DatenschutzNorwegen verbietet personalisierte Werbung auf Facebook und Instagram

Der norwegischen Datenschutzaufsicht ist der Geduldsfaden gerissen. Weil Meta anhaltend EU-Recht verletzt, untersagt die Behörde dem Werbekonzern das Ausspielen personalisierter Werbung – vorerst für drei Monate.

Facebook und Instagram dürfen in Norwegen keine personalisierte Werbung mehr ausspielen. – Alle Rechte vorbehalten IMAGO / Rüdiger Wölk

Meta darf auf seinen Online-Diensten Facebook und Instagram vorerst keine personalisierte Werbung für norwegische Nutzer:innen mehr ausspielen. Das gab heute die norwegische Datenschutzbehörde Datatilsynet bekannt. Das Verbot greift ab Anfang August und gilt zunächst für drei Monate. Zwischenzeitlich soll Meta seine Dienste anpassen und weiter anhaltende Rechtsverletzungen abstellen, so die Datenschützer:innen.

„Invasive kommerzielle Überwachung zu Marketingzwecken ist heute eines der größten Risiken für den Datenschutz im Internet“, erklärt die Behörde. Meta halte eine Unmenge an Daten von Norweger:innen vor, darunter auch sensible Daten. Viele Nutzer:innen würden jedoch nicht restlos verstehen, welcher „intrusiven Profilbildung“ sie ausgesetzt seien, wenn sie Metas Angebote nutzten, heißt es in der Anordnung der Behörde. Ihre Rechte müssten geschützt werden.

Meta zunehmend unter Druck

Der norwegische Vorstoß folgt auf eine Reihe von Gerichtsurteilen und Beschlüssen europäischer Datenschützer:innen, die allesamt am Geschäftsmodell von Meta sägen. Zuletzt hatte der Europäische Gerichtshof (EuGH) entschieden, dass Meta mit seiner Auslegung der Datenschutzgrundverordnung (DSGVO) gegen EU-Recht verstoßen hat. Zuvor hatte die irische Datenschutzbehörde, nach einer Intervention des Europäischen Datenschutzausschusses (EDPB), eine satte Millionenstrafe über Meta verhängt, weil das Unternehmen die DSGVO verletzt hat.

Trotz alledem hat Meta seine Praxis seither nicht merklich geändert – so begründet das US-Unternehmen etwa die Verarbeitung personenbezogener Daten neuerdings mit einem „berechtigten Interesse“, anstatt sich rechtskonform eine informierte Einwilligung abzuholen. Offenkundig hat der Konzern mit seiner Verschleppungstaktik die Geduld der norwegischen Datenschützer:innen überstrapaziert. Das anhaltende Ignorieren der irischen Auflagen würde nach „sofortigen Maßnahmen zum Schutz der Rechte und Freiheiten“ betroffener europäischer Bürger:innen verlangen, heißt es in der Anordnung. Norwegen ist zwar nicht EU-Mitglied, die DSGVO gilt für das Land im Europäischen Wirtschaftsraum (EWR) aber dennoch.

Indes verbietet Datatilsynet weder Facebook noch Instagram, genausowenig personalisierte Werbung an sich. So stehe es Meta frei, beispielsweise Informationen wie Geschlecht, Alter oder Wohnsitz für Targeting zu verwenden, die die Nutzer:innen etwa in ihre Biographie auf dem jeweiligen Meta-Dienst eingetragen haben. Auch Tracking von Nutzer:innen und weitergehende Personalisierung der Werbeeinblendungen ist möglich, betont die Behörde – allerdings nur mit einer informierten Einwilligung, die ihren Namen auch verdient.

