Die französische Datenschutzbehörde hat in dieser Woche die härteste ihr zur Verfügung stehende Sanktion gegen Facebook verhängt: eine Strafzahlung von 150.000 Euro. Grund dafür seien mehrere Verstöße gegen französisches Datenschutzrecht.
Die Commission Nationale de l’Informatique et des Libertés (CNIL) wirft Facebook vor, das von der Plattform angebotene Targeted Advertising sei illegal. Facebook habe keine rechtliche Grundlage, alle über seine Nutzer vorhandenen Informationen zu kombinieren, um personalisierte Werbung zielgerichtet auszuliefern, so die Datenschützer. Nutzer müssten die Möglichkeit zum Widerspruch gegen diese umfassende Profilbildung haben, die den Kern von Facebooks Geschäftsmodells bildet.
Darüber hinaus betreibe Facebook mit seinem datr-Cookie unrechtmäßiges Tracking des Surf-Verhaltens seiner Nutzer. Das Unternehmen informiert lediglich darüber, den Cookie dazu einzusetzen, um Informationen auf und außerhalb der Plattform zu sammeln. Nutzer sind der CNIL zufolge deshalb nicht ausreichend informiert, dass Facebook jedes Mal Informationen über sie sammelt, wenn sie eine Webseite besuchen, die das Social-Plugin des Datenkonzerns eingebunden hat.
Deutlich schärfere Sanktionen ab 2018 möglich
Man habe Facebook 2016 öffentlich aufgefordert, sich an die geltenden französischen Gesetze zu halten, so die Datenschutzbehörde. Weil eine zufriedenstellende Reaktion ausblieb, hat sie nun die (Höchst-)Strafe verhängt. Dass diese bei lediglich 150.000 Euro liegt, illustriert das derzeitige Durchsetzungsproblem des Datenschutzes. Bei einem weltweiten Umsatz von mehr als 25 Milliarden Dollar und 10 Milliarden Dollar Gewinn im Jahr 2016 kann Facebook die Summe aus der Portokasse zahlen.
Mit der Datenschutzgrundverordnung, die ab Mai 2018 anzuwenden ist, werden Aufsichtsbehörden jedoch die Möglichkeit bekommen, höhere Strafzahlungen einzufordern. Diese können dann bis zu 20 Millionen Euro oder – falls dies der höhere Betrag ist – bis zu 4 Prozent des weltweiten Umsatzes eines Unternehmens betragen.
Facebook hat nun vier Monate Zeit, beim Staatsrat, dem obersten französischen Verwaltungsgericht, Widerspruch gegen die aktuelle Strafe einzulegen.
Datenschutz-Schlupfloch Irland
Die Sanktionen sind Teil einer koordinierten internationalen Aktion zur Überprüfung der Datenpraxis des Social-Media-Monopolisten. Die belgische Datenschutzbehörde hat in diesem Rahmen mehrere Empfehlungen an Facebook ausgesprochen und versucht nun, diese gerichtlich durchsetzen zu lassen. Im Oktober findet vor einem Brüsseler Gericht eine Anhörung statt.
Auch die niederländische Datenschutzaufsicht hatte sich mit einigen Beschwerden an Facebook gewandt. Dies führte unter anderem dazu, dass sensible Informationen wie solche über die sexuelle Orientierung von Nutzern nicht mehr für zielgerichtete Werbung genutzt werden dürfen. Die Behörde prüft gerade, ob Facebook auch auf weitere Kritikpunkte eingegangen ist, und behält sich ebenfalls vor, Sanktionen zu verhängen.
Der CNIL zufolge spricht Facebook den Behörden ab, für seine Tätigkeiten zuständig zu sein. Für sie gelte lediglich irisches Datenschutzrecht, weil die europäische Zentrale des US-Konzerns in Dublin liegt. Die Datenschützer kontern, das Unternehmen generiere in den betroffenen Ländern enorme Werbeerlöse und unterhalte zu diesem Zweck dort auch Büros. Diese Werbetätigkeit sei unauflöslich mit der Datenerhebung und -verarbeitung verknüpft. Deshalb könne sich Facebook bei seinen Aktivitäten nicht auf den Unternehmenssitz in Irland berufen.
Unter der Datenschutzgrundverordnung wird ab Mai 2018 auch dieses mögliche Schlupfloch für Datenschutzsünder geschlossen. Mit ihr gilt das sogenannte Marktortprinzip, nach dem Unternehmen unzweifelhaft dem Datenschutzrecht des Landes unterliegen, in dem sie tätig sind.
Weil Netzpolitik.org trotz Protesten immer noch auf Facebook postet und dorthin verlinkt erwägt die kritische Netzgemeinde die Netz-Höchststrafe zu verhängen.