EU lehnt Facebook-Trick ab: Werbung ist keine Leistung, DSGVO-Strafe folgt

Meta darf ohne explizite Einwilligung Betroffener keine personenbezogenen Daten für Reklame nutzen. EU-Datenschützer befehlen Irland, eine Strafe zu verhängen.​

In Pocket speichern vorlesen Druckansicht 89 Kommentare lesen

(Bild: Daniel AJ Sokolov)

Lesezeit: 5 Min.
Inhaltsverzeichnis

Meta Platforms darf personenbezogene Daten seiner Nutzer in der Europäischen Union nur dann für Werbezwecke auswerten, wenn und solange diese Nutzer zustimmen. Diese wenig überraschende Auslegung der DSGVO (Datenschutzgrundverordnung) hat der Europäische Datenschutzausschuss am Montag beschlossen, und damit die für Meta zuständige Datenschutzbehörde Irlands überstimmt. Sie hat das Verfahren bereits vier Jahre hinausgezögert.

In der noch nicht veröffentlichten Entscheidung geht es um Datenschutzbestimmungen, die Meta Platforms bei Facebook, Instagram und Whatsapp anwendet. Für die Auswertung des Nutzerverhaltens auf fremden Webseiten und Apps bietet Meta eine Opt-Out-Option an. Für die Auswertung der auf Facebook und Instagram selbst anfallenden Daten haben User bislang jedoch keine Wahl.

Dabei regelt die DSGVO seit 2018, unter welchen Bedingungen personenbezogene Daten genutzt werden dürfen. In einigen Fällen geht das ohne explizite Zustimmung, insbesondere dann, wenn Daten ausgewertet werden müssen, um die Leistung erbringen zu können: Wer sich etwas liefern lässt, muss akzeptieren, dass der Bote die Lieferadresse erfährt.

Diese Bestimmung hat Facebook (heute Meta Platforms) versucht, auszunutzen: Am 25. Mai 2018, dem Zeitpunkt des Inkrafttretens der DSGVO, erklärte der Datenkonzern in seinen Nutzungsbedingungen die Berieselung mit persönlich zugeschnittener Werbung zum Teil des Dienstes.

"Wir helfen dir, Inhalte, Produkte und Dienste zu entdecken, die dich möglicherweise interessieren: Wir zeigen dir personalisierte Werbeanzeigen, Angebote und sonstige gesponserte oder kommerzielle Inhalte, um dir dabei zu helfen, Inhalte, Produkte und Dienste zu entdecken", steht in der aktuellen Fassung für deutsche Facebook-User.

Die von Max Schrems gegründete europäische Datenschutzorganisation Nyob legte noch im Mai 2018 Beschwerde bei der irischen Datenschutzbehörde DPC ein. Meta Platforms unterhält seinen Europasitz in Irland, weshalb die DPC zuständig ist. Fortan argumentierte Meta, die Auswertung personenbezogener Daten sei nicht bloß zulässig, nein, es schulde diesen "Dienst" seinen Nutzern sogar. Frappierend ist, dass die DPC das unterstützt hat.

Laut Meta gab es während des laufenden Verfahrens zehn vertrauliche Treffen mit der Behörde, an denen der Beschwerdeführer nicht teilnehmen durfte. "Aufgrund der mitunter grotesken Verfahrensführung durch die DPC dauerte der Fall mehr als 4,5 Jahre und führte zu Hunderten von Seiten an Berichten und Stellungnahmen, obwohl es sich um eine recht einfache Rechtsfrage handelte", kritisiert Nyob heute.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Vor einem Jahr hat die Organisation aufgedeckt, dass die DPC sogar versucht hat, die Leitlinien des Europäischen Datenschutzausschusses (EDSA) für die Auslegung der DSGVO im Sinne Metas zu beeinflussen. Im EDSA kommen der Europäische Datenschutzbeauftragte und die Datenschutzbehörden des EWR (Europäischer Wirtschaftsraum) zusammen, Stimmrecht haben nur EU-Mitglieder. Am Montag tagte der EDSA zum 72. Mal. Einziger Tagesordnungspunkt: Sicherstellung der einheitlichen Anwendung europäischen Datenschutzrechts bei in Irland gegen Meta anhängigen Verfahren, nämlich je einem zu Facebook, Instagram und Whatsapp.

Was genau entschieden wurde, soll erst Anfang 2023 veröffentlicht werden. Unter Berufung auf einen Eingeweihten berichten Reuters und Wall Street Journal schon jetzt, dass der EDSA den Bescheidentwurf der irischen Kollegen abgelehnt hat. Die DPC wollte Facebooks Einwilligungstrick abnicken.

Stattdessen ordnet der EDSA den Iren an, Metas Regeln für rechtswidrig zu befinden und eine Strafe zu verhängen. Dafür bekommt die DPC ein Monat Zeit. Gegen den Bescheid dürfte Meta dann vor Gericht ziehen, was die Sache auf weitere Jahre hinauszuzögern droht.

Daher ist Schrems' Freude über den Fortschritt verhalten: "In diesem Fall geht es um eine einfache Rechtsfrage, die aber endlos verzögert wurde. Trotz des langwierigen Verfahrens freuen wir uns über die Entscheidung des Europäischen Datenschutzausschusses." Allerdings könnten die Gerichtsverfahren noch geraume Zeit dauern. Außerdem wurmt Schrems, dass der Erlös aus der Strafe gerade an Irland fließt – jenen Staat, der das Verfahren lange verzögert und sich an die Seite Metas gestellt habe.

Unterliegt Meta auch vor Gericht, droht eine saftige Milliardenstrafe, da der Trick mit den Nutzungsbedingungen als vorsätzliche Verletzung der DSGVO ausgelegt werden könnte. Laut WSJ hat Metas Irlandtochter ihre Rücklagen für Datenschutzstrafen bereits im Vorjahr von zwei auf drei Milliarden Euro aufgestockt.

Für Werbeplattformen, die sich an die DSGVO-Auslegung des Europäischen Datenschutzausschusses halten, wäre eine Verurteilung Metas eine gute Nachricht. Die Gelddruckmaschine Metas müsste dann aber einen Gang zurückschalten. Unbestritten legal bleibt, Werbung kontextbasiert auszuwählen – beispielsweise darf Meta neben einem Video eines Squash-Ballwechsels Werbung für Squashschläger zeigen. Das zielt zwar auch auf die vermeintlichen Interessen der Zuschauer ab, aber ohne deren Verhalten abseits der aktuellen Ansicht oder sonstige personenbezogene Daten heranzuziehen.

(ds)