Meta beklagt Rechtsunsicherheit

Meta macht die aus seiner Sicht undurchschaubare Rechtslage für die ständigen Rechtsverletzungen verantwortlich. „Die Debatte um die Rechtsgrundlagen wird schon seit Längerem geführt, Unternehmen sind in diesem Bereich nach wie vor mit mangelnder Rechtssicherheit konfrontiert“, schreibt eine Unternehmenssprecherin auf Anfrage. Man arbeite konstruktiv mit der irischen Datenschutzbehörde zusammen. Die Entscheidung der norwegischen Aufsicht werde nun geprüft, unmittelbare Auswirkungen auf Metas Dienste habe sie nicht, so die Sprecherin.

Grundsätzlich ist die irische Datenschutzbehörde für die Aufsicht von Meta zuständig, da das Unternehmen dort seinen europäischen Sitz unterhält. Allerdings können nationale Behörden wie jene in Norwegen in Notfällen temporär eigene Maßnahmen ergreifen. Datatilsynet sieht die Bedingungen dazu erfüllt: „Wenn wir jetzt nicht eingreifen, würden die Datenschutzrechte der Mehrheit der Norweger:innen auf unbestimmte Zeit verletzt“, argumentiert die Behörde.

Die auf Datenschutz spezialisierte Nichtregierungsorganisation NOYB (None Of Your Business) hält die Entscheidung der norwegischen Datenschutzbehörde für „spannend“. „Sie scheint ein klarer Versuch zu sein, die irische Datenschutzbehörde zu umgehen“, heißt es in einer ersten Reaktion der NGO. Fünf Jahre nach der Beschwerde von NOYB, die als Ausgangspunkt der Auseinandersetzung gilt, habe die irische Datenschutzbehörde ihre eigene Entscheidung gegen Meta immer noch nicht durchgesetzt, so der NOYB-Programmdirektor Romain Robert.

Nach dem Sommer könnte die Angelegenheit dem Europäischen Datenschutzausschuss vorgelegt werden, kündigt Datatilsynet an. Der Ausschuss, in dem die europäischen Datenschutzbehörden versammelt sind, könnte das personalisierte Werbeverbot nach Ablauf der drei Monate verlängern. Zudem drohen die norwegischen Datenschützer:innen dem Meta-Konzern eine Geldbuße von bis zu einer Million Kronen (knapp 89.000 Euro) täglich an, sollte sich das Unternehmen nicht an die Vorgaben halten. Meta kann sich gegen die Entscheidung vor einem Bezirksgericht in Oslo wehren.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

38 Ergänzungen

  1. > Weil Meta anhaltend EU-Recht verletzt, untersagt die Behörde dem Werbekonzern das Ausspielen personalisierter Werbung – vorerst für drei Monate.

    Gut so! Aber warum nur für drei Monate?

    1. Solche provisorischen Anordnungen eigentlich nicht zuständiger Datenschutzbehörden können laut DSGVO nur maximal drei Monate lang gelten.

  2. Wobei, das Ausspielen verboten, aber das Tracking erlaubt? Schelmisch lässt es sich ohne das Ausspielen besser leben, dennoch…

    1. > … hat es nicht anders verdient.

      Das könnte man überheblichen Digitalisierungs-Darwinismus nennen.

      1. „Digitalisierungs-Darwinismus“ würde ich eher die „Wir wollen digitalisieren um jeden Preis. Scheiß auf die Boomer!“-Mentalität bezeichnen.

        1. >> hat es nicht anders verdient.
          >> Scheiß auf die Boomer!-Mentalität

          Ich vermag selbst mit wohlwollender Hermeneutik kein Verständnis erreichen.
          Welches Menschenbild und welche Sicht auf die Welt führt zu Sätzen, die mit „hat es nicht anders verdient“ enden?
          Und was das mit Boomer und deren Mentalität zu tun haben soll kann nicht nachvollzogen werden. Was soll das Einrühren in einen Vorurteils-Brei?

          Please ELI5 me.

          1. Vielleicht das effektive oder konveniente Menschenbild?

            Boomer sind gekennzeichnet durch eine dicke (demographisch gesehen) Generation: Geringe Kosten für die Rente der Alten, Viel Arbeitskraft, usw. usf.

