BREAKING: Meta (Facebook, Instagram, WhatsApp) darf zukünftig in der EU keine personenbezogenen Daten für Werbung nutzen. Schwerer Schlag für das Geschäftsmodell von Meta in Europa nach einer Beschwede von noyb. Strafe von € 32 Millionen auf € 390 Millionen mehr als verzehnfacht.
Der Europäische Datenschutzausschuss (EDSA) hat Metas "Umgehung" der DSGVO-Einwilligung über eine Klausel in den Geschäftsbedingungen untersage. Die Entscheidung betrifft drei Beschwerden von noyb aus 2018. Meta muss die "Opt-in"Zustimmung für personalisierte Werbung einholen und muss Nutzer:innen eine "Ja/Nein"-Option für personalisierte Werbung anbieten.
- Video-Erklärung zur "Umgehung" von Meta (von Dezember 2022)
- Originalbeschwerden von noyb aus dem Jahr 2018
- Frühere Berichterstattung über erste Informationen über die EDPB-Entscheidung (Reuters)
Wichtigste Fakten:
- Drei der von noyb am 25. Mai 2018 (dem Tag, an dem die DSGVO in Kraft trat) eingereichten Beschwerden wurden heute entschieden.
- Meta hatte versucht, die in der DSGVO geforderte Einwilligung zu umgehen, indem es eine Klausel in die Allgemeinen Geschäftsbedingungen (AGB) eingefügt hat.
- Im Dezember 2022 überstimmte der EDSA einen früheren Entscheidungsentwurf der irischen DPC. Die DPC hilt die Umgehung der DSGVO durch Meta für rechtmäßig.
- Die endgültige Entscheidung besagt, dass Meta personenbezogene Daten, die auf einem angeblichen "Vertrag" beruhen, nicht für Werbezwecke verwenden darf. Den Nutzer:innen muss daher eine Ja/Nein-Einwilligungsoption ("opt-in") angeboten werden, ohne Einwilligung darf Meta ihre Daten nicht für personalisierte Werbung verwenden.
- Andere Formen der Werbung (z. B. kontextbezogene Werbung, die auf dem Inhalt einer Seite basiert) werden durch die Entscheidung nicht untersagt.
- Neben der Feststellung, dass die Nutzung personenbezogener Daten durch Meta seit Mai 2018 rechtswidrig war, wird eine massive Geldstrafe verhängt.
Meta wollte die DSGVO"umgehen". Die DSGVO sieht sechs Rechtsgrundlagen für die Verarbeitung von Daten vor, eine davon ist die Einwilligung gemäß Artikel 6(1)(a). Meta versuchte, das Erfordernis der Einwilligung für Tracking und Online-Werbung zu umgehen, indem es argumentierte, dass Anzeigen ein Teil des "Dienstes" sind, den es den Nutzer:innen vertraglich schuldet. Der angebliche Wechsel der Rechtsgrundlage fand genau am 25. Mai 2018 um Mitternacht statt, als die DSGVO in Kraft trat. Die "vertragliche Erforderlichkeit" nach Artikel 6(1)(b) wird in der Regel eng verstanden. Sie würde es beispielsweise einem Online-Shop erlauben, die Adresse an einen Postdienstleister weiterzuleiten, da dies für die Zustellung einer Bestellung unbedingt erforderlich ist. Meta vertrat jedoch die Ansicht, dass es einfach beliebige Elemente in den Vertrag einfügen könnte (wie z.B. personalisierte Werbung), um eine Ja/Nein-Einwilligung für die Nutzer zu vermeiden.
Max Schrems:"Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal. Uns ist kein anderes Unternehmen bekannt, das versucht hat, die Datenschutzgrundverordnung auf so arrogante Weise zu ignorieren."
