Die meisten großen Technologieunternehmen sind nicht sehr gut im Umgang mit dem Datenschutz, und Meta ist vielleicht das schlechteste. Die goldene Regel für den Datenschutz könnte lauten: "Schau, was Meta macht, und mach das genaue Gegenteil".
So hat beispielsweise ein laufender Rechtsstreit in Kalifornien gezeigt, dass Meta kaum weiß, wie es mit Daten umgeht (die ICCL, die die Europäische Kommission auf die Angelegenheit aufmerksam gemacht hat, hat es ziemlich gut zusammengefasst). Und die irische Aufsichtsbehörde verhängte kürzlich eine Geldstrafe in Höhe von 390 Millionen Euro gegen Meta wegen der unrechtmäßigen Verarbeitung personenbezogener Daten von Millionen von Nutzern in ganz Europa.
Im März erging ein weiteres Urteil gegen Meta, dieses Mal vom Bezirksgericht Amsterdam. Es handelt sich um eine wichtige und in mehrfacher Hinsicht interessante Entscheidung. Wir werden Ihnen kurz einige Hintergrundinformationen zu den Entscheidungen der Bezirksgerichte geben, da sie dazu beitragen, das Urteil in einen Kontext zu stellen. Dann werden wir eintauchen!
Einige Hintergrundinformationen
Es ist noch nicht lange her, dass die irische Datenschutzbehörde eine Geldstrafe in Höhe von 390 Millionen Euro gegen Meta verhängt hat, weil das Unternehmen ein Profiling seiner Nutzer ohne Rechtsgrundlage gemäß der Datenschutz-Grundverordnung vorgenommen hatte. Die Gesamtgeldbuße ergab sich aus drei verschiedenen Fällen, an denen Facebook, Instagram und Meta beteiligt waren.
Unser Blog geht ausführlicher auf die Entscheidungen ein, daher hier die Kurzfassung. Alle Fälle gingen zwischen der DPC (der irischen Aufsichtsbehörde) und dem EDPB (kurz für European Data Protection Board, die EU-Institution, in der alle europäischen Datenschutzbehörden sitzen) hin und her. Die DPC war zunächst nicht scharf darauf, Meta mit Geldbußen zu belegen, aber der Ausschuss hob ihre ursprünglichen Entscheidungen im Wesentlichen auf, was zu den Geldbußen führte.
Die Entscheidungen schufen einen wichtigen Präzedenzfall für andere Unternehmen und verdeutlichten die tiefgreifenden Meinungsverschiedenheiten zwischen der Datenschutzbehörde und ihren europäischen Amtskollegen.
Der Fall
Am 15. März gewann die Data Privacy Foundation eine Sammelklage gegen Meta vor dem Bezirksgericht Amsterdam. Das Gericht stellte fest, dass Meta die personenbezogenen Daten von Facebook-Nutzern - einschließlich sensibler Daten- unrechtmäßig zu Werbezwecken verarbeitet. Diese Entscheidung erging kurz nachdem die irische Datenschutzbehörde (DPC) Meta wegen unrechtmäßiger Verarbeitung personenbezogener Daten zu einer Geldstrafe von 390 Millionen Euro verurteilt hatte.
Da es sich bei dem Urteil um eine Feststellungsklage handelt, wird der Schadenersatz in einem anderen Verfahren eingefordert. An der Sammelklage sind 190.000 Personen beteiligt, Meta riskiert also eine Menge Geld!
In der Entscheidung geht es um mehrere Ansprüche1, daher werden wir uns auf die wichtigsten konzentrieren: die Verarbeitung personenbezogener Daten zu Werbezwecken, die Verarbeitung sensibler Daten und die Verletzung des Verbraucherrechts.
Die unrechtmäßige Verarbeitung personenbezogener Daten
In dem niederländischen Fall machte die Data Privacy Foundation geltend, dass Meta keine Rechtsgrundlage für die gezielte Werbung von Facebook-Nutzern habe. Aber was bedeutet das genau?
Gezielte Werbung basiert auf Profiling. Mit anderen Worten: Jemand (in diesem Fall das soziale Netzwerk Facebook) sammelt umfangreiche Daten über jeden Nutzer, die darauf basieren, wie er sich auf der Plattform verhält und welche Daten er selbst hochlädt. Diese Daten werden verwendet, um ein Profil jedes Nutzers zu erstellen und herauszufinden, mit welchen Anzeigen er am ehesten etwas anfangen kann.
Profiling erfordert die Verarbeitung personenbezogener Daten - andernfalls kann eine Plattform nicht wissen, was die Interessen eines Nutzers sind. Nach der Datenschutz-Grundverordnung dürfen personenbezogene Daten nur auf der Grundlage einer Rechtsgrundlage verarbeitet werden. Eine Rechtsgrundlage ist eine "rechtliche Rechtfertigung" für die Verarbeitung der Daten einer Person, z. B. eine Einwilligung oder eine rechtliche Verpflichtung(in diesem Blog wird das Thema näher erläutert, falls Sie daran interessiert sind).