            Wenn jetzt weniger Menschen deren Rente zahlen sollen… ? Im Angelsächsischen kursiert das Gerücht „die Boomer“ hätten den Nachfolgenden die Chancen verhagelt, oder vernagelt.

            In der Menge, so zu sagen.

        2. > „… Scheiß auf die Boomer!“-Mentalität

          Okay Zoomer. To what age will you make it?

    2. VPN braucht man nicht zwingend, aber Adblocker sind im heutigen Internet definitiv notwendig.

      Man stelle sich nur mal vor, wie die Umsätze der Antivirenindustrie aussähen, wenn Unternehmen und Behörden auf allen (zumeist sowieso mit Windows betriebenen) Dienstrechnern Adblocker installieren und zeitnah updaten würden. Dann müssten sie dem Personal nur noch einprügeln, dass das da kein „Moorhuhn“-Spiel und sie NICHT auf alles klicken müssen, was sich bewegt.

    3. VPN ist allerdings auch nicht das Gelbe vom Ei.
      Überleg mal, ein Smartphone von Samsung mit Android: Dort gibt es einen Einstellungspunkt für VPN.

      Glaubst du, durch die Benutzung von VPN unter Android, unter Samsung, unter einem Smartphone generell, kannst du Datenklau, Spyware, Werbung oder Staatstrojaner verhindern?

      Dann doch eher unter Whonix und Tor.

  3. Wird es nicht Zeit, dass Deutschland genauso verfährt?
    Welches Ministerium schläft hier in der Sache?

      1. Ach das gute Internet… beim Telefonabhören ist aber dann wieder invertiert.

      2. Danke für die klare Aussage. Doch sie überrascht doch sehr. Falls es nicht zu viel Arbeit macht hätte ich gerne gewusst:

        a) Wie sind Zuständigkeiten auf Bundes-/Länderebene im Datenschutz gesetzlich geregelt?Gibt es eine Themenübersicht zum Nachlesen?

        b) Wie wirkt sich der Föderalismus auf den praktischen Datenschutz aus? Eher hinderlich oder förderlich? :]

        c) Sind die Datenschutzbehörden deutscher Länder nicht etwas schwach aufgestellt, wenn es darum geht, sich mit global agierenden und mächtigen Unternehmen wie Meta et al. anzulegen?

        d) Ist eine abgestimmte Zusammenarbeit zwischen den Landesdatenschutzbehörden in solchen Fällen notwendig/praktikabel/erforderlich?

  4. Wenn wir jetzt in Deutschland nicht eingreifen, würden die Datenschutzrechte der Deutschen Nutzer auf unbestimmte Zeit verletzt.

    Wem genau muss man damit in Deutschland auf die Nerven gehen?

  5. Haut den Sack und meint den Esel? Das eigentliche Problem ist doch die Datensammlung und das Anlegen von Profilen daraus. Die personalisierte Werbung ist ja „nur“ eine Ausbeutung dieser Profile. Die Werbung zu verbieten, wird am Grundproblem nichts ändern. Das ganze Vorgehen scheint mir nicht durchdacht. Mindestens zwei Fragen kommen mir sofort: Erstens, wer soll denn wie kontrollieren, ob META das Verbot einhält? Steht an jedem Werbebanner „personalisiert“ dran (oder eben nicht)? Zweitens, gilt das in Norwegen auch für Besucher? Gilt das auch für Norweger, wenn sie sich im Ausland aufhalten? Puh.

