EU-Datenschützer zwingen irische Aufsicht zu schärferem Vorgehen gegen Meta

Haben Facebook und Instagram über Jahre Daten ihrer Nutzer ohne Rechtsgrundlage für personalisierte Werbung genutzt? Europas Datenschützer sehen das so.

In Pocket speichern vorlesen Druckansicht

(Bild: mundissima/Shutterstock.com)

Lesezeit: 4 Min.

Unmittelbar bevor die EU-Datenschutzgrundverordnung (DSGVO) im Mai 2018 wirksam wurde, hatte Facebook seine Nutzer vor die Wahl gestellt: Entweder sie akzeptieren die aktualisierten Geschäftsbedingungen und stimmen damit auch zu, dass Meta Daten über das Verhalten der Nutzer für seine Werbung nutzt, oder sie verlassen die Plattform. Das war unzulässig, befand im Dezember 2022 der Europäische Datenschutzausschuss (EDSA).

Mit der Entscheidung hat sich der EDSA über die eigentlich federführende Instanz im Verfahren gestellt, nämlich die irische Datenschutzaufsichtsbehörde (Data Protection Commission, DPC). Unter Datenschützern gilt die DPC als besonders unternehmensfreundlich: Weil Irland – ursprünglich wegen seiner niedrigen Steuersätze – ein besonders beliebter Standort für die EU-Zentralen internationaler Konzerne ist, beaufsichtigt die DPC Aktivitäten vieler US-Tech-Giganten in Europa, darunter Microsoft, Alphabet (Google) und eben Meta.

Den Rechtsstreit um die Friss-oder-Geh-Zustimmung bei Facebook und Instagram hatte die zivilgesellschaftliche Organisation "noyb" des österreichischen Datenschutzaktivisten Max Schrems ins Rollen gebracht. 2018 reichte die Organisation Beschwerde bei der DPC ein, die sich damit seitdem augenscheinlich eher widerwillig beschäftigt.

Beschwerdeführer und Datenschutzaktivist Max Schrems erklärt in einem Video, wie Meta Einwilligungen umgeht, indem der Konzern Informationen zur Datenverarbeitung in den AGB versteckt.

(Bild: Screenshot noyb-Video)

Die EU-DSGVO gestattet einige Ausnahmen für die ansonsten verbotene Verarbeitung personenbezogener Daten. Außer auf eine Einwilligung kann sich ein Unternehmen auch darauf berufen, seine vertraglichen Verpflichtungen nur mit der Verarbeitung erfüllen zu können. Genau so hatte Facebook argumentiert: Die personalisierte Werbung sei Teil des Produkts, damit sei die Zustimmung in die Vertragsklausel ausreichend. Die irische DPC sah es ähnlich und wollte Facebook 2022 lediglich wegen mangelnder Transparenz eine vergleichsweise geringe Strafe zwischen 28 und 37 Millionen Euro auferlegen.

Daraufhin meldeten andere Aufsichtsbehörden Bedenken an: Die Rechtsauslegung der DPC sei nicht haltbar. Im Dezember überstimmten sie – versammelt im Europäischen Datenschutzausschuss (EDSA) – die DPC und zwangen diese damit zur Korrektur. Anfang Januar 2023 übersandte die irische Behörde nun den Bescheid an Meta. Für den Facebook-Verstoß werden 210 Millionen Euro fällig, für Instagram weitere 180 Millionen Euro – deutliche höhere, aber immer noch überschaubare Strafen.

Meta kündigte an, den Bescheid zu prüfen und voraussichtlich dagegen in Irland zu klagen. Bis zu einer endgültigen Entscheidung könnten folglich noch Jahre vergehen. Solange könnte der Konzern weitermachen wie bisher. Dennoch evaluiert er nach eigener Aussage, ob und wie er alternative Rechtsgrundlagen in der EU verwenden könne.

Für Meta geht es um viel: Sollte der Beschluss vor Gericht Bestand haben, könnte das bedeuten, dass ohne gültige Rechtsgrundlage erhobene Daten aus den Systemen gelöscht, mindestens aber nicht mehr für die Werbepersonalisierung genutzt werden dürfen. Ob die Nutzer aktiv in die Verwendung der Daten einwilligen würden, ist fraglich. Zumal man vor der ersten Verarbeitung unter anderem darüber informiert werden müsste, dass man seine Einwilligung gemäß Artikel 6 DSGVO jederzeit widerrufen kann – wie man es von den leidigen Cookie-Bannern kennt.

Für die Staatssekretärin im Bundesministerium für Umwelt und Verbraucherschutz (BMUV) Christiane Rohleder ist der Beschluss ein Meilenstein. Sie fordert: "Nutzerinnen und Nutzer müssen mit einer Ja/Nein-Einwilligungsoption wählen können, ob sie der Datensammlung für personalisierte Werbung zustimmen." Kritisch beurteilt Thomas Duhr, Vizepräsident des Bundesverbands digitale Wirtschaft (BVDW) den Beschluss. Er zeige insbesondere, "dass mit der DSGVO zwar eine EU-weit einheitliche Gesetzgebung vorliegen mag, die nicht einheitliche Auslegung eben dieser Gesetze das Ideal des Single Markets aber reine Illusion bleiben lässt."

Die unzufriedene irische Datenschutzaufsicht will derweil selbst vor Gericht gehen – gegen den Europäischen Datenschutzausschuss. Der EDSA hatte mit seinem Beschluss nämlich die DPC Ireland nebenbei dazu verdonnert, im Meta-Reich genauer hinzuschauen und ein Audit bei Facebook durchzuführen. Dies sei eine Kompetenzüberschreitung durch die EU-Kollegen, moniert die irische Behörde. Beide Aspekte dürften daher auch in Brüssel und den Mitgliedstaaten mit viel Interesse verfolgt werden.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(hob)