Europäische Datenschützer: Meta muss Einwilligung für Verarbeitung personenbezogener Daten einholen
Meta darf personenbezogene Daten in der EU künftig nur noch für Werbung verwenden, wenn Nutzerinnen und Nutzer dem explizit zustimmen. Das hat der Europäische Datenschutzausschuss (EDSA) am Montag entschieden. Die irische Datenschutzbehörde muss nun eine entsprechende Entscheidung veröffentlichen – und wird womöglich eine Geldstrafe verhängen.
Meta ermöglicht es seinen Kunden, auf den Plattformen Facebook und Instagram personalisierte Werbung auf Grundlage der Online-Aktivitäten von Nutzerinnen und Nutzern zu schalten. In der Europäischen Union regelt die Datenschutzgrundverordnung (DSGVO), unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. In der Regel ist dazu die Zustimmung der Betroffenen notwendig.
Es gibt aber auch Ausnahmen, etwa wenn die Informationen zur Erfüllung eines Vertrages tatsächlich erforderlich sind: etwa bei Lieferdiensten, die eine Anschrift zwingend benötigen.
Darauf beruft sich auch Meta – und hat die Datenverarbeitung zu Werbezwecken in den Nutzungsbedingungen für seine Dienste festgeschrieben. Wer etwa Facebook oder Instagram nutzen möchte, muss diesen zustimmen.
Irische Behörde hat einen Monat Zeit
Wie das Wall Street Journal berichtet, ist der EDSA jedoch der Ansicht, dass dieses Vorgehen nicht rechtmäßig ist. Der Ausschuss setzt sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammen.
Nun muss die irische Datenschutzbehörde DPC innerhalb eines Monats eine Entscheidung in dem Fall veröffentlichen. Sie ist dabei an die Entscheidung des Datenschutzausschusses gebunden. Die Behörde soll auch eine Geldstrafe gegen Meta verhängen. Die irische Datenschutzbehörde ist für Meta zuständig, weil das Unternehmen seinen europäischen Sitz in dem Land hat.
Der EDSA hat bisher nur mitgeteilt, in dem Fall entschieden zu haben, jedoch keine Einzelheiten genannt. Demnach betrifft die Entscheidung auch die Rechtmäßigkeit der Datenverarbeitung bei WhatsApp zur Verbesserung des Dienstes.
Ein Sprecher der irischen Datenschutzbehörde wollte den Inhalt der Entscheidung gegenüber Reuters nicht kommentieren. Er bestätigte jedoch, dass die DPC in einem Monat Einzelheiten veröffentlichen werde.
Datenschutzbeschwerde aus dem Jahr 2018
Die Entscheidung geht zurück auf eine Beschwerde der österreichischen Organisation Noyb aus dem Jahr 2018 – dem Jahr des Inkrafttretens der DSGVO. Noyb hatte argumentiert, der Zugang zu Diensten dürfe nicht von der Einwilligung zur Datenverarbeitung abhängen; das verbiete die DSGVO.
Max Schrems von Noyb kritisierte: “Anstatt eine Ja/Nein-Option für personalisierte Werbung zu haben, haben sie [Meta] die Einwilligungsklausel einfach in die Allgemeinen Geschäftsbedingungen verschoben. Das ist nicht nur unfair, sondern eindeutig illegal. Uns ist kein anderes Unternehmen bekannt, das versucht hat, die DSGVO auf so arrogante Weise zu ignorieren.”
Wie das Wall Street Journal berichtet, hatten die irischen Datenschützer das Vorgehen von Meta zunächst als zulässig angesehen. Mindestens zehn europäische Datenschutzbeauftragte hätten jedoch Einwände gehabt, weshalb die Beschwerde Gegenstand des Europäischen Datenschutzausschusses wurde.
Die Organisation Noyb erklärte, in Folge der Entscheidung müsse Meta seine Nutzerinnen und Nutzer künftig um Einwilligung zur Verwendung von personenbezogenen Daten zu Werbezwecken bitten. Die Nutzer müssten zudem in der Lage sein, ihre Einwilligung jederzeit zu widerrufen, ohne dass der Dienst für sie eingeschränkt wird. Andere Werbeformen, etwa kontextbezogen, würden durch die EDSA-Entscheidung nicht verboten.
Nach Veröffentlichung der Entscheidung durch die irische DPC, können die Beteiligten noch Berufung einlegen.
Hohe Datenschutzstrafen
Erst Ende November hatte die irische Datenschutzbehörde eine Strafe in Höhe von 256 Millionen Euro gegen Meta verhängt, nachdem im vergangenen Jahr Daten von mehr als einer halben Milliarde Facebook-Nutzer im Internet veröffentlicht worden waren.
Es war das vierte Mal seit September 2021, dass die Behörde Meta zur Zahlung einer hohen Geldstrafe verpflichtet hat. Damals musste die Meta-Tochter WhatsApp 225 Millionen Euro wegen Verstößen gegen Datenschutzregeln zahlen.
Hinzu kam im März 2022 eine weitere Datenschutzstrafe von 17 Millionen Euro gegen den Mutterkonzern. Im September verhängte die DPC eine Geldstrafe von 405 Millionen Euro gegen Instagram wegen schwerer Verstöße gegen Datenschutzregeln für Kinder.
Gegen die Instagram- sowie die WhatsApp-Entscheidung hat Meta jeweils Berufung eingelegt. (js)