Versteckte EinwilligungFacebook kriegt irischen Freifahrtschein

Vor drei Jahren änderte Facebook über Nacht seine Vertragsbestimmungen, um die DSGVO zu umgehen. Die zuständige Behörde in Irland verteilt deswegen eine Millionenstrafe, aber lässt den Konzern dennoch gewähren. Nun geht der Fall nach Brüssel.

Mark Zuckerberg
Facebook-Chef Mark Zuckerberg bei einem Besuch in Dublin – Alle Rechte vorbehalten IMAGO / ZUMA Press

Im Kern geht es immer wieder um die selbe Frage: Was darf Facebook mit den Daten seiner Nutzer:innen anstellen? Der österreichische Datenschützer Max Schrems geht seit mehr als zehn Jahren gegen das Unternehmen vor und legte unzählige Beschwerden ein. In einem der Fälle liegt nun eine vorläufige Entscheidung vor: Die irische Datenschutzbehörde, die europaweit für Facebook zuständig ist, will dem US-Konzern bei der Datennutzung einen Freifahrtschein geben.

Die rechtliche Basis, auf der Facebook in Europa persönliche Daten für Werbung verwendet, beruht auf einer Nacht-und-Nebelaktion. Am 25. Mai 2018 wurde die Datenschutzgrundverordnung (DSGVO) in Europa rechtswirksam. In der Nacht davor änderte Facebook klammheimlich die Bedingungen für seine damaligen 235 Millionen Nutzer:innen in Europa: Sollten diese davor in die Datenverarbeitung eingewilligt haben, behauptet Facebook seither, so erhalte das Unternehmen das Recht zur Datenauswertung für Werbezwecke durch seine Nutzungsbedingungen vertraglich zugesichert. Dieser juristische Winkelzug soll verhindern, dass Nutzer:innen ihre Einwilligung zur Datenverarbeitung zurückziehen – und Facebook die Möglichkeit nehmen, damit Werbeeinnahmen zu erzielen.

Gegen diese und zahlreiche anderen fragwürdigen Praktiken von Facebook hatte Schrems mit seiner NGO noyb Beschwerde eingelegt. Er spricht von „versteckten Einwilligungen“, die klar gegen die DSGVO verstoßen würden. Doch nach mehr als drei Jahren Verfahrensdauer hat die irische Behördenchefin Helen Dixon nun zugunsten von Facebook entschieden. Der Konzern soll zwar eine Geldbuße von 28 bis 36 Millionen Euro wegen „mangelnder Transparenz“ erhalten – dies liegt jedoch weit unter dem Strafrahmen von vier Prozent des globalen Jahresumsatzes für systemische Verfehlungen, den die DSGVO einräumt. Im Fall Facebooks wären das rund drei Milliarden Euro gewesen. Auch erteilte die irische Behörden ihren Sanktus dafür, dass Facebook weiterhin unter dem Mantel eines angeblichen Vertragsverhältnisses die Daten seiner Nutzer*innen für personalisierte Werbung verwenden darf.

Werbung als die „Natur von Facebooks Diensten“

Facebook mache keine Geheimnis daraus, dass es personalisierte Werbung einsetze, heißt es in dem vorläufigen Bescheid der irischen Behördenchefin: „Meiner Ansicht nach ist ein vernünftiger Nutzer – basierend auf der öffentlichen Mediendebatte über dieses und andere Themen – gut darüber informiert, dass dies die Natur der Dienste von Facebook ist und Teil seiner Vertragsbedingungen.“

Noch ist das Verfahren allerdings nicht vorbei – die vorläufige Entscheidung aus Irland geht nun an den Europäischen Datenschutzausschuss. Dieser kann Einwände vorbringen und im Streitfall auch nachbessern. „Unsere Hoffnung liegt bei den anderen europäischen Behörden“, sagt Schrems laut einer Pressemitteilung. „Wenn sie nicht tätig werden, können Unternehmen ihre Zustimmung einfach in Vertragsbedingungen umwandeln und so die DSGVO endgültig umgehen.“

Schrems hatte der irischen Datenschutzbehörde zuvor wiederholt vorgeworfen, parteiisch für Facebook zu agieren. Es habe „geheime Treffen“ der irischen Behörde mit Facebook gegeben, in denen eine Umgehung der DSGVO besprochen wurde, heißt es in einem offenen Brief von noyb. Auch der deutsche Bundesdatenschutzbeauftragte Ulrich Kelber hat Dixon vorgeworfen, „falsche Aussagen“ in laufenden Verfahren zu machen und diese unnötig zu verzögern. Wegen der vielen offenen Datenschutzverfahren gegen Tech-Konzerne kritisierte ein Bericht zuletzt Irland als den Flaschenhals der Datenschutzgrundverordnung.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Versteckte Einwilligung sollte eigentlich beim EUGH enden, oder bereits geendet haben.

    Ansonsten würde ich sagen: Europa und Deutschland beerdigen. Das sind keine Einzelfälle, das Korrekturtempo ist zu niedrig.

    1. Der EuGH urteilt schon seit Jahren – geholfen hat es aber bisher nix.

      Und in Irland hat man sich auf den Standpunkt zurückgezogen, dass man nach europäischer DSGVO die Berschwerden zwar „bearbeiten“ muss, aber am Ende zu keiner Entscheidung oder gar einem Urteil verpflichtet ist. So werden dann keine Strafen verhängt und man lässt die Sache einfach weiter laufen. Eine kotzwürdige Situation!

    2. „Das sind keine Einzelfälle, das Korrekturtempo ist zu niedrig.“

      Das entspricht zu 100% der Unternehmensstrategie der Tech-Startups: „Move fast. Break things.“
      Man nutzt bewusst Lücken in der (analogen) Gesetzgebung aus – bis die Mühlen des Gesetzes irgendwann eine Entscheidung produzieren (und vielleicht eine Geldstrafe verhängen) ist man entweder Marktführer oder Pleite.

  2. Die irische Facebook-Behörde… ähm -Datenschutzbehörde möchte, dass noyb den Draft löscht, Hr. Schrems möchte den Draft nicht löschen.
    Warum so viel Wind um die Vorabveröffentlichung?
    https://noyb.eu/de/dpc-fordert-noyb-auf-dokumente-von-unserer-website-zu-loeschen

    Ach ja, man kann dann nicht mehr heimlich still und leise die DSGVO umgehen. Dieser Schrems ist wahrhaft irgendwie im Weg einer einfachen günstigen Freikaufsumme… ähm angemessenen Regulierung zu gunsten weiterer Userrechts-Verletzungen. Am Ende kommt noch jemand auf die Idee, seinen nationalen Datenschutbeauftragten anzuschreiben und auf die Einhaltung der DSGVO in Form von Durchsetzung bei der irischen Datenschutzbehörde zu pochen.

    Oder noch schlimmer: Das Thema rollierend in anderen Ländern statt in Irland anzusiedeln um damit die Durchsetzung jenseits lobbyierender Internetkonzerne zu sichern….

    Eine Behörde, die drei Jahre für ein zu geringes Strafmaß braucht und dann einen Freifahrtschein für künftige Verfehlungen ausstellt, würde in Deutschland bekanntlich selbst irgendwann zum Ermittlungsgegenstand, nicht wahr?

    https://noyb.eu/de/dpc-fordert-noyb-auf-dokumente-von-unserer-website-zu-loeschen

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.