Meta: 390-Millionen Euro Datenschutz-Bußgeld und wie wir in Zukunft werben (1/2)

Am 4. Januar 2023 veröffentlichte die irische Datenschutzbehörde (DPC) einen Bericht, in welchem es eine 390-Millionen Euro hohe Strafe gegen Meta Ireland (Facebook und Instagramm) ankündigte. Europäische Datenschützer und Meta streiten sich derweil weiter über geeignete Rechtsgrundlagen für kostenlose SocialMedia-Angebote, die effektiv auf Werbung setzen. Während dessen mache ich das, was ich in dem Fall immer tue. Darüber nachdenken und Philosophieren, was das für einige Branchen eigentlich bedeutet und ob es wirklich richtig so ist.

Es hat wieder ein Lebenszeichen gegeben aus dem Datenschutz-Irrland vor Europas Küste. Und es trifft wieder mal Mark Zuckerbergs´s Baby! Ne, nicht dieses komische Metaverse. Es geht wieder mal um sein erstgeborenes „Facebook“ und seine fotogene Adoptivtochter „Instagram“. Die haben wieder mal gegen die Regeln verstoßen und wurden wie immer mit einem blauen Brief nach Hause geschickt.  Spaß beiseite.

Ausschlaggebend für die nun verhängte Strafe waren zwei Beschwerden die bereits 2018 an die irische Datenschutzbehörde gerichtet wurden. Die zwei Beschwerden hatten Ihren Ursprung in Österreich und Belgien, betroffen waren die Plattformen Facebook und Instagram. Beide Beschwerden warfen jedoch die gleiche Grundsätzliche Frage auf: Welche Rechtsgrundlagen sind wie bei einem sozialen Netzwerk, welches kostenfrei nutzbar und Werbefinanziert ist, bedenkenlos anzuwenden?

Weshalb die Beschwerde?

Um diese Frage zu beantworten, ist ein Blick ins Jahr 2018 notwendig. Am 25. Mai 2018 wurde nämlich die DSGVO in der Europäischen Union endgültig rechtskräftig. Endgültig rechtskräftig bedeutet hier, dass an diesem Tag eine zweijährige Schonfrist für Verantwortliche endete, in welcher die DSGVO zwar galt, jedoch noch nicht ausnahmslos eingehalten werden musste.

Im Rahmen dieses Datums veränderte Meta (damals noch Facebook) die Nutzungsbedingungen seiner Dienste „Facebook“ und „Instagram“. Meta wies jeweils auch darauf hin, dass es die Rechtsgrundlage änderte, auf die es sich stützt, um die Verarbeitung der personenbezogenen Daten seiner Nutzer zu legitimieren.

ℹ Gut zu wissen: Artikel 6 der Datenschutz-Grundverordnung

Gemäß Artikel 6 der Datenschutz-Grundverordnung ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn und soweit sie mit einer der sechs geltenden Rechtsgrundlagen im Einklang steht bzw. mit einer dieser sechs Rechtsgrundlagen legitimiert werden kann. Kann die Verarbeitung der personenbezogenen Daten nicht über mindestens eine dieser Rechtsgrundlagen (Gründe) gerechtfertigt werden, ist diese illegal. Sehr vereinfacht dargestellt, ist hier die Ampel-Analogie leicht anzuwenden. Diese besagt:  Wenn Sie an einer Ampel stehen, benötigen Sie mindestens auf einer Spur grünes Licht, um legal weiterfahren zu können. Wenn Sie ohne Grün zu haben weiterfahren, begehen Sie einen Rotlichtverstoß.

Meta Ireland verwies bis 2018 auf die Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Facebook- und Instagram-Diensten (einschließlich verhaltensorientierter Werbung) als Rechtsgrundlage. Mit der Änderung der Nutzungsbedingungen versuchte Meta nun, sich für die meisten (aber nicht alle) ihrer Verarbeitungen auf die Rechtsgrundlage „Vertrag“ zu stützen.

Meta vertrat die Auffassung, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zwischen ihnen und dem Nutzer zustandekommt. Darüberhinaus vertrat man die Auffassung, dass die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung von Facebook und Instagram für die Erfüllung dieses Vertrags erforderlich ist, die  Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung natürlich inbegriffen. Meta meinte hiermit Artikel 6 Absatz 1 Buchstabe b der DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) anzuwenden.