€ 390 Millionen in Strafen, statt € 28 bis 36. Zusätzlich zu einem generellen Stopp personalisierter Werbung hat der EDPB auf einer massiven Geldstrafe für Meta bestanden. Schließlich hat das Unternehmen die meisten kommerziellen Datenverarbeitungen auf eine Rechtsgrundlage gestützt, die vom EDPB in Leitlinien schon seit 2019 ausdrücklich ausgeschlossen wurde. Der Gesetzesverstoß ist daher klar vorsätzlich. Meta wurde dieses Jahr bisher schon mit mehr als 900 Millionen Euro an DSGVO-Bußgeldern belegt. Die Geldstrafe geht an den irischen Staat, nicht an den Beschwerdeführer, noyb oder den EDPB. Die DPC wollte zuvor maximal 10% der Strafe verhängen und sprach sich für € 28 bis € 36 Million aus (siehe Seite 87 der Draft Decision).
Max Schrems: "Die Strafe wird an Irland gehen - den Staat, der sich auf die Seite von Meta gestellt und die Durchsetzung mehr als vier Jahre lang verzögert hat. Meta wird in diesem Fall wahrscheinlich in Berufung gehen, was zu weiteren Kosten für noyb führen wird."
DPC und Meta arbeiteten zusammen und wurden vom EDPB zurechtgewiesen. Im Laufe des Verfahrens hat sich Meta auf zehn vertrauliche Treffen mit der irischen DPC berufen, in denen die Datenschutzbehörde Meta angeblich erlaubt hat, diese "Umgehung" zu nutzen. Wie sich später herausstellte, hat die DPC sogar versucht, die einschlägigen EDSA-Leitlinien im Interesse von Meta zu beeinflussen. Dennoch wiesen die anderen europäischen Datenschutzbehörden die Auffassung der DPC bereits 2018 und erneut in der endgültigen EDSA-Leitlinie ivon 2019 zurück. Aufgrund des mitunter grotesken Verfahrensführung durch die DPC dauerte der Fall trotzdem mehr als 4,5 Jahre und führte zu Hunderten von Seiten an Berichten und Stellungnahmen, obwohl es sich um eine einfache Rechtsfrage handelte.
Max Schrems: "In diesem Fall geht es um eine einfache Rechtsfrage. Meta behauptet, die 'Umgehung' sei mit dem Segen der irischenDPC erfolgt. Jahrelang hat die DPC darauf bestanden, dass Meta die DDSGVO umgehen darf, wurde aber nun von den anderen EU-Behörden überstimmt. Es ist insgesamt das vierte Mal in Folge, dass die irische DPC überstimmt wurde."
Die Konsequenz: keine personalisierte Werbung, weniger Gewinn in der EU. Die Entscheidung bedeutet, dass Meta den Nutzer:innen eine Version aller Apps zur Verfügung stellen muss, die keine persönlichen Daten für Werbung verwendet. Die Entscheidung würde Meta immer noch erlauben, nicht-personenbezogene Daten (wie den Inhalt eines Beitrags) zu verwenden. Meta kann auch eine Ja/Nein-Option anbieten. Die Nutzer:innen müssen in der Lage sein, ihre Einwilligung jederzeit zu widerrufen, und Meta darf den Dienst für solche Nutzer:innen nicht einschränken. Dies würde zwar die Gewinne von Meta in der EU drastisch einschränken, aber andere Arten von Werbung (z.B. Werbung anhand von Inhalten) nicht vollständig verbieten. Stattdessen wird Meta durch die Entscheidung auf die gleiche Stufe gestellt wie andere Websites oder Apps, die den Nutzer:innen eine Ja/Nein-Option bieten müssen.
Max Schrems:"Das ist ein schwerer Schlag für die Gewinne von Meta in der EU. Jeder muss jetzt diese Apps auch ohne personalisierter Werbung nutzen können. Die Entscheidung sorgt auch für gleiche Wettbewerbsbedingungen mit anderen Werbetreibenden, die ebenfalls die Zustimmung der Nutzer einholen müssen.
