Die irische DPC hat die endgültige Entscheidung über die illegale Verarbeitung von Nutzerdaten durch Meta für personalisierte Werbung veröffentlicht. Hier ist ein Download-Link und eine erste kurze Zusammenfassung von noyb.
Die Entscheidung der DPC zeigt deutlich, dass es massive Unstimmigkeiten zwischen der irischen DPC und dem Europäischen Datenschutzausschuss (EDSA) gibt.
- Facebook-Entscheidung DPC
- Instagram-Entscheidung DPC
- Facebook-Entscheidung EDSA
- Instagram Entscheidung EDSA
Großer Streit zwischen DPC und EDSA. Aus der DPC-Entscheidung geht hervor, dass die österreichischen, deutschen, französischen, italienischen, niederländischen, norwegischen, polnischen, portugiesischen und schwedischen Behörden alle formelle Einwände gegen die DPC-Entscheidung erhoben haben. Traditionell erheben die Behörden jedoch keine formellen Einwände, wenn klar ist, dass die Angelegenheit bereits von einer Reihe von Behörden angesprochen wurde. Der DPC hat sich nicht einmal die Mühe gemacht, die Entscheidung zu ändern und ihre Positionen anzupassen, sondern hat lediglich die Position des EDSA in die vorherige Entscheidung übernommen.
Max Schrems:"Die Entscheidung liest sich wie eine Hausaufgabe, bei der sich der Schüler nicht einmal darum gekümmert hat, Fehler zu ändern, sondern einfach die Korrekturen des Lehrers in einen Text kopiert hat."
Die Entscheidung der DPC kann den Fall nicht beenden. Die Entscheidung scheint auch nicht vollständig auf die Beschwerden von noyb einzugehen, da sie sich nicht auf Fragen wie die Verwendung personenbezogener Daten zur Verbesserung der Facebook-Plattform oder für personalisierte Inhalte bezieht. Der EDSA forderte außerdem weitere Untersuchungen. Der zugrundeliegende Konflikt besteht darin, dass nach österreichischem oder deutschem Recht die Beschwerde den Umfang des Verfahrens bestimmt, die DPC jedoch der Ansicht ist, dass nach irischem Recht der Umfang einer Beschwerde einschränkt werden kann. noyb wird aus diesen Gründen möglicherweise eine Berufung gegen die Entscheidung einlegen müssen.
Minimale Strafe für tatsächliche Verletzung von Nutzerrechten? Ein eher schockierendes Element betrifft die Höhe der Strafen. Während der EDPB ein "deutlich höheres" Bußgeld forderte, entschied die DPC über die endgültigen Zahlen. Während der EDSA gegen Facebook wegen Transparenzproblemen eine Strafde von insgesamt 150 Millionen Euro verhängte, verhängte der EDSA nur ein Bußgeld von 60 Millionen Euro wegen des Fehlens einer Rechtsgrundlage für die Verarbeitung von Millionen von europäischen Nutzerdaten über einen Zeitraum von etwa fünf Jahren.
Max Schrems:"Offenbar ist die Datenschutzbehörde mehr daran interessiert, die Nutzer auf transparente Weise zu bescheißen, als sie überhaupt nicht zu bescheißen."
Weitere Einzelheiten in Aufzählungspunkten. Die Entscheidung ist in verschiedene Abschnitte unterteilt, die sich mit unterschiedlichen Themen befassen, sowie in einen Zeitplan, der sich mit Verfahrensfragen befasst. Nachfolgend finden Sie eine kurze Zusammenfassung der wichtigsten Punkte, wobei die entsprechenden Abschnitte in der endgültigen Entscheidung von Facebook zu finden sind. Für die Instagram-Entscheidung kann es geringfügige Unterschiede geben, aber wir gehen davon aus, dass sie weitgehend ähnlich ausfallen werden.