GANZ ODER GARNICHT, GEHEN ODER BLEIBEN. GANZ ODER GARNICHT, DU MUSST DICH ENTSCHEIDEN

Zusätzlich zu dieser Änderung verhängte Meta jedoch damals eine Art Sperre. Wenn Sie nach der Einführung der DSGVO weiterhin Zugang zu den Diensten von Facebook und Instagram haben wollten, wurden bestehende (und neue) Nutzer aufgefordert, auf „Ich akzeptiere“ zu klicken, um ihr Einverständnis mit den aktualisierten Nutzungsbedingungen zu erklären. (Die Dienste wären aber nicht mehr zugänglich gewesen, wenn die Nutzer dies ablehnten).

Dies führte laut der beiden Beschwerden allerdings zu einem Zugzwang der Nutzer, da die gesamte Oberfläche nicht mehr zugänglich war. Es gab keine Möglichkeit, den Dienst „freizuschalten“ ohne die neuen Nutzungsbedingungen zu akzeptieren. Zudem konnte man die Verarbeitung seiner  personenbezogenen Daten für verhaltensbezogene Werbung nicht zusätzlich widersprechen. Hier schaltete Meta auf Stur und legte Wolfgang Petry´s-Platte – „GANZ ODER GARNICHT, GEHEN ODER BLEIBEN. GANZ ODER GARNICHT, DU MUSST DICH ENTSCHEIDEN“ auf.

Die Beschwerdeführer machten geltend, dass dies einen Verstoß gegen die Datenschutz-Grundverordnung darstelle.

Zusätzlich dazu werde durch das „Akzeptieren“, der Nutzungsbedingungen kein Vertrag geschlossen, sondern viel mehr auf etwas eingewilligt. Dies  wiederum deute auf eine andere Rechtsgrundlage nach DSGVO hin, die bereits zuvor von Meta verwendet worden war, die „Einwilligung“.

Wie lautet die Strafe euer Ehren?

Nach Überprüfung des Sachverhaltes stellte das DPC folgendes fest:

  • Meta Ireland hat gegen die Verpflichtung zur Transparenz verstoßen, da es die Rechtsgrundlage, auf die es sich stützt, den Nutzern nicht klar dargelegt hat, so dass die Nutzer nicht klar genug wussten, nach welcher der sechs Rechtsgrundlagen der DSGVO die Verarbeitung ihrer Daten durchgeführt wurden. Man sei der Ansicht, dass ein Mangel an Transparenz bei solch grundlegenden Fragen gegen Artikel 12 und 13 Absatz 1 Buchstabe c der DSGVO verstößt. Außerdem stellte man fest, dass auch ein Verstoß gegen Artikel 5 Absatz 1 Buchstabe a vorliegt, in dem der Grundsatz verankert ist, dass die personenbezogenen Daten der Nutzer rechtmäßig, nach Treu und Glauben und auf transparente Weise verarbeitet werden müssen. Das DPC plante gegen Meta Ireland im Zusammenhang mit dem Verstoß gegen diese Bestimmungen sehr hohe Geldbußen und eine Ermahnung des Unternehmens, seine Verarbeitungen innerhalb einer bestimmten, kurzen Frist in Einklang mit den Vorschriften zu bringen, ein.
  • Man stellte jedoch nicht fest, dass Meta Ireland sich auf die Einwilligung der Nutzer als rechtmäßige Grundlage für die Verarbeitung ihrer personenbezogenen Daten beruft. Deshalb konnte der Aspekt der „erzwungenen Einwilligung“ in den Beschwerden nicht anerkannt werden.
  • Das DPC prüfte daraufhin, ob Meta Ireland sich auf einen „Vertrag“ als Rechtsgrundlage für die Verarbeitung personenbezogener Daten der Nutzer im Zusammenhang mit der Erbringung seiner personalisierten Dienste (einschließlich personalisierter Werbung) stützen könnte. Hierbei stellte man jedoch fest, dass Meta Ireland nicht verpflichtet war, sich auf eine Einwilligung zu berufen. Die Datenschutz-Grundverordnung schließt nämlich grundsätzlich nicht aus, dass man sich in solch einem Fall auf die Rechtsgrundlage eines Vertrags berufen kann. In gewisser Weise gab man Meta also recht.

Das DPC gestand insofern die Irreführung der Nutzer ein, hätte Meta aber nicht für das „aussperren“ der Nutzer von seinem Dienst, bis diese die neuen Regeln akzeptieren, belangt.

