Für Meta kommt es hart auf hart: Die irische Datenschutzbehörde DPC hat den Werbekonzern erneut mit saftigen Bußgeldern belegt. Wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) muss Meta im Fall von Facebook 210 Millionen Euro bezahlen. Ähnliche Verstöße von Instagram werden das Unternehmen 180 Millionen Euro kosten. Zudem muss Meta seine Dienste in der EU auch ohne personalisierte Werbung anbieten. Der Konzern hat drei Monate Zeit, um seine Datenverarbeitung rechtskonform zu gestalten, gab die DPC heute bekannt.
Die Entscheidung galt als Formsache, seit der Europäische Datenschutzausschuss (EDPB) jüngst ein Machtwort gesprochen hat. Ursprünglich wollte die als Nadelöhr verschriene irische Behörde die Datenpraxis von Meta als legal durchwinken, später stellte sie eine milde Geldbuße von rund 30 Millionen Euro in den Raum.
Die laxe Durchsetzung der Regeln rief jedoch Datenschutzbehörden anderer EU-Länder auf den Plan. Im EDPB hoben sie schließlich das irische Urteil auf und machten klar, dass Meta nicht ohne eine empfindliche Strafe davonkommen wird. Irland ist für Meta zuständig, weil das Unternehmen dort seinen europäischen Hauptsitz hat, ist aber an EDPB-Entscheidungen gebunden.
Erschummelte Einwilligung
Konkret geht es um einen Taschenspieler-Trick, mit dem Meta die DSGVO umschiffen wollte. Unmittelbar vor dem Inkrafttreten der Regeln im Mai 2018 hatte der Konzern aufgehört, von seinen Nutzer:innen eine Einwilligung für die Verwertung ihrer personenbezogener Daten für Werbezwecke einzuholen. Stattdessen erklärte Meta in seinen Allgemeinen Geschäftsbedingungen personalisierte Werbung zu einem festen Teil der gegenseitigen Leistungspflichten.
Um personenbezogene Daten zu Werbezwecken einsetzen zu dürfen, ist nach Klarstellung des Europäischen Datenschutzausschusses jedoch eine informierte Einwilligung notwendig – eine in den AGB integrierte Vertragsklausel sei kategorisch ungeeignet.
Die Entscheidung geht auf eine Beschwerde über Facebook des österreichischen Datenschützers Max Schrems zurück, für Instagram zeichnet ein belgischer Nutzer verantwortlich. Über eine weitere Beschwerde zu WhatsApp, das ebenfalls zu Meta gehört, will die DPC in den kommenden Wochen entscheiden. Das Unternehmen sollte damit spielend die Milliardengrenze an Geldbußen überwinden. Allerdings hat Meta bereits angekündigt, gegen das Urteil in Berufung gehen zu wollen.
In einem Blogbeitrag seiner Datenschutz-NGO noyb („None of your Business“) begrüßt Schrems die Sanktionen: „Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal.“ Ihm sei kein anderes Unternehmen bekannt, das versucht habe, die DSGVO „auf so arrogante Weise zu ignorieren“.
Facebook und Instagram ohne personalisierte Werbung
Als Konsequenz der DPC-Entscheidung muss Meta seine Nutzer:innen künftig ausdrücklich und nachvollziehbar um Erlaubnis bitten, ihre Daten zu Werbezwecken zu nutzen. Auch darf das Unternehmen personalisierte Werbung nicht mehr als integralen Bestandteil seines Angebots darstellen, sondern muss dafür im Einzelfall eine Einwilligung der Nutzer:innen einholen.
Was daraus praktisch folgt, ist allerdings noch nicht klar – etwa ob Facebook die Nutzung der Dienste auch dann erlauben muss, wenn Nutzer:innen ihrer Überwachung widersprechen. Für Meta könnte das empfindliche Einnahmeeinbußen zur Folge haben. Denkbar ist beispielsweise, dass Meta mittelfristig eine trackingfreie, aber kostenpflichtige Variante seines Dienstes auf den Markt bringen könnte, wie es manche Online-Medien anbieten. Damit ließe sich, zumindest formal, die Freiwilligkeit der Einwilligung in die Tracking-finanzierte Version retten.
„Das ist ein schwerer Schlag für die Gewinne von Meta in der EU“, sagt jedenfalls Max Schrems. „Jeder muss jetzt diese Apps auch ohne personalisierte Werbung nutzen können. Die Entscheidung sorgt auch für gleiche Wettbewerbsbedingungen mit anderen Werbetreibenden, die ebenfalls die Zustimmung der Nutzer einholen müssen.“
Update, 5. Januar: Abschnitt zu möglichen Folgen überarbeitet.
Hallo,
ich habe bei keinem dieser Dienste ein Konto. Mich würde mal interessieren, ob diese Strafgelder, egal ob nun Meta oder Google oder .. jemals gezahlt wurden?
Oder ob das nur medienwirksames Darstellen ist?
Danke Micha
Das kommt immer auf den Fall an, aber ja, oft werden die Summen bezahlt. Manchmal dauert es zwar jahrelang, bis der ganze Rechtsweg durchlaufen wurde, aber erst im Herbst hat zB das EuG eine milliardenschwere Geldbuße wegen Verstößen gegen das Kartellrecht von Google bestätigt. https://www.zdf.de/nachrichten/wirtschaft/kartellrecht-eu-gericht-google-100.html
>> … aber ja, oft werden die Summen bezahlt. <<
Allerdings selten in voller Höhe des ersten rechtskräftigen Urteils, weil Revisionen gerne die Strafe reduzieren. Insofern ja, das erste Urteil ist "publikumswirksam" und danach verliert man den Überblick.
Gibt es eine Liste der Millionen-Strafen und was dann nach langer Zeit vielleicht mal tatsächlich bezalht wurde?
Gibt es irgendwo im Internet eine Liste mit allen Strafen (weltweit) gegen Meta, Google, Apple, Microsoft, Amazon etc.?
Urteil? Ihr sprecht teilweise von Urteil. Das ist doch kein Urteil sondern ein Bußgeldbescheid oder?