Meta und DSGVODie Kunst der informierten Rechtsauslegung

Meta will Nutzer:innen von Facebook und Instagram künftig fragen, ob es ihre Daten für Werbezwecke verwerten kann. Damit könnte der Konzern nach Jahren juristischer Tricks endlich DSGVO-kompatibel werden. Doch Datenschützer:innen trauen dem Unternehmen zu, einmal mehr Schlupflöcher zu finden.

Meta steht unter Beobachtung europäischer Datenschutzbehörden. – Alle Rechte vorbehalten IMAGO / ZUMA Wire

Deutsche Datenschutzbehörden zeigen sich skeptisch, dass Meta bald die Vorgaben der Datenschutz-Grundverordnung (DSGVO) vollständig umsetzen wird. Die jüngste Ankündigung des Anbieters, von seinen Nutzer:innen künftig eine Einwilligung für die Verwertung ihrer Daten einzuholen, deute zwar in die richtige Richtung, teilt eine Sprecherin des Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit auf Anfrage mit. Aber der Schritt geht „nicht weit genug und lässt vermuten, dass weiterhin Verarbeitungen ohne ausreichende Rechtsgrundlage erfolgen sollen“, so die Sprecherin.

Hintergrund ist eine jahrealte Auseinandersetzung darum, auf welcher rechtlichen Basis das Unternehmen Daten von Nutzer:innen verarbeitet. Meta ist der Mutterkonzern der sozialen Netze Facebook und Instagram und betreibt auch den Messenger WhatsApp. Sein Kerngeschäft besteht darin, das Online-Verhalten seiner Nutzer:innen möglichst minutiös aufzuzeichnen, um ihnen personalisierte Werbung einzublenden.

Bislang hatte der Konzern dabei getrickst: Anstatt seine Nutzer:innen offen danach zu fragen, ob sie getrackt werden wollen, versteckte er die Pauschalerlaubnis dazu zunächst in seinen Geschäftsbedingungen. Nachdem der Europäische Datenschutzausschuss (EDPB) dies für illegal erklärte und die irische Datenschutzaufsicht eine Millionenstrafe nachschob, stellte Meta auf „berechtigtes Interesse“ als rechtliche Grundlage für seine Datensammelei um. Doch auch das ist nicht mit der DSGVO vereinbar, urteilte der Europäische Gerichtshof (EuGH). Ohne Einwilligung kein Werbe-Tracking, so das Gericht.

Ist Alter ein Verhalten?

Dieses Herumeiern hat handfeste wirtschaftliche Gründe. Werden Nutzer:innen vor eine echte Wahl gestellt, ob sie sich im Netz auf Schritt und Tritt verfolgen lassen wollen oder nicht, dann lehnen das viele ab. Vor allem Konzernen wie Meta, die vom Ausspielen von Online-Werbung leben, drohen milliardenschwere Umsatzausfälle.

Inzwischen bietet Facebook zwar eine Opt-Out-Option an, mit der Nutzer:innen aus dem Tracking aussteigen können. Das Formular dazu ist jedoch gut versteckt und mühselig zu bedienen.

Schon nach der Ankündigung von Meta, seine Produkte künftig rechtskonform gestalten zu wollen, wurden Zweifel laut, wie ernst es das Unternehmen diesmal meint. Denn Meta spricht von der „Verarbeitung bestimmter Daten für verhaltensbezogene Werbung“, für die man sich das OK der Nutzer:innen abholen wolle.

Es sei jedoch unklar, was das genau bedeutet, fragte sich der österreichische Datenschützer Max Schrems. „Die DSGVO deckt alle Arten der Personalisierung ab, auch in Bezug auf Dinge wie das Alter, was kein ‚Verhalten‘ ist“, so der Jurist von der Nichtregierungsorganisation NOYB (None Of Your Business). „Wir werden natürlich weiter dagegen vorgehen, wenn Meta das Gesetz nicht vollständig einhält.“

Hohe Anforderungen an gültige Einwilligung

Auch für Marit Hansen, Landesbeauftragte für Datenschutz in Schleswig-Holstein, bleiben viele Fragen offen. Zwar lasse sich noch nicht sagen, ob Meta diesmal alle Vorgaben umsetzen oder erneut ein Schlupfloch finden werde, so Hansen. Fest stehe aber, dass eine wirksame Einwilligung „nicht mit einem Fingerschnippen oder einer kleinen Code-Änderung umzusetzen ist“.

