Millionenstrafe wegen DSGVO-VerstößenIrland setzt Geschäftsmodell von Meta unter Druck

Meta muss 390 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung bezahlen, gab die irische Datenschutzbehörde bekannt. Zudem könnte das Unternehmen seine Dienste künftig auch ohne personalisierte Werbung anbieten müssen – ein schwerer Schlag für das Geschäftsmodell des Werbekonzerns.

Das Bild zeigt Meta-Chef Mark Zuckerberg mit einer leicht ungesunden Gesichtsfarbe, daneben prangt das Meta-Logo.
Das Geschäftsmodell von Facebook muss in der EU eine herbe Niederlage einstecken. – Alle Rechte vorbehalten IMAGO / ZUMA Wire

Für Meta kommt es hart auf hart: Die irische Datenschutzbehörde DPC hat den Werbekonzern erneut mit saftigen Bußgeldern belegt. Wegen Verstößen gegen die Datenschutz-Grundverordnung (DSGVO) muss Meta im Fall von Facebook 210 Millionen Euro bezahlen. Ähnliche Verstöße von Instagram werden das Unternehmen 180 Millionen Euro kosten. Zudem muss Meta seine Dienste in der EU auch ohne personalisierte Werbung anbieten. Der Konzern hat drei Monate Zeit, um seine Datenverarbeitung rechtskonform zu gestalten, gab die DPC heute bekannt.

Die Entscheidung galt als Formsache, seit der Europäische Datenschutzausschuss (EDPB) jüngst ein Machtwort gesprochen hat. Ursprünglich wollte die als Nadelöhr verschriene irische Behörde die Datenpraxis von Meta als legal durchwinken, später stellte sie eine milde Geldbuße von rund 30 Millionen Euro in den Raum.

Die laxe Durchsetzung der Regeln rief jedoch Datenschutzbehörden anderer EU-Länder auf den Plan. Im EDPB hoben sie schließlich das irische Urteil auf und machten klar, dass Meta nicht ohne eine empfindliche Strafe davonkommen wird. Irland ist für Meta zuständig, weil das Unternehmen dort seinen europäischen Hauptsitz hat, ist aber an EDPB-Entscheidungen gebunden.

Erschummelte Einwilligung

Konkret geht es um einen Taschenspieler-Trick, mit dem Meta die DSGVO umschiffen wollte. Unmittelbar vor dem Inkrafttreten der Regeln im Mai 2018 hatte der Konzern aufgehört, von seinen Nutzer:innen eine Einwilligung für die Verwertung ihrer personenbezogener Daten für Werbezwecke einzuholen. Stattdessen erklärte Meta in seinen Allgemeinen Geschäftsbedingungen personalisierte Werbung zu einem festen Teil der gegenseitigen Leistungspflichten.

Um personenbezogene Daten zu Werbezwecken einsetzen zu dürfen, ist nach Klarstellung des Europäischen Datenschutzausschusses jedoch eine informierte Einwilligung notwendig – eine in den AGB integrierte Vertragsklausel sei kategorisch ungeeignet.

Die Entscheidung geht auf eine Beschwerde über Facebook des österreichischen Datenschützers Max Schrems zurück, für Instagram zeichnet ein belgischer Nutzer verantwortlich. Über eine weitere Beschwerde zu WhatsApp, das ebenfalls zu Meta gehört, will die DPC in den kommenden Wochen entscheiden. Das Unternehmen sollte damit spielend die Milliardengrenze an Geldbußen überwinden. Allerdings hat Meta bereits angekündigt, gegen das Urteil in Berufung gehen zu wollen.

In einem Blogbeitrag seiner Datenschutz-NGO noyb („None of your Business“) begrüßt Schrems die Sanktionen: „Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal.“ Ihm sei kein anderes Unternehmen bekannt, das versucht habe, die DSGVO „auf so arrogante Weise zu ignorieren“.

Facebook und Instagram ohne personalisierte Werbung

Als Konsequenz der DPC-Entscheidung muss Meta seine Nutzer:innen künftig ausdrücklich und nachvollziehbar um Erlaubnis bitten, ihre Daten zu Werbezwecken zu nutzen. Auch darf das Unternehmen personalisierte Werbung nicht mehr als integralen Bestandteil seines Angebots darstellen, sondern muss dafür im Einzelfall eine Einwilligung der Nutzer:innen einholen.

Was daraus praktisch folgt, ist allerdings noch nicht klar – etwa ob Facebook die Nutzung der Dienste auch dann erlauben muss, wenn Nutzer:innen ihrer Überwachung widersprechen. Für Meta könnte das empfindliche Einnahmeeinbußen zur Folge haben. Denkbar ist beispielsweise, dass Meta mittelfristig eine trackingfreie, aber kostenpflichtige Variante seines Dienstes auf den Markt bringen könnte, wie es manche Online-Medien anbieten. Damit ließe sich, zumindest formal, die Freiwilligkeit der Einwilligung in die Tracking-finanzierte Version retten.

„Das ist ein schwerer Schlag für die Gewinne von Meta in der EU“, sagt jedenfalls Max Schrems. „Jeder muss jetzt diese Apps auch ohne personalisierte Werbung nutzen können. Die Entscheidung sorgt auch für gleiche Wettbewerbsbedingungen mit anderen Werbetreibenden, die ebenfalls die Zustimmung der Nutzer einholen müssen.“

Update, 5. Januar: Abschnitt zu möglichen Folgen überarbeitet.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

5 Ergänzungen

  1. Hallo,

    ich habe bei keinem dieser Dienste ein Konto. Mich würde mal interessieren, ob diese Strafgelder, egal ob nun Meta oder Google oder .. jemals gezahlt wurden?
    Oder ob das nur medienwirksames Darstellen ist?

    Danke Micha

      1. >> … aber ja, oft werden die Summen bezahlt. <<

        Allerdings selten in voller Höhe des ersten rechtskräftigen Urteils, weil Revisionen gerne die Strafe reduzieren. Insofern ja, das erste Urteil ist "publikumswirksam" und danach verliert man den Überblick.

        Gibt es eine Liste der Millionen-Strafen und was dann nach langer Zeit vielleicht mal tatsächlich bezalht wurde?

  2. Gibt es irgendwo im Internet eine Liste mit allen Strafen (weltweit) gegen Meta, Google, Apple, Microsoft, Amazon etc.?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.