Beschwerdeführer: Irische DSGVO-Strafe für Meta müsste 4 Milliarden höher sein
Die irische Datenschutzbehörde habe die von Facebook und Instagram rechtswidrig über den Einwilligungstrick erzielten Einnahmen ignoriert, beklagt Max Schrems.
(Bild: Michael Vi/Shutterstock.com)
Meta sei mit der Strafe von insgesamt 390 Millionen Euro, die die irische Datenschutzbehörde jüngst gegen den US-Konzern wegen des Einwilligungstricks in personalisierte Werbung bei den Töchtern Facebook und Instagram verhängte, viel zu billig davongekommen. Das meint der österreichische Datenschutzaktivist Max Schrems, der das Verfahren mit seinem Verein Noyb und einem Belgier 2018 direkt nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) ins Rollen gebracht hatte. Ihm zufolge hätte die Data Protection Commission (DPC) Meta mit der möglichen Höchststrafe von 4,36 Milliarden Euro belegen müssen.
Laut den vom Europäischen Datenschutzausschuss (EDSA) mittlerweile veröffentlichten Entscheidungen in den beiden Fällen "ignorierte die DPC die von Meta erzielten, rechtswidrigen Einnahmen", kritisiert Noyb. Die Behörde habe sich nicht in der Lage gesehen, auch nur eine Schätzung vorzunehmen. Daher seien nicht für die Strafe herangezogen worden.
72,5 Milliarden Euro in Europa verdient
"Jeder weiß von Metas enormen Einnahmen durch Werbung", hält Schrems dagegen. Die irische Behörde habe nicht einmal von ihren gesetzlichen Befugnissen Gebrauch gemacht, den Plattformbetreiber um diese Informationen zu bitten. Noyb habe die einschlägigen Daten recherchiert und "in einer Stunde berechnen" können, "dass die Geldstrafe um 3,97 Milliarden Euro höher sein müsste".
Nach eigenen Angaben hat das börsennotierte Meta zwischen dem dritten Quartal 2018 und dem dritten Quartal 2022 84,7 Milliarden Euro mit Werbung auf dem europäischen Kontinent eingenommen. Heruntergerechnet auf EU-Nutzer ergibt dies rund 72,5 Milliarden Euro. Selbst wenn es sich dabei nicht nur um Umsätze aus personalisierter Werbung handle, geht Noyb davon aus, dass diese um ein Vielfaches höher lägen als die nicht verhängte Höchststrafe.
4 Milliarden Euro geschenkt?
Facebook und Instagram versuchten, gezielte Reklame als Leistung für die Nutzer auszugeben und die Zustimmung zum Online-Tracking einfach in die Allgemeinen Geschäftsbedingungen einzubauen. Die DPC trug diesen Ansatz mit und wollte ihn EU-weit durchdrücken, der EDSA legte sich aber quer und stufte ihn als nicht datenschutzkonform ein. Das Gremium aller EU-Datenschutzbeauftragten wies die irische Aufsicht zudem an, dass die Sanktion "den entstandenen Vorteil aus der rechtswidrigen Verarbeitung" widerspiegeln müsse und forderte "eine Geldstrafe zu verhängen, die diesen Betrag übersteigt".
Dieser Auflage widersetzte sich die DPC Schrems zufolge klar. Die Behörde habe Meta so "gut 4 Milliarden Euro geschenkt". Laut der DSGVO müssen Sanktionen generell "wirksam, verhältnismäßig und abschreckend" sein und den "finanziellen Nutzen aus dem Verstoß" berücksichtigen. Der Ermessensraum endet bei einem Konzern bei 4 Prozent des weltweiten Umsatzes des vergangenen Jahres. Im Fall von Meta würde dies einer Höchststrafe von 4,36 Milliarden Euro entsprechen, die laut Schrems angesichts der Werbeumsätze des Unternehmens auch in jedem Fall fällig gewesen wäre.
Erste Strafe war zu niedrig
Die DPC hatte in ihren Entscheidungsentwürfen zunächst eine Geldbuße von maximal 36 Millionen Euro für Facebook und 23 Millionen Euro für Instagram vorgesehen. Erst nach dem Intervenieren des EDSA setzte sie diese auf 210 und 180 Millionen Euro hoch. Die Bürgerrechtler drängen den EDSA allerdings, seine bereits erteilten Vorgaben vollständig durchzusetzen. Sonst hätte es sich für Meta "absolut gelohnt, gegen die DSGVO zu verstoßen".
Gerichtliche Auseinandersetzungen zeichnen sich in dem Streit eh bereits ab. So wies der EDSA die DPC bereits, eine neue Untersuchung durchzuführen, die sich auf alle Datenverarbeitungsvorgänge von Facebook und Instagram erstreckt. Sie soll besondere Kategorien personenbezogener Daten einschließen, die im Zusammenhang mit diesen Vorgängen verarbeitet werden können oder nicht.
Wie es jetzt weitergeht
Die DPC will dem nicht nachkommen und kündigte an, eine Nichtigkeitsklage beim Europäischen Gerichtshof einzureichen, um die Aufhebung der Direktive des EDSA zu erreichen. Dieser habe "keine allgemeine Aufsichtsfunktion", begründen die irischen Kontrolleure ihren Widerstand. Dem Ausschuss stehe es nicht zu, "eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen". Alles andere wäre nicht mit dem in der DSGVO festgelegten Kooperations- und Kohärenzregelungen vereinbar.
(mki)
