Dein wichtigster Touchpoint zur Digitalbranche.
Dein wichtigster Touchpoint zur Digitalbranche.
Digitalpolitik
DSGVO-Verstöße: Meta muss 390 Millionen Euro Strafe zahlen – sind personalisierte Ads in Gefahr?

DSGVO-Verstöße: Meta muss 390 Millionen Euro Strafe zahlen – sind personalisierte Ads in Gefahr?

Niklas Lewanczik | 05.01.23

Die irische Datenschutzbehörde hat Meta eine Mammutstrafe für DSGVO-Verstöße beim Ad Targeting auferlegt. Auch Apple muss wegen der illegalen Datennutzung für Werbung eine Millionenstrafe zahlen.

Die irische Behörde Data Protection Commission (DPC) fordert von Meta immense Strafzahlungen aufgrund von Verstößen gegen die DSGVO. Der Social-Media-Konzern soll beim Ad Targeting mithilfe personenbezogener Daten sowohl auf Facebook als auch auf Instagram die Richtlinien missachtet haben. Für diese Verstöße werden laut DPC einmal 210 Millionen und einmal 180 Millionen Euro fällig. Diese Entscheidung geht auf Beschwerden zurück, die im Frühjahr 2018 von der Datenschutzorganisation noyb unter der Führung von Max Schrems eingereicht wurden.

Während Meta drei Monate lang Zeit hat, um die eigene Datenverarbeitung beim Advertising mit den DSGVO-Regeln in Einklang zu bringen, möchte der Konzern gegen die Entscheidungen vorgehen – und betont, dass man die Praxis für personalisierte Werbung nicht ändern müsse. Unterdessen steht die Entscheidung wegen einer Beschwerde bezüglich WhatsApp noch aus und könnte das Strafmaß noch erhöhen. In Frankreich muss auch Apple wegen eines Datenschutzverstoßes Millionen Euro zahlen.

Metas Mega-Strafe: Ist das personalisierte Ad-Geschäft in Gefahr?

Der Grund, aus dem Meta für die Verwendung personenbezogener Daten beim Ad Targeting auf Facebook und Instagram so viel Geld zahlen muss, bezieht sich auf die Einordnung der Datennutzung durch den Konzern. Meta hatte im Vorwege der Beschwerden die Nutzungsbedingungen für Facebook und Instagram insofern geändert, dass die User der Verarbeitung ihrer personenbezogenen Daten im Rahmen eines Vertrags zustimmen mussten. Meta änderte die sogenannte Legal Basis, um gemäß Art. 6 DSGVO die Erfüllung des Vertrags im Rahmen der Rechtsvorgaben der EU ausüben zu können. User, die weiterhin auf Facebook und Instagram zugreifen wollten, mussten die neuen Richtlinien akzeptieren. Der Konzern gab an, dass zur Ausübung des Vertrages auch notwendig sei, personalisierte Werbung ausspielen und andere personalisierte Dienst einsetzen zu können.

Die Beschwerde der Organisation noyb führt jedoch an, Meta habe die User zur Einwilligung gezwungen, was der DSGVO zuwiderlaufe. In der Erklärung der DPC heißt es entsprechend:

The complainants contended that, contrary to Meta Ireland’s stated position, Meta Ireland was in fact still looking to rely on consent to provide a lawful basis for its processing of users’ data. They argued that, by making the accessibility of its services conditional on users accepting the updated Terms of Service, Meta Ireland was in fact ‚forcing‘ them to consent to the processing of their personal data for behavioural advertising and other personalised services. The complainants argued that this was in breach of the GDPR.

Die DPC erklärt in der eigenen Entscheidung, dass Meta keinen „forced consent“ hervorgerufen, allerdings intransparent hinsichtlich der Legal Basis gewesen sei und damit gegen die Artikel 12 und 13 (1) c) der DSGVO verstoßen habe. Die irische Datenschutzbehörde fordert nun auch von Meta, die Verarbeitung der personenbezogenen Daten gemäß der DSGVO-Vorgaben anzupassen.

The DPC’s existing requirement that Meta Ireland must bring its processing operations into compliance with the GDPR within a period of 3 months has been retained.

Meta stimmt nicht mit der Entscheidung überein

In einem Blogpost hat Meta als Reaktion auf die Entscheidung eine Stellungnahme veröffentlicht. Darin heißt es:

The debate around legal bases has been ongoing for some time and businesses have faced a lack of regulatory certainty in this area. We strongly believe our approach respects GDPR, and we’re therefore disappointed by these decisions and intend to appeal both the substance of the rulings and the fines. 

