Meta muss 390 Millionen Euro Datenschutzstrafe zahlen
Meta muss in Irland eine Datenschutzstrafe in Höhe von insgesamt 390 Millionen Euro zahlen. Der Konzern verlangt bisher in seinen Nutzungsbedingungen die Zustimmung zur Datenverarbeitung für personalisierte Werbung. Das verstößt jedoch gegen die Datenschutzgrundverordnung (DSGVO), hat die irische Datenschutzbehörde DPC jetzt entschieden. Nach Einschätzung der österreichischen Organisation Noyb muss Meta seine Nutzerinnen und Nutzer künftig um Einwilligung bitten, um ihre personenbezogenen Daten zu Werbezwecken zu verwenden.
Meta ermöglicht es seinen Firmenkunden, auf den Plattformen Facebook und Instagram personalisierte Werbung auf Grundlage der Online-Aktivitäten von Nutzerinnen und Nutzern zu schalten. In der Europäischen Union regelt die DSGVO, unter welchen Bedingungen personenbezogene Daten verarbeitet werden dürfen. In der Regel ist dazu die Zustimmung der Betroffenen notwendig. Es gibt jedoch Ausnahmen, etwa wenn die Informationen zur Erfüllung eines Vertrages tatsächlich erforderlich sind: beispielsweise bei Lieferdiensten, die eine Anschrift zwingend benötigen.
Auf diese Ausnahme beruft sich auch Meta – und hat die Datenverarbeitung zu Werbezwecken im Jahr 2018 in den Nutzungsbedingungen für seine Dienste festgeschrieben. Wer Facebook oder Instagram nutzen möchte, muss diesen zustimmen.
DSGVO-Verstoß
Doch Meta darf sich nicht auf diese Ausnahme berufen, wie die irische Datenschutzbehörde nun mitteilte. Die irische Behörde ist für das Unternehmen zuständig, weil es seinen europäischen Sitz in dem Land hat. Weil das bisherige Vorgehen des Konzerns gegen die DSGVO verstößt, hat die DPC zwei Geldstrafen verhängt: 210 Millionen Euro für Facebook und 180 Millionen Euro für Instagram.
Außerdem muss Meta seine Praktiken bei der Datenverarbeitung innerhalb von drei Monaten in Einklang mit den Vorgaben der europäischen Datenschutzgrundverordnung bringen. Weitere Details dazu nannte die Behörde nicht.
Die Entscheidung geht unter anderem auf eine Beschwerde der österreichischen Organisation Noyb aus dem Jahr 2018 zurück – dem Jahr des Inkrafttretens der DSGVO. Noyb hatte argumentiert, der Zugang zu Diensten dürfe nicht von der Einwilligung zur Datenverarbeitung abhängen; das verbiete die DSGVO.
Max Schrems von Noyb kommentierte die nun ergangene Entscheidung: “Das ist ein schwerer Schlag für die Gewinne von Meta in der EU. Jeder muss jetzt diese Apps auch ohne personalisierte Werbung nutzen können. Die Entscheidung sorgt auch für gleiche Wettbewerbsbedingungen mit anderen Werbetreibenden, die ebenfalls die Zustimmung der Nutzer einholen müssen.”
Meta zeigte sich in einer Stellungnahme “enttäuscht” von der Entscheidung und kündigte Berufung an. Ferner wies das Unternehmen darauf hin, dass personalisierte Werbung auf seinen Plattformen auch weiterhin möglich bleibe.
Noyb hingegen erklärte, in Folge der Entscheidung müsse Meta seine Nutzerinnen und Nutzer künftig um Einwilligung zur Verwendung von personenbezogenen Daten zu Werbezwecken bitten. Dafür könne Meta entweder eine zusätzliche Version seiner Apps anbieten, die keine persönlichen Daten für Werbung verwendet – oder eine Ja/Nein-Option anbieten. Die Nutzer müssten ihre Einwilligung zudem jederzeit widerrufen können, ohne dass der Dienst für sie eingeschränkt wird.
Nach Einschätzung der Organisation würde dies die Gewinne von Meta in der EU “drastisch einschränken”. Andere Werbeformen, etwa kontextbezogen, blieben aber weiter möglich.
Europäischer Datenschutzausschuss hatte Entscheidung vorgegeben
Die irische Datenschutzbehörde steht regelmäßig in der Kritik, bei Datenschutzverstößen der großen Tech-Konzerne zu langsam vorzugehen. Noyb kritisiert die Behörde auch im aktuellen Fall: Sie habe die Entscheidung bisher nur Meta zugestellt. Die Organisation habe das Dokument als Verfahrensbeteiligte hingegen noch nicht erhalten – weil es angeblich vertrauliche Informationen erhalten könnte. Schrems kritisierte: “In zehn Jahren als Jurist habe ich noch nie erlebt, dass eine Entscheidung nur einer Partei zugestellt wurde, aber nicht der anderen.”
Die irische Datenschutzbehörde hatte das Vorgehen von Facebook zunächst als zulässig angesehen. Nur wegen mangelnder Transparenz hatte die Behörde eine Datenschutzstrafe verhängen wollen. Weil andere europäische Datenschutzbeauftragte Einwände gegen diese geplante Entscheidung hatten, wurde der Fall jedoch Gegenstand des Europäischen Datenschutzausschusses (EDSA). Der Ausschuss setzt sich aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten zusammen.
Im Dezember hatte der EDSA die irische Behörde überstimmt und angewiesen, eine entsprechende Entscheidung zu veröffentlichen.
Wiederholte Datenschutzstrafen gegen Meta
Es ist bereits das fünfte Mal seit September 2021, dass die irische Datenschutzbehörde Meta zur Zahlung einer hohen Geldstrafe verpflichtet hat. Erst im November hatte sie eine Strafe in Höhe von 256 Millionen Euro gegen den Konzern verhängt, nachdem im Jahr 2021 Daten von mehr als einer halben Milliarde Facebook-Nutzern im Internet veröffentlicht worden waren.
Im September 2022 verhängte die DPC eine Geldstrafe von 405 Millionen Euro gegen Instagram wegen schwerer Verstöße gegen Datenschutzregeln für Kinder. Zuvor hatte sie auch eine Strafe von 17 Millionen Euro gegen Meta sowie 225 Millionen Euro gegen das Tochterunternehmen WhatsApp verhängt.
Gegen die Instagram- sowie die WhatsApp-Entscheidung hat Meta jeweils Berufung eingelegt. (dpa / js)