Glücklicherweise verlangt die DSGVO die Durchführung eines vorgeschriebenen Verfahrens, in welchem die irische Datenschutzbehörde, ihre Entscheidungen vor Umsetzung, erst anderen Datenschutzbehörden zur Bewertung übermitteln muss. Das kann man sich vorstellen wie eine Art Jury, die eine eindeutige Entscheidung treffen muss. Und hier ging die Diskussion los.

„Wir sind uns einig, dass wir uns uneinig sind!“

In der Frage, ob Meta Ireland gegen seine Transparenzverpflichtungen verstoßen hat, stimmten die anderen Aufsichtsbehörden zu, wollten jedoch eine deutlich höhere Geldbuße verhängen als das DPC. Außerdem waren die anderen Aufsichtsbehörden nicht der Meinung des DPC in Sachen Rechtsgrundlage. Sie waren insbesondere der Auffassung, dass es Meta Ireland nicht gestattet werden sollte, sich auf die Rechtsgrundlage des Vertrags zu berufen, da die Bereitstellung personalisierter Werbung (als Teil der umfassenderen Palette personalisierter Dienste, in den beiden Meta-Diensten) nicht als notwendig für die Erfüllung der Kernelemente angesehn werden sollte.

Das DPC stimmte den wiedersprechenden Aufsichtsbehörden nicht zu und vertrat weiterhin die Ansicht, dass die Dienste von Facebook und Instagram die Bereitstellung eines personalisierten Dienstes mit personalisierter oder verhaltensbezogener Werbung beinhalten würden und dass sie in der Tat darauf basieren würden.  Es handelt sich also um personalisierte Dienste, die auch personalisierte Werbung enthalten. Nach Ansicht des DPC ist diese Tatsache von zentraler Bedeutung für die Geschäftsbeziehung zwischen den Nutzern und dem von ihnen gewählten Dienstanbieter und ist Teil des Vertrags, der zu dem Zeitpunkt geschlossen wird, zu dem der Nutzer die Nutzungsbedingungen des Dienstes akzeptiert.

Das DPC aber auch die anderen Aufsichtsbehörden blieben fest bei ihren Ansichten und es wurde deutlich, dass kein Konsens erzielt werden konnte. Also, wenn sich die Kinder streiten dann, kommen Mama oder Papa, schlichten den Streit und sprechen ein Machtwort. So ähnlich will es in diesem Fall auch die DSGVO. In Erfüllung seiner Verpflichtungen gemäß hat das DPC die strittigen Punkte an den Europäischen Datenschutzausschuss („EDPB“) weitergeleitet.

Der EDPB entschied, dass das DPC mit dem Standpunkt in Bezug auf den Verstoß von Meta Ireland gegen die Transparenzverpflichtungen recht hat. Man verlangte jedoch dass zusätzlich noch ein Verstoß gegen den „Fairness“-Grundsatz hinzugefügt und die Geldbuße erhöht wird..

In der Frage der „Rechtsgrundlage“ stellte der EDPB sich gegen das DPC. Meta darf sich in diesem Sachverhalt nicht auf die Rechtsgrundlage „Vertrag“ stützen.

Konsequenzen:

  1. Meta Ireland ist nicht berechtigt, sich auf die Rechtsgrundlage „Vertrag“ im Zusammenhang mit der Bereitstellung von verhaltensbezogener Werbung als Teil seiner Facebook- und Instagram-Dienste zu berufen. Seine bisherige Verarbeitung von Nutzerdaten im angeblichen Vertrauen auf die Rechtsgrundlage „Vertrag“ stellt somit einen Verstoß gegen Artikel 6 der DSGVO dar.
  2. Meta muss für den festgestellten Verstoß gegen die DSGVO eine Geldbuße von 210 Millionen Euro (im Falle von Facebook) und 180 Millionen Euro im Falle von Instagram zahlen.
  3. Meta Ireland muss seine Verarbeitungsvorgänge innerhalb von 3 Monaten mit der DSGVO in Einklang bringen.

Meta sagt „Nö, zahlen wir nicht!“

Bereits am gleichen Tag, meldete sich Meta in seinem Newsroom über das Thema zu Wort.

