich Meta für konform mit der DSGVO, anstatt die Zustimmung der Benutzer zur Verarbeitung ihrer personenbezogenen Daten einzuholen. Dieser Ansatz geriet jedoch unter Beschuss von NOYB, der NGO unter der Leitung des österreichischen Aktivisten Max Schrems, die ihn als „Umgehung“ der DSGVO brandmarkte.
„Anstatt eine ‚Ja/Nein‘-Option für personalisierte Anzeigen zu haben, haben sie einfach die Zustimmungsklausel in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal. Uns ist kein anderes Unternehmen bekannt, das versucht hat, die DSGVO auf so arrogante Weise zu ignorieren“, sagte Schrems in einer Erklärung.
Hitzige Diskussionen
Der DPC war in seinem Vorbescheid der Ansicht, dass Meta gegen die Transparenzpflichten der DSGVO verstoßen habe, da die den Nutzern bereitgestellten Informationen nicht hinreichend klar darüber seien, wie ihre personenbezogenen Daten zu welchen Zwecken und auf welcher Rechtsgrundlage verarbeitet würden.
In Bezug auf den wichtigsten Teil der Beschwerde stellte sich die irische Behörde jedoch zunächst auf die Seite von Meta, da sie der Ansicht war, dass das Argument der „erzwungenen Zustimmung“ nicht stichhaltig sei und dass die Rechtsgrundlage „Vertrag“ eine praktikable Alternative zur Berufung auf die Zustimmung sei.
Laut von NOYB veröffentlichten internen Dokumenten war das eigentliche Vertragsmodell das Ergebnis eines Dialogs zwischen dem DPC und Meta. Im angelsächsischen Rechtssystem ist es relativ üblich, dass Regulierungsbehörden mit Unternehmen über die Anwendung des Rechts diskutieren, in Kontinentaleuropa jedoch viel seltener.
Endgültige Entscheidung
Der Entscheidungsentwurf des DPC wurde von 10 europäischen Datenschutzbehörden angefochten, die die Tatsache bestritten, dass personalisierte Werbung nach der Vertragsrechtsgrundlage zulässig sein könnte, da sie nicht als Kernelement für die Bereitstellung der personalisierten Dienste der Plattformen angesehen wird.
Da kein Konsens erzielt werden konnte, wurde der Fall an den Streitbeilegungsmechanismus des Europäischen Datenschutzausschusses verwiesen, einem Gremium, das alle EU-Datenschutzbehörden versammelt, das am 5. Dezember 2022 eine verbindliche endgültige Entscheidung traf.
Der Vorstand bestätigte weitgehend die Position des DPC in Bezug auf Transparenzverstöße, hob jedoch seine Ansicht zur Frage der Rechtsgrundlage auf und stellte fest, dass die Rechtsgrundlage „Vertrag“ keine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten zum Zweck der verhaltensorientierten Werbung sei.
Als die Auslegung des Gremiums neue Verstöße feststellte, erhöhte es auch die ursprünglich vorgeschlagenen Bußgelder, 36 Millionen Euro für Facebook und 23 Millionen Euro für Instagram.
Meta hat bis zum Zeitpunkt der Veröffentlichung nicht auf die Bitte von EURACTIV um Stellungnahme geantwortet. Das Unternehmen kann die Entscheidung vor einem nationalen irischen Gericht anfechten.
Es ist noch nicht vorbei
Zusammen mit Facebook und Instagram nahm NOYB auch den Meta-eigenen Messaging-Dienst WhatsApp ins Visier. Obwohl die Entscheidung des Europäischen Datenschutzausschusses zu WhatsApp zusammen mit den anderen beiden im Dezember getroffen wurde, wurde sie der irischen Behörde erst in der darauffolgenden Woche übermittelt.
Da die führende Behörde einen Monat Zeit hat, um ihre Entscheidung abzuschließen, wird die Untersuchung von WhatsApp voraussichtlich nächste Woche mit einem ähnlichen Ergebnis abgeschlossen.
Darüber hinaus forderte der Vorstand die DPC auf, eine neue Untersuchung der Datenverarbeitungspraktiken von Facebook und Instagram durchzuführen, insbesondere in Bezug auf besondere Kategorien personenbezogener Daten.
Die irische Behörde betrachtet diesen letzten Teil der Entscheidung jedoch als Überschreitung und argumentiert, dass die Stelle nicht befugt sei, die Arbeit einer unabhängigen Behörde anzuweisen und zu leiten. Daher wird die DPC zu diesem Element der Entscheidung eine Nichtigkeitsklage vor dem EU-Gerichtshof erheben.
[Edited by Nathalie Weatherald]