Am 17. April hat der Datenschutz einen wichtigen Sieg errungen: Der Europäische Datenschutzausschuss (d. h. die Organisation, die die EU-Datenschutzbeauftragten zusammenbringt) stellte klar, dass personenbezogene Daten keine Ware sind, und bezog klar Stellung gegen Metas "Pay-or-ok"-Ansatz zur Einhaltung der Datenschutzgrundverordnung. Dies ist ein Fortschritt für das EU-Datenschutzrecht und eine große Sache für die Tech-Industrie.
Bevor Sie die Sektkorken knallen lassen, sollten Sie wissen, dass die Geschichte noch nicht ganz vorbei ist. Meta wird den Rechtsstreit zweifellos bis vor den Gerichtshof der Europäischen Union ziehen, und der Gerichtshof wird das letzte Wort haben. Dass sich der EDSB auf die Seite der Kritiker von Meta stellt, ist jedoch ein sehr gutes Zeichen.
Hier finden Sie alles, was Sie über die Stellungnahme des EDSB wissen müssen, und warum sie wichtig ist. Lasst uns eintauchen!
Der Hintergrund
Worum es hier nicht geht
Bevor wir erklären, worum es in diesem Rechtsstreit geht, wollen wir ein mögliches Missverständnis ausräumen: Meta wird nicht angegriffen, weil es einen Preis für seine Plattformen festlegt.
Meta ist ein gewinnorientiertes Unternehmen und hat das Recht, seine Dienste so zu bepreisen, wie es das für richtig hält, einschließlich der Forderung von Abonnements für zuvor "kostenlose" Plattformen. Dieses Recht wird von niemandem angefochten - wo liegt also das Problem?
Nun, Meta nutzt Abonnements als Argument, um zu zeigen, dass sein Geschäftsmodell insgesamt - und insbesondere das Sammeln und Schürfen von Daten kostenloser Nutzer - mit der Datenschutz-Grundverordnung vereinbar ist. Mit anderen Worten, der Sinn der Meta-Abonnements besteht darin, das Ausspionieren von kostenlosen Nutzern zu rechtfertigen. Das ist es, was nach der DSGVO problematisch ist - nicht die Abonnements an sich.
Hier ist die Geschichte im Detail, und warum sie für das Datenschutzrecht von großer Bedeutung ist.
Meta vs. GDPR
Wir haben die "Pay-or-ok"-Saga bereits in einem anderen Blog ausführlich erörtert, daher hier die Kurzfassung.
Seit mehr als einem Jahrzehnt sammelt Meta aggressiv Nutzerdaten als Bezahlung für Facebook (und später Instagram). Diese intensive Untersuchung ermöglicht es dem Unternehmen, Nutzerprofile zu erstellen und verhaltensorientierte Werbung zu schalten, für die es Werbekunden eine Gebühr berechnet. Dieses Geschäftsmodell steht im Widerspruch zur Datenschutz-Grundverordnung und wird seit einiger Zeit von Datenschützern angefochten - insbesondere von noyb, einer österreichischen Nichtregierungsorganisation, die schon lange mit Meta zusammenarbeitet.
Mit der kommerziellen Überwachung erzielt Meta also den Großteil seiner Einnahmen. Indem sie die Konformität der zielgerichteten Werbung anzweifeln, stellen die Datenschützer die Rechtmäßigkeit des Geschäftsmodells von Meta im Rahmen der Datenschutz-Grundverordnung in Frage. Dies hat wichtige Auswirkungen auf die gesamte Technologiebranche, da viele andere Unternehmen auf ein Geschäftsmodell mit Daten als Zahlungsmittel angewiesen sind.
Bislang hat Meta auf diese Herausforderungen reagiert, indem es seine Datenschutzrichtlinien überarbeitet, neunstellige Geldstrafen in Kauf genommen und seine Geschäfte wie gewohnt weitergeführt hat. Da Meta aber immer wieder rechtliche Anfechtungen verliert, werden seine Möglichkeiten immer geringer.
Bezahlte Abonnements sind der letzte Akt in dieser langjährigen Geschichte und der letzte Versuch des Unternehmens, sein Geschäftsmodell auf dem EU-Markt zu retten.
Bezahlen oder nicht
Meta stellt die Nutzer in der EU derzeit vor die Wahl: Sie können der verhaltensorientierten Werbung zustimmen und die sozialen Plattformen kostenlos nutzen oder die verhaltensorientierte Werbung abschaffen und 120 Euro pro Jahr zahlen.
Natürlich weiß Meta, dass die große Mehrheit der Nutzer nicht zahlen wird. Es geht nicht darum, von einer Handvoll zahlender Abonnenten ein paar Groschen zu kassieren, sondern darum, das Ausspionieren aller anderen zu rechtfertigen. Die Abonnements sind ein Trick, mit dem die Anwälte von Meta behaupten können, dass die Zustimmung zu verhaltensbezogener Werbung den hohen Zustimmungsstandards der Datenschutzgrundverordnung entspricht - insbesondere der Anforderung, dass die Zustimmung freiwillig erteilt werden muss.