„Die Debatte über die Rechtsgrundlagen ist schon seit einiger Zeit im Gange, und den Unternehmen fehlt es an Rechtssicherheit in diesem Bereich.“, schreibt Facebook und wendet sich damit an andere Unternehmen und nicht an seine Nutzer? 🤔

„Wir sind der festen Überzeugung, dass unser Ansatz die DSGVO respektiert. Daher sind wir von diesen Entscheidungen enttäuscht und beabsichtigen, sowohl gegen den Inhalt der Urteile als auch gegen die Geldbußen Berufung einzulegen.“

Und beim nächsten Satz wird klar, dass dieses Statement nicht für die Nutzer ist, sondern einzig und allein für die Werbekunden von Meta.

„Diese Entscheidungen verhindern nicht die personalisierte Werbung auf unserer Plattform. Werbetreibende können unsere Plattformen weiterhin nutzen, um potenzielle Kunden zu erreichen, ihr Geschäft auszubauen und neue Märkte zu erschließen.“

Übersetzt also: „Wir machen einfach weiter so, keine sorge, alles wird gut!😳“

Man kann also gespannt sein, wie es dann vor Gericht ausgeht. Und das ist nicht das einzige Verfahren, welches aus diesem Bußgeld heraus entstehen kann, denn:

Es köchelt in Irland

Die irische Datenschutzbehörde war schon immer ein Außenseiter in Europa. Merhmals wurde sie als Faul bezeichnet oder es wurde ihr sogar vorgeworfen, den Datenschutz mit absicht im Tempo eines Faultieres umzusetzen, um das europäische Steuerparadies für Big-Tech-Unternehmen, Irland, nicht in verruf zu bringen. Das setzt das DPC zunehmend unter Druck was man nun auch merkt. Beim Lesen ihrer Stellungnahme zu diesem Sachverhalt, hatte ich das Gefühl ich würde den Strafaufsatz eines Kindes lesen, dass sich auf dem Schulhof geprügelt hat.

Die Stellungnahme ist übersäht von Versuchen, den Gedankengang der Behörde zu erklären und wie es dazu kam, dass beinahe alle Vorschläge ihrerseits von anderen Beteiligten abgeschlagen wurden. Die Stellungnahme Schreit zwischen den Zeilen „Sorry, aber wir waren nicht schuld. Die anderen waren es.“

Und so bahnt sicht eine weitere Diskussion im europäischen Datenschutz an. Nähmlich die Antwort auf die Frage „Wer hat die Hosen an?“

„Wer hat die Hosen an?“

Der Europäische Datenschutzausschuss hat das DPC angewiesen, eine weitere Untersuchung gegen Meta durchzuführen. Sie soll sich über alle Datenverarbeitungsvorgänge von Facebook und Instagram erstrecken und ob in deren Rahmen besondere Kategorien personenbezogener Daten verarbeitet werden könnten oder eben nicht. Laut DPC hat der EDPB jedoch „keine allgemeine Aufsichtsfunktion, wie sie nationale Gerichte gegenüber unabhängigen nationalen Behörden haben, und darf eine Behörde nicht anweisen und anleiten, unbefristete und spekulative Untersuchungen durchzuführen.“ Das DPC empfindet die Anweisung als  äußerst problematisch und Insofern sie eine Überschreitung seitens des Europäischen Datenschutzausschusses beinhalten könnte, hält man es für angemessen, eine  so wörtlich, Nichtigkeitsklage vor dem Europäischen Gerichtshof zu erheben, um die Aufhebung der Anweisung zu erreichen.

Klingt als ob sich das DPC grade mächtig auf den Schlips getreten fühlt.

Zwischenfazit

Es ist passiert, eines der wichtigsten Verfahren im europäischen Datenschutz hat nun erstmal ein Urteil. Ein Urteil mit einer riesigen Sprechblase in der steht: „Personalisierte Werbung darf in sozialen Medien oder anderen kostenlosen werbefinanzierten Diensten kein Kernelement sein.“ Ich freue mich natürlich über diese Entscheidung, aber auf der anderen Seite macht es mich sehr nachdenklich.

An diesem Punkt unterbreche ich den Artikel, da er zu lang ist. Im Zweiten Teil beschäftigen wir uns mehr mit dem philisophischen Aspekt dieser Entscheidung, denn das Urteil hat mehr Einfluss als auf den ersten Blick scheint.


Über den Autor

Patrick Schneider ist Inhaber von ownonline.eu. Er bezeichnet sich selbst als geborener Nerd mit einer Spezialisierung für Entertainment. Patrick kann auf einen großen Erfahrungsschatz in Webseitadministration, grundlegender Programmierung, Marketing und Datenschutz, und mehr zurückgreifen.