Darf Meta die Einwilligung verwenden (Punkt 1 der Entscheidung)
- Der EDSB versucht, die Frage, ob Meta die Nutzer absichtlich in die Irre geführt hat, zu ignorieren, indem er einfach sagt, dass es sich um eine Frage der Transparenz handelt (§ 2.19), und weist daher zurück, dass er die ursprüngliche Beschwerde nicht vollständig untersucht hat (§ 2.20).
- Der EDSB stellte fest, dass der Datenschutzbeauftragte"die Verarbeitungsvorgänge [von Facebook], die Kategorien der verarbeiteten Daten (einschließlich der Ermittlung besonderer Kategorien personenbezogener Daten, die verarbeitet werden können) und die Zwecke, denen sie dienen, hätte untersuchen müssen", um die Beschwerde vollständig zu prüfen.
- Die Datenschutzbehörde ignoriert weiterhin das Kernproblem der Beschwerden, nämlich die Frage, ob die Klauseln in den Nutzungsbedingungen de facto eine versteckte Einwilligungsklausel(falsa demonstratio) darstellen. Stattdessen schloss sich der DPC der Auffassung von Meta an, dass der für die Verarbeitung Verantwortliche niemals eine Einwilligung eingeholt hat. Wenn dies der Fall ist, kann keine Einwilligung vorliegen (§ 3.10), und die Angelegenheit ist daher nicht zu untersuchen, selbst wenn der Vorwurf lautet, dass Meta einfach eine Einwilligungsklausel in die Allgemeinen Geschäftsbedingungen aufgenommen hat.
- Die Tatsache, dass eine Studie unter 1.000 Nutzern zeigt, dass mehr als 60 % dies als Zustimmung und weniger als 2 % es als Vertrag ansehen, wird von der Datenschutzbehörde ständig ignoriert. Der EDSB hat die Studie als wichtige Information hervorgehoben, die von der Datenschutzbehörde nicht berücksichtigt und nicht in den Entscheidungsentwurf aufgenommen wurde.
- Der EDSB hob die Beurteilung des Datenschutzbeauftragten zu der Frage auf, ob das Anklicken von "Akzeptieren" auf der Meta-Website tatsächlich als "Einwilligung" gemäß Artikel 6 Absatz 1 Buchstabe a oder als "Vertrag" gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO zu werten ist.
- Der EDSB hat den Datenschutzbeauftragten aufgefordert, alle Schlussfolgerungen zu "Fragen 1" aus der Entscheidung zu streichen (siehe Abschnitt 3.26). Während der Datenschutzbeauftragte alle Feststellungen auf den Seiten 15 bis 21 des Entscheidungsentwurfs (gegen den Standpunkt des EDSB) beibehält, fügte der Datenschutzbeauftragte am Ende des Abschnitts einen einzigen Absatz hinzu, in dem es heißt, dass er (trotz der Beibehaltung aller Argumente gegen den Standpunkt des EDSB) "keine Feststellungen zu Punkt 1 trifft".
Ob Meta Artikel 6(1)(b) "Vertrag" verwenden darf (Punkt 2 der Entscheidung)
- Der EDSB lehnte es ab, alle Verarbeitungen zu untersuchen, bei denen sich Meta auf Artikel 6 Absatz 1 Buchstabe b beruft, da es"einem Beschwerdeführer ... nicht möglich ist, eine solche Bewertung zu verlangen". Facebook hat folglich nie eine Liste aller Verarbeitungen und der entsprechenden Rechtsgrundlage vorgelegt. Dies könnte gegen österreichisches Recht verstoßen, wo der Umfang einer Beschwerde eindeutig Sache des Beschwerdeführers ist. Der Datenschutzbeauftragte untersuchte die Angelegenheit daher nur auf prinzipieller Ebene (§ 4.7), wobei er sich auf "verhaltensbezogene Werbung" konzentrierte. Dies könnte die Entscheidung anfechtbar machen, da andere Formen der Personalisierung (wie die Personalisierung von Inhalten, die Verbesserung des Produkts und ähnliches) oder die Verarbeitung sensibler personenbezogener Daten gemäß Artikel 9 DSGVO ebenfalls angesprochen wurden, aber nicht Gegenstand der Untersuchung und Entscheidung des Datenschutzbeauftragten waren.