Nach Ansicht des Social-Media-Konzerns ist die Datenverarbeitung für personalisierte Werbung im Kontext einer Legal Basis, die sich auf einen Vertrag bezieht, legitim:

Since GDPR came into force, Meta has relied on Contractual Necessity to process the data needed to provide behavioural advertisements in the EU. We have always been open with regulators and courts about this, and in previous assessments of our services they did not object to the use of Contractual Necessity for this type of activity.

Meta stellt dabei auch heraus, dass das personalisierte Werben auf den eigenen Plattformen nicht in Gefahr ist. Denn die Entscheidung bezieht sich auf die Legal Basis und könnte – sofern Metas Revision nicht erfolgreich ist – dazu führen, dass Meta für diesen Aspekt eine neue Lösung finden muss. Der Konzern erklärt:

The decisions also do not mandate the use of Consent – another available legal basis under GDPR – for this processing. Similar businesses use a selection of legal bases to process data and we are assessing a variety of options that will allow us to continue offering a fully personalised service to our users. The suggestion that personalised ads can no longer be offered by Meta across Europe unless each user’s agreement has first been sought is incorrect.

Noch mehr Strafen: Die Entscheidung zu WhatsApp steht aus, Apple muss in Frankreich zahlen

Meta möchte gegen die Entscheidung hinsichtlich der DSGVO-Verstöße auf Facebook und Instagram vorgehen. In der Zwischenzeit könnte sich die Summe, die der Konzern als Strafe für entsprechende Vergehen zahlen muss, aber sogar noch erhöhen. Wie Max Schrems auf Twitter mitteilt, steht die Entscheidung der DPC hinsichtlich einer Beschwerde in Bezug auf die Datenverarbeitung bei Metas Messaging App WhatsApp noch aus. Eine erhebliche Strafzahlung könnte, sofern die DPC auch in diesem Fall Datenschutzverstöße erkennt, folgen.

Die Summe der allein in diesem Jahr durch Verstöße gegen Datenschutzrichtlinien hervorgerufenen Strafen, die Meta zahlen muss, könnte sich also noch weiter erhöhen. Im März entschied die DPC bereits, dass Meta 17 Millionen Euro Strafe wegen Verstößen gegen die DSGVO und unzureichender Maßnahmen zur User-Datensicherung zahlen muss. Für einen mangelnden Schutz der Privatsphäre von Kindern auf Instagram, der ebenfalls gegen die DSGVO verstieß, verhängte die Behörde im September ein Bußgeld in Höhe von 405 Millionen Euro. Und im November folgte eine durch die DPC angeordnete Strafzahlung von 265 Millionen Euro. Grund für letztere war ein Daten-Scraping-Verstoß bei Facebook aus dem April 2021.

Meta ist jedoch nicht der einzige Konzern, der aufgrund von Datenschutzverstößen zur Kasse gebeten wird; wenngleich die Facebook-Mutter des Öfteren mit Beschwerden und empfindlichen Strafen umgehen muss. Apple muss in Frankreich acht Millionen Euro Strafe zahlen, wie die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) entschieden hat. Der Konzern hatte bei einigen französischen iOS-Nutzer:innen personalisierte Werbung ausgespielt, ohne vorab einen Einwilligung für die Nutzung der personenbezogenen Daten einzuholen, die beim Besuch des App Store per Default übermittelt wurden. In der Erklärung heißt es:

Due to their advertising purpose, these identifiers are not strictly necessary for the provision of the service (the App Store). Therefore, they must not be read and/or deposited without the user’s prior consent. However, in practice, the advertising targeting settings available from the ‚Settings‘ icon of the iPhone were pre-checked by default.

Die empfindlichen Strafen für Meta und Apple werden womöglich nicht die letzten gewesen sein. Angesichts der immensen Umsätze der Konzerne können sich diese die Zahlung der aufgerufenen Summen jedoch leisten, wenngleich Meta im zweiten Quartal vergangenen Jahres einen allerersten Umsatzrückgang seit Bestehen meldete, sich wie viele andere Tech-Unternehmen auf härtere Zeiten einstellt und bereits Tausende Stellen gestrichen hat. Meta erwirtschaftete im dritten Quartal 2022 27,7 Milliarden US-Dollar, Apple konnte im gleichen Zeitraum gar 90,1 Milliarden US-Dollar umsetzen.

Kommentare aus der Community

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*
*