Es war ein gut getimter Schachzug: Als im Mai 2018 die Datenschutz-Grundverordnung (DSGVO) wirksam wird, ändert Facebook plötzlich seine Allgemeinen Geschäftsbedingungen (AGB). Wohl wissend, dass die so gut wie niemand liest, verschiebt der Werbekonzern einige brisante Bestimmungen in dieses ellenlange Dokument – darunter auch die pauschale Erlaubnis, das Online-Verhalten der Nutzer:innen für personalisierte Werbung zu nutzen.
Das war illegal, entschied nun der Europäische Datenschutzausschuss (EDPB). Denn um Facebook oder Instagram nutzen zu können, muss man zwingend den AGB zustimmen. Als Rechtsgrundlage für zielgerichtete Werbung, sogenanntes Targeted Advertising, kommt laut Datenschutzbehörden aber nur die ausdrückliche und informierte Einwilligung in Frage. Außerdem müssen Nutzer:innen eine Opt-Out-Möglichkeit haben, die bei Meta ebenfalls fehlt. Der EDPB zerschlägt somit die tönernen Füße, auf denen Metas milliardenschweres Geschäftsmodell in Europa rechtlich steht.
Trotz Kritik von Zivilgesellschaft und Datenschützer:innen hatte der Konzern das Tracking und darauf basierende Werbeeinblendungen zum integralen Bestandteil des Dienstes erklärt. In solchen Fällen schreibt die DSGVO nicht zwangsläufig gesonderte Einwilligungen vor: Ein Pizza-Zustelldienst muss auch nicht nochmal nachfragen, bevor er die Adresse an einen Fahrer weitergibt. Jetzt steht fest: Meta kann sich nicht auf Verträge mit seinen Nutzer:innen als Rechtsgrundlage berufen, gab der EDPB gestern bekannt. Der vollständige Wortlaut der Entscheidung ist noch nicht öffentlich, doch es handelt sich um schwere Verstöße gegen die DSGVO.
EU-Datenschützer:innen überstimmen Irland
Mit diesem Machtwort zwingt der Ausschuss, in dem alle europäischen Datenschutzbehörden versammelt sind, die irische Aufsicht DPC zum Handeln. Meta hat seinen EU-Hauptsitz in Irland und fällt deshalb in den Zuständigkeitsbereich der DPC. Die federführende Behörde hatte sich in der Vergangenheit für eine Auslegung der DSGVO im Sinne Metas stark gemacht.
In einem durchgesickerten Entscheidungsentwurf gab sie schon vor Jahren der Praxis von Meta grünes Licht, was jedoch eine Reihe anderer EU-Datenschutzbehörden auf den Plan rief. Nun verpflichtet der EDPB-Beschluss die irische Behörde dazu, innerhalb eines Monats eine Entscheidung zu treffen. Dabei muss sie sich an die rechtliche Auslegung des EDPB halten, laut der Nachrichtenagentur Reuters droht Meta auch eine hohe Geldstrafe.
Schmerzlicher für den Konzern dürfte aber die vermutlich bevorstehende Anordnung sein, die Rechtsgrundlage auf die Einwilligung umzustellen und Nutzer:innen somit einen Ausstieg aus der personalisierten Werbung zu erlauben. Für Websites, die etwa einen Facebook-Like-Button eingebunden haben, lässt sich das Tracking bereits heute unterbinden. Künftig muss dies auch bei Meta-eigenen Dienste wie Facebook und Instagram möglich sein.
Da viele Nutzer:innen der Auswertung ihres Online-Verhaltens widersprechen, wenn sie vor die Wahl gestellt werden, könnten Meta spürbare Umsatzeinbußen ins Haus stehen.
Meta bereitet sich auf Milliardenstrafen vor
„Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben“, ärgert sich der österreichische Datenschutzexperte Max Schrems in einem Blog-Eintrag. Auf seine Beschwerde, die er bereits im Jahr 2018 gemeinsam mit seiner Nichtregierungsorganisation NOYB eingereicht hatte, geht das Verfahren zurück. Die Praxis sei nicht nur unfair, sondern „eindeutig illegal“, so Schrems weiter. „Uns ist kein anderes Unternehmen bekannt, das versucht hat, die DSGVO auf so arrogante Weise zu ignorieren“.
Verstöße gegen EU-Datenschutzregeln sind bei Meta allerdings keine Seltenheit. Erst kürzlich kassierte der Konzern das dritthöchste DSGVO-Bußgeld in dreistelliger Millionenhöhe. Dem Wall Street Journal zufolge hat die irische Meta-Tochter inzwischen ihr Budget für solche Strafen von 2 auf fast 3 Milliarden Euro aufgestockt.
Beobachter:innen gehen davon aus, dass Meta die finale Entscheidung vor Gerichten anfechten wird. Das könnte den Fall, der bald fünf Jahre alt wird, weiter in die Länge ziehen – obwohl es sich um eine „einfache Rechtsfrage“ handle, die aber endlos verzögert wurde, so Schrems. Der starke Auftritt der EU-Behörden sei jedoch positiv zu sehen: „Trotz des langwierigen Verfahrens freuen wir uns über die Entscheidung des Europäische Datenschutzausschusses.“
Fünf Jahre…
Viel zu wenig Erwähnung findet immer, dass sich auch alle Betreiber einer Facebook Seite rechtswidrig verhalten. Das sagen sowohl der Bundesdatenschutzbeauftragte als auch die meisten Landesdatenschutzbeauftragten ausdrücklich. Die Rechtswidrigkeit besteht in der (mit Meta) gemeinsamen Verantwortung für die Datenverarbeitung und der daraus resultierenden Pflicht zur detaillierten Information darüber, welche Daten wofür gesammelt werden – was aber niemand außer Meta weiß.
Und unabhängig von der juristischen Seite wird das auch ewig so weitergehen, wenn die Nutzer so tun, als wären ihre Grundrechte und unsere Demokratie nichts wert, und Meta weiter fleißig Geld verdienen kann. Eine dreistellige Millionensumme als Strafe? Lachhaft bei einem Unternehmen, dass mit diesem rechtswidrigen Geschäftsmodell 2021 ein Einkommen (netto!) von 39,4 Milliarden Dollar erzielen konnte.