- Der Datenschutzbeauftragte sieht keine Zuständigkeit für die Auslegung des Begriffs "Vertrag" und ist der Ansicht, dass die Zuständigkeit des Datenschutzbeauftragten auf die DSGVO beschränkt ist (§ 4.13). Dies ist recht erstaunlich, da die Bestimmung des Vertragsinhalts eine logische Voraussetzung für die Feststellung ist, ob die Verarbeitung zur Erfüllung eines Vertrags "erforderlich" ist. noyb hat bereits früher erklärt, dass die Nichtbewertung des Vertrags einem Trick gleichkommt, um die Angelegenheit nicht zu behandeln. Der Datenschutzbeauftragteweist diese schwerwiegenden Behauptungen von noyb,wonach die vertragliche Notwendigkeit von noyb einfach nicht untersucht worden sei,"aufs Schärfste zurück". Die DPC akzeptiert nicht, dass die Nichtuntersuchung des Vertragsinhalts eine"Rechtsverweigerung" darstellt (§ 4.16).
- In den Ziffern 4.26 bis 4.55 wiederholt der Datenschutzbeauftragte die Meinungsverschiedenheit zwischen dem Datenschutzbeauftragten und dem EDSB, wo der Datenschutzbeauftragte sagt, dass er den Inhalt von Verträgen nicht bewerten darf und eine weite Auslegung befürwortet, bei der alles, was in einem Vertrag oder in den Allgemeinen Geschäftsbedingungen steht, gemäß Artikel 6 Absatz 1 Buchstabe b DSGVO "notwendig" ist.
- Der EDSB scheint sich auf die Urteile des EuGH in den Rechtssachen C-252/21 und C-446/21 gestützt zu haben, in denen es um tatsächliche Feststellungen zur Verwendung personenbezogener Daten durch Meta für Werbezwecke und Ähnliches ging, da der Datenschutzbeauftragte sich weigerte, die Angelegenheit umfassend zu untersuchen (Seite 37 und 38). Hier scheint ein großes verfahrenstechnisches Problem zu bestehen, da dem EDSB möglicherweise einfach die sachlichen Beweise fehlen, um eine Entscheidung über die gesamte Beschwerde zu treffen, wenn sich der DSB ständig weigert, die Angelegenheit auch nur vollständig zu untersuchen.
- Der DPC kopiert dann einfach die Entscheidung des EDPB in den Entscheidungsentwurf des DPC. Der EDSB hebt hervor:
- Der EDPB lehnt die Ansichten des DPC weitgehend ab und betont, dass die Studie von noyb zeigt, dass die Nutzer dies nicht als Vertrag, sondern als Zustimmung ansehen.
- Der EDSB sagt auch, dass die Entscheidung von Meta, mit personalisierter Werbung Gewinne zu erzielen, diese nicht "notwendig" macht, da Meta auch Werbung auf der Grundlage von Kontext oder anderen Daten schalten könnte.
- Der EDSB ist der Ansicht, dass der Hauptzweck, für den die Nutzer die Meta-Dienste nutzen, die Kommunikation ist und nicht die personalisierte Werbung.
- Nach Ansicht des EDSB könnte die Position von DPC und Meta auch andere Betreiber dazu ermutigen, Artikel 6 Absatz 1 Buchstabe b) als Umgehung der Zustimmungspflicht zu nutzen.
- Der EDSB schließt sich der Auffassung der österreichischen, deutschen, französischen, italienischen, niederländischen, norwegischen, polnischen, portugiesischen und schwedischen Behörden an, dass verhaltensbezogene Werbung"objektiv nicht notwendig für die Erfüllung des angeblichen Vertrags von Meta" ist.