    1. Wobei agressive Formen der Werbung vor allem im Internet schon auch verbotswürdig wären. Z.B. könnte man verbieten am Ende eines Videos Werbung zu senden, da das Zeitverschwendung begünstigt. Wenn die Werbung nicht Teil des Videos ist, und damit bzgl. der Timeline transparent, ist das kein Problem, allerdings wird oft am Ende des Videos Werbung gesendet, wobei der Rest der Seite dem Video entspricht, aber nicht transparent bleibt, dass das Video bereits beendet ist. Dabei ist nicht relevant, ob sich der Anbieter vorbehält anschließend weitere Videos zu senden, wenn der Nutzer diese nicht explizit angewählt hat. Zudem der Countdown während des Sendens von Werbung, vor allem wenn eine weitere nichtüberspringbare Werbung angezeigt wird – das ist äquivalent zu Lootboxen. Dann noch Pop-up oder größenverändernde Werbung in der Nähe von Login-Eingabeformen, vielleicht sollte man dort sogar Clickbares unterbinden, wegen Gefahr (!), usw. usf.

      Man könnte das Internet besser machen. Denn bessere Inhalte findet man nicht immer ohne weiteres. Die Erstellung ist Aufwand, einige machen Multi-Plattform, aber das ist letztlich nicht so trivial. Es ergäbe also schon Sinn, das Internet besser zu machen.

      1. Oops: „Wenn die Werbung nicht Teil des Videos ist, und damit bzgl. der Timeline transparent, ist das kein Problem“

        Nicht nicht… also d.h. wenn es transparent ist, dass das Video zuende ist, dann ist es ok, was z.B. der Fall ist, wenn Werbung ins Video selbst eingebaut ist, oder wenn der Fortschritt des Videos nicht ausgeblendet wird (und nicht manipuliert dargestellt wird).

        Youtube kann auch nicht mit lange pausierten Fenstern umgehen. Dann spielt die Werbung unendlich oft nacheinander, oder man kann sie gar nicht abbrechen, was bei 30 Minuten Dauer schon etwas nervig wäre, würde man die Seite dann nicht neuladen. Unterbrechende Werbung innerhalb eines Videos, das ist zwar Geschmackssache, sollte allerdings nicht länger als typische Werbung sein, also sagen wir 30 Sekunden maximal. Die 30-Minuten Dinger, die dann abspulen sind tödlich nervig, wenn man mehrere Informationskanäle gleichzeitig nutzt, z.B. ein Computerspiel parallel zu 1-3 Streams. Am Anfang des Videos ok, aber unterbrechend eigentlich nicht.

  6. Dieses stetige Verteufeln vom Targeting. Ihr wollt alle wieder zurück zu den alten Gießkannen-Werbezeiten, wer kann sowas bitte wollen? Ich bin glücklich über zielgruppenspezifische Ansprache und das ich keine OB Werbung sehe. Diese krankhafte Angst vor Datennutzung in der Werbung in Europa nimmt echt kranke Ausmaße an.

    1. Wer anderen „kranke Ausmaße“ attestiert, dem sind wohl die Argumente ausgegangen.

      1. Das Problem dürfte weniger die ausgespielte personalisierte Werbung sein als das dadurch finanzierte Geschäftsmodell. Die Möglichkeit der Monetarisierung gibt einen Anreiz, möglichst viele Daten erstmal zu sammeln, zu verknüpfen und zu analysieren. Die so entstehenden Profile sind dann erstmal in der Welt und es ist kaum nachvollziehbar, wer darauf alles zugreift, wie sie gehandelt werden und wofür sie außer Produkt-Werbung noch genutzt werden. Dass viele Nutzungsmöglichkeiten aufgrund der ursprünglichen Zweckbindung der Daten rechtswidrig sein könnten, schützt angesichts der Intransparenz nur bedingt vor den Risiken.

