Datenschutzverstöße bei Facebook & Instagram
390 Millionen Euro Bußgeld für Meta
Der Facebook-Konzern Meta wurde aufgrund von Datenschutzverstößen bei Facebook und Instagram zur Zahlung eines Bußgeldes von 390 Millionen Euro aufgefordert. Der Konzern versuchte die Regelungen der DSGVO bezüglich der Datenspeicherung und Datenverarbeitung personenbezogener Informationen zu umgehen.
Der ehemalige Facebook-Konzern macht regelmäßig Schlagzeilen mit fragwürdigem Datenschutz. Dieses Mal stand Meta aufgrund mehrerer Verstöße gegen die EU-Datenschutzrichtlinien in Verdacht. Nachdem der Europäische Datenschutzausschuss die irische Datenschutzbehörde DPC dazu aufforderte, nach mehreren Beschwerden von Nutzern und Datenschutzaktivisten gegen Meta vorzugehen, wurden Datenschutzverstöße sowohl bei Instagram als auch bei Facebook nachgewiesen.
In beiden Fällen wurden persönliche Daten von Nutzern gesammelt und für personalisierte Werbung verarbeitet. Grundsätzlich kann das erlaubt sein – aber auch, wenn die Nutzer dieser Vorgehensweise gar nicht explizit zugestimmt haben?
Datenschutzgrundverordnung & personalisierte Werbung
Seit 2018 regelt die Datenschutzgrundverordnung, unter welchen Bedingungen Internetportale personenbezogene Daten ihrer Kunden und User nutzen dürfen. Grundsätzlich muss dazu die Einwilligung der Nutzer eingeholt werden. Es dürfen also generell nicht automatisch personenbezogene Daten eines Users ungefragt einbezogen und verarbeitet werden.
ABER: Es gibt dennoch Ausnahmefälle, in denen auf eine explizite Zustimmung des Kunden verzichtet werden darf. Das ist regelmäßig dann der Fall, wenn die Nutzung der personenbezogenen Daten zwingend erforderlich ist, um die angebotene Leistung auszuführen. Ein klassisches Beispiel dafür wäre das Übermitteln der Kontaktadresse des Kunden vom Online-Shop an das Logistikunternehmen, welches die Ware ausliefert.
Personenbezogene Daten für personalisierte Werbung ohne Zustimmung?
Die Entscheidung der irischen Datenschutzbehörde DPC fällt eindeutig aus. Der Meta-Konzern habe sowohl mit Facebook als auch Instagram gegen die EU-Datenschutzgrundverordnung verstoßen. Denn um die Regelung der DSGVO, die grundsätzlich notwendige Zustimmung des Nutzers zur Verarbeitung personenbezogener Daten, zu umgehen, hat Facebook personalisierte Werbung einfach in seine Allgemeinen Geschäftsbedingungen (AGB) aufgenommen.
Mit der Akzeptierung der AGB durch Kunden, hat Facebook das Ausspielen von persönlich zugeschnittener Werbung zum Teil des Dienstes erklärt, für den keine eigene Zustimmung notwendig sei. Kunden konnten folglich der Datenspeicherung und -verarbeitung gar nicht in der DSGVO-konformen Weise explizit zustimmen. Denn die Nutzungsbestimmungen von Facebook enthielten lediglich folgenden Satz:
„Wir helfen dir, Inhalte, Produkte und Dienste zu entdecken, die dich möglicherweise interessieren: Wir zeigen dir personalisierte Werbeanzeigen, Angebote und sonstige gesponserte oder kommerzielle Inhalte, um dir dabei zu helfen, Inhalte, Produkte und Dienste zu entdecken.“
Facebook und Instagram AGB verstoßen gegen DSGVO
Durch diese AGB würden Nutzer dazu gedrängt, bestimmte Bedingungen zu akzeptieren, da die Dienste des Internetriesen für sie andernfalls nicht mehr nutzbar gewesen wären.
Das Ende vom Lied: Meta darf in Zukunft keine personenbezogenen Daten seiner Nutzer mehr ohne deren Zustimmung für die Personalisierung von Werbung verwenden. Die irische Datenschutzbehörde verhängte ein Bußgeld in Höhe von satten 390 Millionen EUR. Dabei entfallen 210 Millionen EUR davon auf den Facebook-Datenschutzverstoß und 180 Millionen EUR auf den Instagram-Datenschutzverstoß.
Der Entscheidung der irischen Datenschutzbehörde zufolge muss Meta seinen Nutzern innerhalb von drei Monaten eine Möglichkeit zur Verfügung stellen, die Social-Media-Plattform nutzen zu können, ohne dass personalisierte Werbung erscheint, es sei denn, der Nutzer hat der Datenverarbeitung explizit zugestimmt.
390 Millionen Euro Bußgeld wegen illegaler AGB
Meta argumentierte, dass Unternehmen in der (spätestens jetzt beantworteten) Frage mit einer unklaren Rechtslage konfrontiert gewesen seien. Der Konzern sehe sich weiterhin im Recht und vor allem im Einklang mit der Europäischen Datenschutzgrundverordnung, da personalisierte Werbung schließlich eine für Facebook durch die AGB verpflichtete Leistung sei und nicht ohne Verarbeitung personenbezogener Daten erbracht werden könne, weshalb die Einholung einer Zustimmung des Nutzers ausnahmsweise nicht erforderlich sei.
Die 390 Millionen EUR Strafe will der US-Konzern daher nicht auf sich sitzen lassen und gegen die Entscheidung und das Bußgeld in Berufung gehen.