Dieser Pay-or-ok-Ansatz ist im Bereich des Datenschutzes umstritten. Einige sehen darin ein mächtiges Instrument zur Einhaltung der Vorschriften, das möglicherweise eine sehr invasive Datenerfassung im Rahmen der DSGVO rechtfertigen könnte. Sie hoffen, dass der Ansatz von Meta die behördliche Prüfung übersteht, damit sie auf den Zug aufspringen und Pay-or-ok zum neuen Standard in der digitalen Wirtschaft machen können.
Auf der anderen Seite argumentieren die Kritiker von Meta, dass Daten keine Ware sind, weil Privatsphäre und Datenschutz Menschenrechte sind (und die Charta der Grundrechte stimmt dem zu). Sie weisen auch darauf hin, dass es sich nicht jeder in Europa leisten kann, 10 Euro pro Monat zu zahlen, um mit seinen Freunden und Verwandten auf Facebook in Kontakt zu bleiben - ganz zu schweigen von 10 Euro pro Monat und App, sollte sich das Bezahlmodell für soziale Plattformen durchsetzen.
Der EDPB wurde angerufen, um in der Pay-or-ok-Kontroverse Stellung zu beziehen, und hat eine sehr klare Botschaft gesendet.
Was hat der Ausschuss gesagt?
Die Stellungnahme des EDSB ist recht komplex, aber kurz gefasst stimmt sie weitgehend mit den Kritikern von Meta überein. Daten sind keine Ware, und wenn man den Datenschutz mit einem Preisschild versieht, kann man keine gültige Einwilligung nach der Datenschutz-Grundverordnung einholen.
Die Stellungnahme des EDSB ist zwar nicht bindend, hat aber großes Gewicht. Schließlich handelt es sich bei den Mitgliedern des Ausschusses um nationale Regulierungsbehörden, die befugt sind, Meta bei Nichteinhaltung der DSGVO mit Geldbußen zu belegen.
Pay-or-ok reicht nicht aus
Die EPBP hat Metas Compliance-Strategie unter die Lupe genommen und war nicht begeistert.
Die Behörde hebt hervor, dass Facebook und Instagram von starken Lock-in und Netzwerkeffekten profitieren: Je mehr soziale Kontakte man auf diesen Plattformen hat, desto schwieriger ist es, sie zu verlassen (wie ein besserer Blogger schrieb, sind soziale Netzwerke mittlerweile eine Geiselsituation). Gleichzeitig bedeutet die beherrschende Stellung von Meta auf dem Markt für soziale Medien, dass es den Verbrauchern an Alternativen mangelt.
Aus diesem Grund stimmt der EDPB letztlich den Kritikern von Meta zu und weigert sich, die von Meta gesammelten Einwilligungen als gültige, frei erteilte Einwilligungen anzuerkennen. Unterm Strich hat Meta kein Recht, Profile von Nutzern auf der Grundlage ihres Verhaltens zu erstellen.
(Übrigens ist die Marktdominanz der Grund, warum der übliche Einwand, dass "Plattformen nicht frei zur Verfügung stehen", für Meta nicht zutrifft. In einem Wettbewerbsmarkt würden die meisten Nutzer ihr Facebook- oder Instagram-Konto löschen und ihre Daten zu einem datenschutzfreundlichen Konkurrenten übertragen. In der realen Welt kaufen Tech-Giganten potenzielle Konkurrenten auf und überlassen es den Nutzern, ihr Gift zwischen Meta, X und ByteDance zu wählen).
Es gibt Alternativen
Meta und andere Anbieter von Werbetechnologien stellen verhaltensorientierte Werbung gerne als Schwarz-Weiß-Problem dar: Entweder Sie erlauben uns, das digitale Leben der Internetnutzer bis ins kleinste Detail zu durchleuchten, oder wir gehen pleite und die digitale Wirtschaft stirbt (siehe den Brief des IAB an den Vorstand).
Aber die Frage ist nicht schwarz-weiß. Der EDPB war darauf bedacht, klarzustellen, dass Plattformen auch ohne Zustimmung Werbung anbieten können. Dies bedeutet auch nicht unbedingt kontextbezogene Werbung: Meta könnte die Nutzer beispielsweise einfach nach ihren Interessen fragen und ihre Antworten für gezielte Werbung nutzen. Nach Ansicht des Ausschusses könnte diese weniger invasive Form der Werbung ohne die Zustimmung der Nutzer durchgeführt werden und dennoch die DSGVO erfüllen.
Natürlich wäre dieser vernünftige Mittelweg weitaus weniger profitabel als Metas invasives Ausforschen, und das Unternehmen wird weiterhin mit allen Mitteln gegen die Privatsphäre kämpfen, anstatt die Überwachung eine Stufe zurückzuschrauben.