- Ohne weiteren Kommentar stellt die Datenschutzbehörde dann in § 4.56 fest (entgegen ihrer vorherigen Argumentation), dass sie"auf Anweisung des EDSB" feststellt, "dass Facebook nicht berechtigt war, sich zum Zwecke des Behavioral Targetingauf Artikel 6 Absatz 1 Buchstabe b DSGVO zu berufen".
Transparenz der "Umgehung"
- Der DPC hat bisher hauptsächlich die Ansicht vertreten, dass Meta die (nach Ansicht des DPC ansonsten legale) Umgehung der DSGVO einfach transparenter hätte machen sollen. Dies hätte bedeutet, dass die Nutzer lediglich ein zusätzliches Pop-up oder ähnliches sehen würden, hätte Meta aber nicht davon abgehalten, die Nutzerdaten weiter zu missbrauchen. Der Mangel an Transparenz wird in der Entscheidung beibehalten und in den Abschnitten 5.1 bis 5.77 erläutert.
- Der EDSB beharrte jedoch darauf, dass dies auch zu einem Verstoß gegen Artikel 5 Absatz 1 Buchstabe a DSGVO führe, was wiederum bedeuten würde, dass die personenbezogenen Daten der Nutzer nicht hätten verarbeitet werden dürfen.
- Die Datenschutzbeauftragte kopierte die EDSB-Entscheidung einfach in ihre eigene Entscheidung und fügte eine Zeile hinzu, in der sie erklärte, dass sie gemäß der EDSB-Entscheidung diese zusätzliche Feststellung treffen müsse.
Die endgültigen Anordnungen:
- Der EDPB forderte eine dreimonatige Frist für die Befolgung der Anordnung ab dem Zeitpunkt der Zustellung der EDPB-Anordnung. Sie untersagt Meta die Anwendung von Artikel 6 Absatz 1 Buchstabe b), wie in der EDPB-Anordnung beschrieben.
- Der Datenschutzbeauftragte legte fest, dass die EDPB-Entscheidung bedeuten muss, dass "die Verarbeitung" auf die Verarbeitung zu Werbezwecken beschränkt ist. Es scheint, dass andere Aspekte der Beschwerde vom DSB nicht behandelt wurden, was an sich schon rechtswidrig sein kann.
- Der Datenschutzbeauftragte änderte die EDPB-Entscheidung dahingehend, dass die Dreimonatsfrist nicht ab dem Zeitpunkt der Zustellung der EDPB-Entscheidung an Meta (irgendwann im Dezember), sondern ab der Zustellung der Entscheidung des Datenschutzbeauftragten (irgendwann im Januar) gilt (siehe Abschnitt 8.11). Diese Abweichung des DPC von der EDPB-Entscheidung scheint rechtswidrig zu sein.
- Der EDSB war mit der Auffassung des DPC zur Geldbuße grundsätzlich nicht einverstanden. Die deutsche Behörde bezeichnete sie sogar als "kontrafaktisch" (Seite 91). Gleichzeitig verfügte der EDSB auch nicht über die nötigen Beweise, um festzustellen, dass Meta "absichtlich" gegen die DSGVO verstoßen hat, wie die schwedische Datenschutzbehörde behauptet.
- Der EDSB setzte keine konkrete Geldbuße fest, sondern forderte die Datenschutzbehörde lediglich auf, eine "deutlich höhere" Geldbuße zu verhängen.
- Die Seiten 100 bis 153 sind einer Neubewertung der erhöhten Geldbuße durch den EDSB gewidmet. Die Geldbuße ist unterteilt in 80 Mio. € und 70 Mio. € für mangelnde Transparenz und lediglich 60 Mio. € in Bezug auf die tatsächliche unrechtmäßige Verarbeitung personenbezogener Daten von Millionen von EU-Nutzern gemäß Artikel 6 Absatz 1 Buchstabe b (§ 10.45).