noyb-Beschwerden erfolgreich: Verwendung persönlicher Daten für Werbung auf Facebook, Instagram und WhatsApp in der EU illegal
Wie das Wall Street Journal und Reuters berichten, hat der EDSA heute beschlossen, dass Facebook, Instagram und WhatsApp die Daten ihrer Nutzer für Werbung nicht mehr ohne Einwilligung nutzen dürfen. Im Mai 2018, als die DSGVO in der EU in Kraft trat, versuchte Meta Ireland Limited die DSGVO zu "umgehen", indem es einfach die Einwilligung in die Allgemeinen Geschäftsbedingungen verschob. Die Klausel sollte damit nicht mehr unter die strengen Anforderungen einer "Einwilligung" nach der DSGVO fallen. Am 25. Mai 2018 reichte noyb Beschwerden bei den zuständigen Datenschutzbehörden ein. Jetzt (4,5 Jahre später) entschied der Europäische Datenschutzausschuss (EDSA), dass die "Umgehung" der DSGVO illegal ist. Der EDSA überstimmte damit auch die irische Datenschutzbehörde (DPC), die sich zuvor auf die Seite von Meta gestellt hatte, nachdem sie sich vier Jahre Zeit für die Untersuchung des Falls genommen hatte.
- Bericht des Wall Street Journal
- Bericht von Reuters
- Originalbeschwerden vom 25. Mai 2018
- Hintergrund zur Genehmigung der "Einwilligungsumgehung" durch die irische DPC
- Hintergrund, wie der DPC den EDSA im Interesse von Meta lobbyierte
- EDSA-Leitlinien 2/2019 zu Artikel 6(1)(b) DSGVO
Die wichtigsten Fakten. Hier sind die wichtigsten Fakten:
- Bisher ist der Inhalt der Entscheidung nur aufgrund der Berichterstattung des WSJ bekannt. Die offizielle Entscheidung wird erst im Jänner zugestellt.
- Der EDSA hat eine Entscheidung erlassen, die die irischen DPC (die Regulierungsbehörde für Meta in der EU) dazu verpflichtet, innerhalb eines Monats eine endgültige Entscheidung zu treffen. Die DPC ist dabei an die Entscheidung des EDSA gebunden.
- Damit hat der EDSA einen früheren Entscheidungsentwurf des irischen DPC überstimmt, der Metas Umgehung der DSGVO für rechtmäßig erachtete.
- Die EDSA-Entscheidung schreibt vor, dass Meta personenbezogene Daten nur mit Einwilligung für Werbung verwenden darf. Die Nutzer müssen also eine Ja/Nein-Option haben.
- Die EDSA-Entscheidung verbietet keine anderen Formen der Werbung (wie kontextbezogene Werbung, die z.B. auf dem Inhalt einer Seite basiert).
- Neben dem Verbot, solche Daten künftig zu verwenden, bestand der EDSA auch auf einer Geldstrafe. Die genaue Höhe ist unklar.
Meta wollte die Einwilligung "umgehen". Die DSGVO sieht sechs Rechtsgrundlagen für die Verarbeitung von Daten vor, eine davon ist die Einwilligung gemäß Artikel 6(1)(a). Meta versuchte, das Erfordernis der Einwilligung für Tracking und Online-Werbung zu umgehen, indem es argumentierte, dass Anzeigen ein Teil des "Dienstes" sind, den es den Nutzer:innen vertraglich schuldet. Der angebliche Wechsel der Rechtsgrundlage fand genau am 25. Mai 2018 um Mitternacht statt, als die DSGVO in Kraft trat. Die "vertragliche Erforderlichkeit" nach Artikel 6(1)(b) wird in der Regel eng verstanden. Sie würde es beispielsweise einem Online-Shop erlauben, die Adresse an einen Postdienstleister weiterzuleiten, da dies für die Zustellung einer Bestellung unbedingt "erforderlich" ist. Meta vertrat jedoch die Ansicht, dass es einfach beliebige Elemente in den Vertrag einfügen könnte (wie z.B. personalisierte Werbung), um eine Ja/Nein-Einwilligung für die Nutzer zu vermeiden.
Max Schrems:"Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal. Uns ist kein anderes Unternehmen bekannt, das versucht hat, die DSGVO auf so arrogante Weise zu ignorieren."