So müssen Einwilligungen freiwillig erteilt werden, sie dürfen also nicht zwingend gegeben werden, erklärt Hansen. „Was passiert auf Ebene der Datenverarbeitung, wenn die Nutzenden keine Einwilligung geben?“ fragt die Datenschützerin. Zudem können Einwilligungen mit Wirkung für die Zukunft widerrufen werden. Auch hier stelle sich die Frage, was in solchen Fällen im Maschinenraum von Meta genau passiert. Und schließlich müssen Einwilligungen informiert sein. „Wie ist gewährleistet, dass die Nutzenden verstehen, welche Verarbeitung zu verhaltensbezogener Werbung stattfinden soll?“ fragt Hansen. Wenn diese Punkte nicht gelöst sein sollten, läge keine wirksame Einwilligung vor, so Hansen: „Die Verarbeitung der personenbezogenen Daten dürfte dann nicht stattfinden.“

Medienberichten zufolge will Meta die offenen Punkte bis Ende Oktober geklärt und umgesetzt haben. Details wollte Meta auf Anfrage nicht bestätigen, verwies aber darauf, mit der für das Unternehmen zuständigen irischen Datenschutzbehörde DPC zusammenzuarbeiten. Indes hat die Behörde traditionell einen Meta-freundlichen Ruf – immerhin war es die Untätigkeit der irischen Aufsicht, die das Einschreiten des EDPB erst notwendig gemacht hatte. Spätestens Mitte August will die DPC eine Entscheidung getroffen haben, wie es mit der Datenpraxis von Meta rechtlich sicher weitergehen kann.

Kaum Spielraum für Meta

Für die Datenschützer:innen aus Hamburg ist die Sache klar: „Aus unserer Sicht bleibt nach dem EuGH-Urteil kein Spielraum für eine nicht auf einer Einwilligung basierenden Verarbeitung zum Zwecke der verhaltensbasierenden Werbung“, teilt die Sprecherin der hamburgischen Behörde mit. Meta unterhält in Hamburg seinen deutschen Sitz, die Behörde hat deshalb etwa das Verfahren des Bundeskartellamts gegen Meta beratend unterstützt.

Wenig Verständnis zeigt sie für das schleppende Tempo. In der aufsichtsbehördlichen Praxis würden zwar „richtigerweise Umsetzungsfristen eingeräumt, damit Verantwortliche ihre Prozesse seriös umstellen können“, so die Sprecherin. Im vorliegenden Fall wüsste Meta jedoch seit geraumer Zeit, welche rechtlichen Probleme sein Geschäftsmodell habe. „Vor diesem Hintergrund ist ein solcher Zeitplan schwer nachvollziehbar“, so die Sprecherin über die nicht sonderlich ambitionierten Umstellungspläne des Unternehmens.

Zumindest einer europäischen Datenschutzaufsicht hat es mittlerweile gereicht. Vor knapp einem Monat untersagte die norwegische Datenschutzbehörde Datatilsynet dem Werbekonzern vorerst die illegale Datenverwertung. Im Schlepptau des Dringlichkeitsverfahrens hat Datatilsynet zudem eine tägliche Geldbuße von einer Million norwegischer Kronen (knapp 100.000 Euro) angesetzt – die heute zu greifen beginnt.

Meta wird gegen die Entscheidung aus Norwegen vor Gericht ziehen, bestätigt das Unternehmen. Finanziell schmerzhafter für den Konzern dürfte aber die geballte Haltung europäischer Datenschutzbehörden sein, die kräftig am Geschäftsmodell von Meta rütteln. „Datatilsynet hatte zugesagt, eine Entscheidung des Europäischen Datenschutzausschusses herbeiführen zu wollen“, bekräftigt Marit Hansen aus Schleswig-Holstein. „Das ist auch richtig so, denn dann sind alle europäischen Aufsichtsbehörden dabei, auch die deutschen.“

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

Eine Ergänzung

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.