Spanien: Millionenstrafe für Facebooks illegale Datensammlung

Nach der französischen hat nun auch die spanische Datenschutzbehörde eine Geldstrafe gegen Facebook verhängt. Das Unternehmen speichere und verwerte besonders geschützte Daten, ohne die Betroffenen ausreichend zu informieren. Selbst wenn die Höhe der Strafe lächerlich ist, dürfte sie den Werbekonzern ins Schwitzen bringen.

CC-BY-SA 2.0 Eduardo Woo

Die spanisches Datenschutzaufsicht Agencia Española de Protección de Datos (AEPD) hat aufgrund mehrerer schwerwiegender Datenschutzverstöße eine Geldstrafe gegen Facebook verhängt. Unter anderem habe der Konzern besonders geschützte Daten gesammelt und für Werbezwecke verwendet, ohne das explizite Einverständnis der Betroffenen einzuholen, teilte die Behörde heute mit. Hierfür soll das Unternehmen 1,2 Millionen Euro zahlen.

Zu den gesammelten und verwerteten Daten zählen laut AEPD Informationen über die Weltanschauung, religiöse und politische Orientierungen, das Geschlecht und das persönliche Surfverhalten der NutzerInnen. Facebook nutzt diese Informationen, damit Werbetreibenden zugeschnittenen Anzeigen schalten können. Erst kürzlich wurde öffentlich, dass das Unternehmen die Möglichkeiten dieses „targeted advertising“ bei einer australischen Großbank damit bewarb, diese könne damit „emotional verletzliche Jugendliche“ identifizieren und erreichen. Dafür sammelt Facebook auch Daten, die NutzerInnen nicht bewusst angeben, und ordnet ihnen auf dieser Grundlage Attribute wie „Fernbeziehung“ oder (in den USA) eine „ethnische Affinität“ zu. Zudem kauft der Konzern bei spezialisierten Datenhändlern Informationen über das Offline-Einkaufsverhalten und das Einkommen seiner NutzerInnen.

Trotz Account-Löschung: Facebook behält Daten

Über die illegale Nutzung der besonders geschützten Informationen hinaus kritisiert die spanische Datenschutzaufsicht, Facebook sammle zusätzlich auf Dritt-Webseiten Daten über seine NutzerInnen. Wieder: Ohne sie angemessen darüber zu informieren, dass und zu welchem konkreten Zweck dies geschieht. Sogar Menschen ohne Facebook-Account und nicht-eingeloggte NutzerInnen seien von dem Tracking durch Cookies und Facebooks „Social-Buttons“ betroffen. Grundsätzlich beurteilt die AEPD die Datenschutzerklärung der Plattform und somit die eingeholten Einverständniserklärungen als mangelhaft. In einem Pressestatement heißt es:

Die Behörde hat auch festgestellt, dass die Datenschutzerklärung allgemeine und unklare Formulierungen enthält und nur durch das Anklicken vieler Links zugänglich ist. Das Soziale Netzwerk bezieht sich hier nur ungenau auf eine Nutzung der Daten durch Facebook, sodass einem durchschnittlich technikkompetenten Nutzer weder klar wird, welche Daten gesammelt oder wie sie gespeichert und verarbeitet werden, noch, wofür sie verwendet werden. [Eigene Übersetzung]

Ein dritter Vorwurf der AEPD lautet, dass Facebook Informationen über das Surfverhalten seiner NutzerInnen in Form von Cookies speichere, selbst wenn diese ihren Account löschen und die Löschung ihrer Daten anfordern.

Geschäftsmodell in der rechtlichen Grauzone

Das spanische Vorgehen gegen Facebook ist Teil einer international abgestimmten Aktion. Erst im Sommer hatte die französische Datenschutzbehörde aus ähnlichen Gründen eine Strafe in Höhe von 100.000 Euro gegen Facebook verhängt. Beide Beträge dürfte das Unternehmen mit seinem Umsatz von mehr als 25 Milliarden Dollar und 10 Milliarden Dollar Gewinn im Jahr 2016 aus der Portokasse zahlen – sofern es nicht ohnehin vor Gericht mit seiner Strategie erfolgreich ist, unter Verweis auf den irischen Firmensitz eine Zuständigkeit der anderen Behörden grundsätzlich abzustreiten.

Trotzdem haben die Bußgelder einen entscheidenden symbolischen Wert. Denn auch wenn sich viele bereits damit abgefunden haben, vor dem datensammelnden Werbekonzern nichts verstecken zu können und auch die deutschen Parteien das datenbasierte Targeting für ihren Wahlkampf nutzen: Facebook agiert nach wie vor in einer rechtlichen Grauzone, viele halten das Geschäftsmodell für illegal. Diverse Gerichtsverfahren sind nach wie vor anhängig, auch in Deutschland.

Mit der Datenschutzgrundverordnung werden die europäischen Aufsichtsbehörden ab Mai 2018 zudem die Möglichkeit bekommen, das geltende Recht besser durchzusetzen, weil sie dann höhere Strafzahlungen einfordern können. Diese können dann bis zu 20 Millionen Euro oder – falls dies der höhere Betrag ist – bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens betragen.

1 Ergänzungen

  1. Man sollte Soziopathen wie Zuckerberg nicht unbeaufsichtigt alles das tun lassen was ihm so in den Sinn kommt.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.