        Die OB-Werbung ist halt Sebastians Beispiel für persönlich komplett irrelevante Werbung und er will ja offenbar Werbung für Produkte, die ihn interesserien können. Ist doch schlüssig. Die Unterstellung, er fühle sich durch OB-Werbung als Mann in besonderer Weise belästigt, ist doch unnötig…

    2. mir scheint du hast das Thema nicht verstanden :)

      warum, haben einige Vorposter schon wunderbar dargelegt.

      klassischer Fall von „wer bin ich denn, was wollen die schon mit meinen Daten“. beschäftige dich mit dem Thema was man mit Daten so anfangen und daraus ableiten kann sowie den Anwendungsmöglichkeiten auch außerhalb von Werbung, dann können wir reden :)

    3. Also bevor Targeting genutzt wurde hab es auch schon keine Giesskanne mehr. Man nannte es Unfeldwerbung, d.h. wer auf einer Seite mit dem Thema Schwangerschaft unterwegs war, bekam Windelwerbung.

      In übrigen würde Unfeldwerbung wieder dazu beitragen, wieder mehr die Publisher zu stützen. Derzeit verschwinden die Werbegelder bei den grossen Datenkraken in irgendwelchen 1000 Töpfchen.

      Neuere Werbewirksamkeitsstudien deuten sogar an, dass kontexbasierte Werbung besser performt, als targeted ads. Insbesondere weil Verbraucher das verfolgen im Netz immer mehr unseriös finden. https://www.it-daily.net/it-management/e-business/contextual-ads-steigern-steigern-die-werbewirksamkeit-um-32-prozent

    4. > Ihr wollt alle wieder zurück zu den alten Gießkannen-Werbezeiten, wer kann sowas bitte wollen?

      Ja, ich.

      > Ich bin glücklich über zielgruppenspezifische Ansprache und das ich keine OB Werbung sehe.

      Du liebst es, gestalkt zu werden? Wie krankhaft.

      > Diese krankhafte Angst vor Datennutzung in der Werbung in Europa nimmt echt kranke Ausmaße an.

      Du wolltest eigentlich schreiben: „Die Menge der Werbung im Internet hat echt kranke Ausmaße angenommen.“

      Surfen ohne Werbeblocker ist wie promiskuitiver Sex ohne Kondom – wer es praktiziert, ist selber schuld an dem Kroppzeuch, das er sich einfängt.

  7. Do kannst dich meimetwegen überwachenlassen aber zieh keine anderen leute damit hinein.

    Wenn du willst kannst du ja deine personen bezogenen daten verarbeiten lassen. Aber es sollte die möglichlkeit zum opt out für alle anderen geben die das eben nicht wollen

    1. Bin leider spät über den Artikel und die Kommentare gestolpert:
      „Aber es sollte die möglichlkeit zum opt out für alle anderen geben die das eben nicht wollen“
      Aus meiner Sicht wird umgekehrt ein Schuh d’raus, wer personalisierte Werbung will, muss aktiv das Häkchen setzen! Die Leute sind faul, jeder Klick ist zu viel. Schlimmer ist Fingerprinting, Cookies sind, bezogen auf Tracking, von gestern.

  8. Sebastian: „Diese krankhafte Angst vor Datennutzung in der Werbung in Europa nimmt echt kranke Ausmaße an.“

    Das sehe ich genau umgekehrt. Die Werbung nimmt krankhafte Ausmaße an, die auf maßlos übersteigerter Selbstüberschätzung ihrer Wirkung basiert. Das ist nicht einmal das Hauptproblem, sondern es sind zwei andere Aspekte:

    1. Die zu Werbezwecken generierten Daten dienen nicht nur den Werbern, sondern werden für ganz andere Zwecke verwendet wie z. B. Weitergabe an Behörden, Institutionen aus Wirtschaft, Verwaltung u. v. m.

    2. Das erzeugt zum einen einen Gewöhnungseffekt beim Bürger, dass das alles ganz „normal“ sei, was es definitiv nicht ist und schaltet zum anderen

    3. die Selbstbestimmung der Bürger darüber, was sie wann worüber wem zu welchen Zwecken mitteilen, völlig aus. Das Individuum wird zum passiven Objekt, das sämtlicher Entscheidungen beraubt wird. Das ist Gift für eine freie Persönlichkeitsentfaltung, die wiederum für demokratische Gesellschaften unabdingbar ist.