Hohe Geldstrafe erwartet. Zusätzlich zu einem generellen Stopp personalisierter Anzeigen ist eine hohe Geldstrafe zu erwarten. Schließlich hat das Unternehmen die meisten kommerziellen Datenverarbeitungen auf eine Rechtsgrundlage gestützt, die vom EDPB in Leitlinien schon seit 2019 ausdrücklich ausgeschlossen wurde. Der Gesetzesverstoß ist daher klar vorsätzlich. Meta wurde dieses Jahr bisher schon mit mehr als 1 Milliarde Euro an DSGVO-Bußgeldern belegt. Die Geldstrafe fließt dem irischen Staat zu.
Max Schrems: "Das Verfahren war nur durch Spenden möglich. Der Fall geht aber vermutlich auch weiter vor die Gerichte. Die Strafe fließt nun aber gerade jenem Staat zu der das Verfahren seit über vier Jahren verzögert und sich auf die Seite von Meta gestellt hat."
Irische DPC und Meta haben bei der "Umgehung" zusammengearbeitet. Im Laufe des Verfahrens hat sich Meta auf zehn vertrauliche Treffen mit der irischen DPC berufen, in denen die Datenschutzbehörde Meta angeblich erlaubt hat, diese "Umgehung" zu nutzen. Wie sich später herausstellte, hat die DPC sogar versucht, die einschlägigen EDSA-Leitlinien im Interesse von Meta zu beeinflussen. Dennoch wiesen die anderen europäischen Datenschutzbehörden die Auffassung der DPC bereits 2018 und erneut in der endgültigen EDSA-Leitlinie zurück. Aufgrund des mitunter grotesken Verfahrensführung durch die DPC dauerte der Fall mehr als 4,5 Jahre und führte zu Hunderten von Seiten an Berichten und Stellungnahmen, obwohl es sich um eine recht einfache Rechtsfrage handelte.
Max Schrems: "In diesem Fall geht es um eine einfache Rechtsfrage, die aber endlos verzögert wurde. Trotz des langwierigen Verfahrens freuen wir uns über die Entscheidung des Europäische Datenschutzausschusses."
Die Konsequenz: Ja/Nein-Option für personalisierte Werbung. Die Entscheidung bedeutet, dass Meta den Nutzer:innen eine Version aller Apps zur Verfügung stellen muss, die keine persönlichen Daten für Werbung verwendet. Die Entscheidung würde Meta immer noch erlauben, nicht-personenbezogene Daten (wie den Inhalt eines Beitrags) zu verwenden. Meta kann auch eine Ja/Nein-Option anbieten. Die Nutzer:innen müssen aber in der Lage sein, ihre Einwilligung jederzeit zu widerrufen, und Meta darf den Dienst für solche Nutzer:innen nicht einschränken. Dies würde zwar die Gewinne von Meta in der EU drastisch einschränken, aber andere Arten von Werbung nicht vollständig verbieten. Stattdessen wird Meta durch die Entscheidung auf die gleiche Stufe gestellt wie andere Websites oder Apps, die den Nutzer:innen eine Ja/Nein-Option bieten müssen.
Max Schrems:"Das ist ein schwerer Schlag für die Gewinne von Meta in der EU. Die Menschen müssen jetzt gefragt werden, ob sie wollen, dass ihre Daten für Werbung verwendet werden oder nicht. Sie müssen eine 'Ja oder Nein'-Option haben und können ihre Meinung jederzeit ändern. Die Entscheidung sorgt auch für gleiche Wettbewerbsbedingungen mit anderen Werbetreibenden, die ebenfalls eine Einwilligung einholen müssen
Die nächsten Schritte. Die Entscheidungen des EDSA (eine für jeden Dienst) ergehen jetzt an die irsche DPC. In einem zweiten Schritt müssen die Entscheidungen nun an Meta in Irland und noyb in Österreich zugestellt werden. Beide Parteien könnnen dann gegen die Entscheidung Berufung einlegen, aber die Chancen, eine solche Berufung zu gewinnen, sind nach einer EDSA-Entscheidung minimal. Zwei weiter Fälle zur Umgehung durch Meta liegen auch schon vor dem EuGH, der die Frage wohl in wenigen Monaten ebenfalls entscheiden wird. Auch die Nutzer:innen können dann gegen die rechtswidrige Verwendung ihrer Daten in den letzten 4,5 Jahren vorgehen.