Der EDPB weist auch darauf hin, dass das Angebot einer dritten, kostenlosen Option mit weniger aufdringlicher Werbung Meta helfen könnte, sein Geschäftsmodell im Rahmen der Datenschutz-Grundverordnung zu rechtfertigen. Wir gehen jedoch nicht davon aus, dass Meta diesen Rat in nächster Zeit befolgen wird: Das Unternehmen weiß, dass die Nutzer keine Überwachung mögen und in der Regel "Nein, danke" sagen, wenn ihnen eine faire, transparente Wahlmöglichkeit wie die vom EDPB geforderte angeboten wird.
(Ich möchte auch auf eine andere offensichtliche und 100 % GDPR-konforme Möglichkeit für Meta hinweisen, mit Facebook und Instagram Geld zu verdienen: Machen Sie sie zu bezahlten Diensten, Punkt. Niemand verlangt eine kostenlose Mahlzeit - nicht die DSGVO, nicht die Regulierungsbehörden, nicht die Befürworter des Datenschutzes. Aber Meta wird diese einfache Lösung nie annehmen, weil ein Preisschild das Unternehmen zu viele Nutzer kosten würde).
Was ist mit kleineren Unternehmen?
Die Botschaft für Big Tech ist sehr klar, aber gilt dieselbe Logik auch für kleinere Websites und Dienste?
Möglicherweise.
Ja, das ist nicht die befriedigendste Antwort - aber das ist die Antwort, die wir bekommen haben.
Die Stellungnahme befasst sich nur mit großen Plattformen, aber der Ausschuss weist darauf hin, dass einige seiner Argumente auch für kleine Akteure gelten könnten, was ziemlich verwirrend ist. Insgesamt haben wir den Eindruck, dass der Ausschuss nicht dazu Stellung nehmen will, wie die Regeln für kleinere Anbieter gelten - zumindest im Moment.
Wie geht es weiter?
Es sei noch einmal darauf hingewiesen, dass die Geschichte noch nicht zu Ende ist und dass der Gerichtshof wahrscheinlich das letzte Wort haben wird.
Es ist schwer zu sagen, wann dies der Fall sein wird. Die Beschwerde von noyb bei der österreichischen Behörde wird wahrscheinlich bis zum Gerichtshof gehen, aber das wird eine Weile dauern - vor allem, wenn die irische Behörde eingeschaltet wird. In der Zwischenzeit wird Meta seine Praktiken wohl kaum ändern, es sei denn, die Bußgelder fangen an zu fliegen.
Sollte sich der Gerichtshof auf die Seite der EDPB schlagen, wird das Urteil einen Wendepunkt im Datenschutzrecht markieren. Meta wird gezwungen sein, sein Geschäftsmodell zu überdenken, und wird wahrscheinlich gigantische Geldbußen zahlen müssen. Auch andere große Fische werden ihr Geschäftsmodell überdenken müssen, denn die Datenschützer werden nicht zögern, den Präzedenzfall Meta gegen sie einzusetzen. Langer Rede kurzer Sinn: Wir werden dem längst überfälligen Tod der verhaltensbezogenen Werbung einen Schritt näher kommen.
Sollte sich das Gericht hingegen auf die Seite von Meta schlagen und dessen eigennützige Auslegung des Gesetzes sanktionieren, dann wird Pay-or-ok wahrscheinlich zum Industriestandard, die GDPR wird gegenüber Big Tech erheblich entschärft, und wir alle werden auf den Plattformen, die unser digitales Leben kontrollieren, wenig bis gar keine Erwartungen an den Datenschutz haben.
Schlussfolgerungen
Dieses Mal geht es nicht nur um Meta gegen die üblichen Verdächtigen (noyb). Auch die Verbraucherschützer des Europäischen Verbraucherbüros (BEUC) stellen Meta-Abonnements in Frage, und sogar die Europäische Kommission - als oberste Kartellbehörde der EU - prüft die Vereinbarkeit von Pay-or-ok mit dem Gesetz über digitale Märkte.
Wir freuen uns, dass die Akteure Metas Compliance-Puppenspiel aus verschiedenen Blickwinkeln anfechten. Und noch mehr freuen wir uns, dass die EDBP eine starke Position einnimmt.
Die Bedeutung der Pay-or-ok-Saga kann gar nicht hoch genug eingeschätzt werden. Wenn die Klage von noyb gegen Meta (vorhersehbar) vor dem Europäischen Gerichtshof landet, wird dieser eine Entscheidung treffen müssen: Soll sich die Datenschutz-Grundverordnung der Überwachungswirtschaft beugen, oder soll es umgekehrt sein?
Wir haben keine Kristallkugel, aber die Stellungnahme des EDPB ist ein guter Grund, optimistisch zu sein.
Wir entwickeln Simple Analytics, weil wir an ein datenschutzfreundliches Web glauben. Wir helfen unseren Kunden, ihren Traffic zu verstehen und ihr Publikum zu erweitern, ohne ein einziges Bit an persönlichen Daten zu sammeln. Unser Webanalysetool ist leicht zu erlernen, anpassbar und wird mit einem KI-Assistenten geliefert. Wenn sich das für Sie gut anhört, probieren Sie uns doch einfach mal aus!