€ 3,97 Milliarden Rabatt für Meta? Irische DPC schafft es "leider" nicht Einnahmen durch DSGVO-Verstoß zu berechnen.
Am 04.01.2023 kündigte die irische Datenschutzbehörde (DPC) eine Geldstrafe in Höhe von 390 Millionen Euro gegen Meta wegen unrechtmäßiger personalisierter Werbung auf deren Plattformen Facebook und Instagram an. Eine erste Analyse der Dokumente zeigt jetzt, dass die DPC in ihrer finalen Entscheidung Metas Einnahmen durch den Rechtsverstoß nicht betrachtet hat. Dies geschah trotz einer gesetzlichen Pflicht und einer verbindlichen Beschlusses der Europäischen Datenschutzbehörden. Dadurch reduzierte sich die Geldstrafe von €4,36 Mrd. auf €390 Mio. – ein "kleiner" Rabatt von fast € 4 Mrd.
- Brief von noyb an den Europäischen Datenschutzausschuss (EDSA) (PDF, Englisch)
- Tabelle mit relevanten Zahlen und Berechnungen (PDF, Englisch)
- Facebooks öffentliche Informationen zu Nutzern und Umsatz (siehe "Earning Slides")
Hintergrund: Metas Verstoß gegen die DSGVO. Nach 4,5 Jahren hat noyb einen wichtigen Sieg gegen Meta errungen: Der Europäische Datenschutzausschuss (EDSA) hob das Kernelement eines früheren Entscheidungsentwurfs der irischen Datenschutzbehörde auf und entschied, dass Meta nicht über eine angemessene Rechtsgrundlage für die Verarbeitung personenbezogener Daten für personalisierte Werbung verfügt. Die versuchte DSGVO-Umgehung von Meta wurde als rechtswidrig eingestuft. Somit sind sämtliche Datenverarbeitungen auf Grundlage dieser Umgehung seit dem 25. Mai 2018 rechtswidrig. Der EDSA wies die Datenschutzbehörde an, dass die Geldstrafe "den entstandenen Vorteil aus der rechtswidrigen Verarbeitung" widerspiegeln müsse und forderte "eine Geldstrafe zu verhängen, die diesen Betrag übersteigt".
DPC unfähig rechtswidrige Einnahmen festzustellen? In ihrer finalen Entscheidung ignorierte die DPC die von Meta erzielten, rechtswidrigen Einnahmen und erklärte, dass "[sie] nicht in der Lage ist, eine Schätzung der Sachverhalte vorzunehmen", daher können sie nicht für die Strafe herangezogen werden. Die DPC ignorierte somit die verbindliche Entscheidung des EDSA, Meta's Einnahmen zu berücksichtigen. Die DPC hat dabei jederzeit das Recht Finanzdaten von Meta gemäß Artikel 58 Absatz 1 der DSGVO zu verlangen.
Max Schrems, Vorsitzender von noyb: "Jeder weiß von Metas enormen Einnahmen durch Werbung. Es ist erstaunlich, dass diese von der DPC nicht berücksichtigt wurde. Die DPC hat nicht einmal von ihren gesetzlichen Befugnissen Gebrauch gemacht, Meta um diese Informationen zu bitten. Wir haben öffentlich zugängliche Informationen recherchiert und konnten in einer Stunde berechnen, dass die Geldstrafe um 3,97 Milliarden Euro höher sein müsste."
Strafbemessung unter der DSGVO. Artikel 83 der DSGVO legt die Regeln für Geldstrafen fest. Jede Strafe muss im Allgemeinen "wirksam, verhältnismäßig und abschreckend" sein, muss den "finanziellen Nutzen aus dem Verstoß" berücksichtigen und ist jedoch auf 4 % des weltweiten Umsatzes des vergangenen Jahres begrenzt. Im Fall von Meta würde dies einer Höchststrafe von 4,36 Milliarden Euro entsprechen. Der EDSA forderte die DPC auf, die "finanziellen Vorteile" zu untersuchen, die Meta aus der Verletzung von Artikel 6 Absatz 1 der DSGVO über den Zeitraum von etwa 4,5 Jahren gezogen hat. Eine Strafe muss zumindest diese Einnahmen umfassen, da sie sonst wohl nicht "wirksam, verhältnismäßig und abschreckend" ist.
Max Schrems: "Die Höchstgrenze von 4 % des weltweiten Umsatzes wurde durch die Einnahmen aus der unrechtmäßigen Verarbeitung in den letzten 4,5 Jahren mehrfach überschritten. Anhand öffentlicher Informationen lässt sich schnell nachweisen, dass alleine aufgrund des Umsatzes die Höchststrafe notwendig wäre."
Öffentliche Informationen und eine Berechnungstabelle. Da Meta ein börsennotiertes Unternehmen ist, sind die meisten relevanten Finanzdaten ohnehin öffentlich einsehbar. Nach eigenen Angaben hat Meta zwischen dem dritten Quartal 2018 und dem dritten Quartal 2022 84,7 Milliarden Euro (91,59 Milliarden US-Dollar) mit Werbung auf dem europäischen Kontinent eingenommen. Heruntergerechnet auf EU-Nutzer:innen waren es rund 72,5 Milliarden Euro (78,4 Milliarden US-Dollar). Auch wenn "personalisierte Werbung" nicht die gesamten Werbeeinnahmen von Meta ausmacht, übersteigen die Einnahmen aus "personalisierter Werbung" damit um eine vielfaches die Höchsstrafe von € 4,36 Mrd.
Max Schrems: "Die DPC hat Meta gut 4 Milliarden Euro geschenkt, ohne überhaupt öffentlich zugängliche Informationen zu prüfen. Wir haben eine Stunde und eine Tabelle gebraucht, um die illegalen Einnahmen von Meta zu berechnen. Die irische Behörde hat an der richtigen Stelle weggeschaut um einem US-Konzern ein großes Geschenk zu machen."
Selbst bei Höchststrafe: DSGVO-Verstoß bringt Meta bis zu € 68,17 Mrd. Selbst wenn die maximale Geldbuße von 4 % verhängt worden wäre, hätte Meta seit 2018 immer noch bis zu € 68 Mrd. durch die Verletzung der DSGVO verdient (unter der Annahme, dass im Grunde jede Werbung auf Meta derzeit "personalisierte Werbung" ist). Dies liegt vor allem daran, dass das Verfahren von der Datenschutzbehörde massiv verzögert wurde und 4,5 Jahre gedauert hat, während die Maximalstrafe nach EU-Recht nur auf der Grundlage eines einzigen Jahres berechnet werden darf. Der Verstoß von Meta lag wahrscheinlich in jedem Jahr über den 4 %, was bedeutet, dass die Einnahmen die maximale Geldstrafe jedes Jahr weit überschritten hat.
Max Schrems: "Unterm Strich hat es sich für Meta absolut gelohnt, gegen die DSGVO zu verstoßen. Am Ende hat es die DPC für Meta noch profitabler gemacht, geltendes EU-Recht zu ignorieren."
Schreiben an den EDSA. noyb hat nun ein Schreiben an den EDSA übermittelt, in dem diese Problematik beschrieben und alle Berechnungen dargelegt werden. noyb möchte hiermit den EDSA dazu anhalten, für eine vollständige Umsetzung der EDSA-Entscheidung durch die DPC zu sorgen.