Die DPC zensiert Entscheidung um Berichte zu kontrollieren. In einem erstaunlichen Schritt teilte die DPC in letzer Sekunde noyb mit, dass wir (obwohl wir eine der beiden Parteien in dem Verfahren) die Entscheidung nicht bekommen wird. Meta hat die Entscheidung bereits zugestellt bekommen. Als Grund führte die DPC plötzlich an, dass die Entscheidung angeblich "vertrauliche" Informationen enthalten könnte. Die Entscheidung soll noyb (und damit der Öffentlichkeit) erst zu einem späteren Zeitpunkt - möglicherweise sogar erst nach Ablauf der Rechtsmittelfrist - zugänglich gemacht werden. Dies ist nicht nur illegal, sondern steht auch im Widerspruch zu früheren Angaben der DPC, dass die Parteien die Entscheidung vor einer Veröffentlichung durch die DPC erhalten würden.
Max Schrems: "Dass die Entscheidung durch den EDPB gekippt wurde, ist ein schwerer Schlag für den DPC. Nun scheint es so als würden sie zumindest versuchen, die öffentliche Wahrnehmung dieses Falles umzudrehen. In zehn Jahren als Jurist habe ich noch nie erlebt, dass eine Entscheidung nur einer Partei zugestellt wurde, aber nicht der anderen. Die DPC spielt ein zynisches Spiel mit der Öffentlichkeit. Indem sie noyb und der Öffentlichkeit nicht erlaubt, die Entscheidung zu lesen, versucht sie, den Narrativ gemeinsam mit Meta zu prägen. Es scheint, dass die Zusammenarbeit zwischen Meta und der irischen DPC weiter sehr lebendig ist - insbesondere nachdem sie vom EDPB überstimmt wurden."
DPC sieht Sieg in der Frage der "Transparenz"? In der Medienmitteilung der DPC wird die Kernfrage, ob Meta Nutzerdaten für Werbung eher hintangestellt. Die DPC möchte lieber über die "Transparenz" im Rahmen des Rechtsbruchs sprechen, wo selbst die DPC einen Verstoß festgestellt hat.
"Es ist ziemlich erbärmlich, wenn die DPC jetzt behauptet, dass andere Behörden in einer kleinen Transparenzfrage zugestimmt hätten. Hier hätten nur ein paar Texte auf der Meta-Website geändert werden müssen. Das große Thema war, dass Meta mehr als vier Jahre lang illegal Nutzerdaten verarbeitet hat, die DPC hat Meta geholfen und sie wurden auf EU-Ebene niedergestimmt. Rechtsbruch ist Rechtsbruch - egal ob transparenter Rechtsbruch oder nicht."
Nächste Schritte: Meta geht in Berufung und DPC klage EDSA. Es wird erwartet, dass Meta gegen die Entscheidung vor den irischen Gerichten Berufung einlegen wird, aber die Chancen, eine solche Berufung zu gewinnen, sind nach einer verbindlichen Entscheidung der EDSA minimal. Vor dem Europäischen Gerichtshof (EuGH) sind zwei ähnliche Fälle anhängig, in denen es um die Umgehung der Zustimmung von Meta geht, so dass die Angelegenheit und alle Einsprüche endgültig geklärt werden könnten.
Die DPC hat nun auch angekündigt gegen eine weiter Entscheidung des EDSA vorzugehen. Der EDSA hat nämlich auch verlangt, dass die DPC Meta in anderen Bereichen untersucht. Die DPC hat jedoch die Ansicht, dass der EDSA hierzu keine Entscheidungen treffen darf und will die Entscheidung bekämpfen. Dies hat keine Auswirkung auf die heutigen Entscheidungen zu Meta.
Die Nutzer:innen können dann auch gegen die rechtswidrige Verwendung ihrer Daten in den letzten 4,5 Jahren vorgehen.