    Du kannst frei entscheiden, in welchen Supermarkt du gehst, was du anschaust und kaufst, ohne Nennnung deines Namens, Wohnorts, deiner Telefonnummer etc.

    Im Internet soll das anders sein? Das Netz und dessen Überwachung ist wie radioaktive Strahlung: Man sieht sie nicht, kann sich ihr kaum entziehen, spürt aber irgendwann ihre schädliche Wirkung.

    Diese subtile, heimlich immer größer werdende Herrschaft Dritter durch Datensammlung und Überwachung führt letztendlich zu einer Art geistigen Lähmung und einer Verhaltensanpassung – man möchte nicht „auffallen“, weil es Konflikte auslösen kann. Aber diese sind notwendig, Kern jeder demokratischen Auseinandersetzung und übrigens auch Schutz vor Manipulation im psychologischen Sinn.

    Wenn Dritte, die du nie gesehen hast, die du nicht kennst und denen du nicht entgegentreten kannst, um dich zu wehren, dich in der Hand haben, weil sie eben alles über dich wissen, wird es sehr gefährlich!

    1. „1. Die zu Werbezwecken generierten Daten dienen nicht nur den Werbern, sondern werden für ganz andere Zwecke verwendet wie z. B. Weitergabe an Behörden, Institutionen aus Wirtschaft, Verwaltung u. v. m.“

      Würde nicht wundern…
      – Profile von Individuen und Gruppen von Menschen.
      – Finanzdienstleister und Investoren.
      – Strategische Manipulation.

      Sogar legal ist das eine Gefahr, flächendeckend leuten Daten zu geben.

  9. Hast du Angst, dass dir der Pillermann abfällt, wenn du Werbung für Tampons sehen musst? Keine Sorge, das passiert nicht.

    Das Einzige, was hier krank ist, ist, dass du lieber dein Privatleben durchleuchten lässt, als Werbung für Produkte zu sehen, mit denen du nichts anfangen kannst.

  10. Gegen Werbung habe ich nichts.
    ABER die „Werbe“firmen sind m.E. in der Minderheit, in der Mehrzahl sind scheinbar andere, die meine Daten erhalten. Wer ist eigentlich schon einmal auf die „Datenschutz“- bzw „Einwilligungs“-Seiten gegangen ? Ernsthaft frage ich mich, was diese „hunterte“ von In- und Ausländischen (?) Firmen (?) eigentlich mit meinen Daten anstellen ? Umstritten ist auch immer wieder, welche Daten abgegriffen werden. Die blumigste Begründung sind die „zwingend notwendigen“ Cookies, die natürlich immer zugelassen werden müssen.
    Ich arbeite grundsätzlich mit „NoScript“, was schon mal so einiges abhält.
    Dazu noch Cookie Auto Delete, um einigermaßen der Rückverfolgung Herr werden zu können.
    Klar, es gibt auch Cookie-Verzeichnisse und selbst die Verbraucherberatung hat einige Tipps.
    Aber welcher „Normalo“ hat Zeit, sich damit zu beschäftigen ? Ganz zu schweigen von Tablets/Handys.

    Ist es wirklich ein Unterschied, ob ich durch Cookies „ausgeforscht“ oder „überwacht“ werde ?

  11. Norwegen ist doch gar nicht in der EU, was hat also die irische Datenschutzbehörde damit zu tun?

    Abgesehen davon funktioniert Targetwerbung sowieso nirgends so schlecht wie bei Facebook. Ich hab mich beispielsweise noch nie für Fußball interssiert und hab mittlerweile 35 Fußballseiten blockiert, die mir vorgeschlagen wurden. Trotzdem bekomme ich immer neue Seiten mit dem Käse.

    1. „Norwegen ist zwar nicht EU-Mitglied, die DSGVO gilt für das Land im Europäischen Wirtschaftsraum (EWR) aber dennoch.“

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.