In diesem Fall war die Rechtsgrundlage von Meta für das Profiling seiner Nutzer die Erfüllung eines Vertrags2. Mit anderen Worten: Meta argumentierte, dass gezielte Werbung notwendig sei, um den Nutzern seine Facebook-Plattform zur Verfügung zu stellen, und dass diese Notwendigkeit die Erstellung von Nutzerprofilen rechtfertige (wie wir in unserem Blog erläutert haben).
Der Gerichtshof entschied anders. Auf der Grundlage früherer Leitlinien des Europäischen Datenschutzausschusses (sowie der WP29, des Vorgängers des Ausschusses in der Zeit vor der Datenschutz-Grundverordnung) befürwortete das Gericht eine strenge Auslegung des Begriffs Notwendigkeit". Er entschied, dass die Erstellung von Nutzerprofilen für die Bereitstellung eines sozialen Netzwerks nicht erforderlich ist.
Dies ist dieselbe Rechtsfrage, die der EDSB in Bezug auf drei verschiedene Meta-Dienste, darunter Facebook, untersucht hat, und der Ausschuss kam zu genau demselben Ergebnis. Darüber hinaus war die Schlussfolgerung von Anfang an ziemlich offensichtlich, da der EDPB selbst seit langem klargestellt hat, dass die Erfüllung eines Vertrags kein Profiling auf Social-Media-Plattformen rechtfertigt3.
Das Bezirksgericht Amsterdam sagt also nichts Neues. Dennoch ist die niederländische Entscheidung wichtig, da sie zeigt, dass der vom EDSB geschaffene Präzedenzfall nicht nur den Datenschutzbehörden, sondern auch den Gerichten als Orientierung dienen kann .
Die Verarbeitung sensibler Daten
Die Data Privacy Foundation machte außerdem geltend, dass sensible Daten ohne eine rechtmäßige Ausnahmeregelung verarbeitet wurden, was einen schweren Verstoß gegen die Datenschutz-Grundverordnung darstellt.
Der Beschluss des EDSB betraf nicht die Verarbeitung sensibler Daten. Die Frage war Teil der Noyb-Beschwerden, mit denen alles begann, doch der DSB hat sie nicht untersucht. Natürlich sind weder die EDBP4 noch die noyb darüber besonders glücklich.
Aber kommen wir zurück zum Thema. Bei sensiblen Daten handelt es sich um sehr heikle Kategorien personenbezogener Daten wie sexuelle Orientierung, Gesundheitsdaten, religiöse und politische Überzeugungen und so weiter. Die Datenschutz-Grundverordnung schützt diese Daten, indem sie zusätzliche Anforderungen für ihre Verarbeitung festlegt. Diese Anforderungen werden als Ausnahmen bezeichnet und erfüllen eine ähnliche Funktion wie Rechtsgrundlagen - sie sind im Wesentlichen eine "Rechtfertigung" für die Verarbeitung sensibler Daten, so wie Rechtsgrundlagen eine "Rechtfertigung" für die Verarbeitung personenbezogener Daten sind.
Es ist mittlerweile ein offenes Geheimnis, dass Facebook sensible Daten verarbeitet. Falls das nicht durch den Facebook-Cambridge-Analytica-Skandal klar geworden ist, wird es durch die Werbung auf der Plattform deutlich genug. Menschen, die unter Rückenproblemen leiden, sehen mit größerer Wahrscheinlichkeit Werbung für Physiotherapie, Anhänger einer Religion sehen mit größerer Wahrscheinlichkeit Inhalte, die mit ihrem Glauben übereinstimmen, und so weiter. Facebook verwendet die von den Nutzern eingegebenen Informationen, um sie als Personen mit bestimmten Merkmalen zu kennzeichnen, darunter auch recht sensible und aufschlussreiche (und durch die Datenschutzgrundverordnung streng geschützte) Merkmale. Auf diese Weise kann Meta ein Profil eines Nutzers erstellen und die Anzeigen auf seinen Plattformen anpassen.
Es kommt noch schlimmer. Profiling auf der Grundlage sensibler Daten kann auch dann erfolgen, wenn der Nutzer dem sozialen Netzwerk keine sensiblen Informationen preisgibt. So können beispielsweise Nutzer mit vielen queeren Facebook-Freunden von den Algorithmen von Facebook als queer eingestuft werden, und die Anzeigen und Inhalte, die sie sehen, werden auf diese Annahme zugeschnitten.
Kurz gesagt: Die Monetarisierung sensibler Daten durch Facebook ist invasiv und unheimlich.
Und nach Ansicht des Bezirksgerichts Amsterdam ist sie auch rechtswidrig. Meta hat ihren Fall bezüglich sensibler Daten ziemlich deutlich verloren. Zunächst wies das Gericht die unaufrichtigen Argumente von Meta zurück, dass es keine sensiblen Daten verarbeite. Dann untersuchte es den Artikel, in dem die Regeln für die Verarbeitung sensibler Daten aufgeführt sind (Artikel 9 Absatz 2 DSGVO), und stellte - wenig überraschend - fest, dass Meta die Daten unrechtmäßig verarbeitet.
Das Gericht ging ausführlich auf die Vorschriften für die Verarbeitung sensibler Daten ein, was an sich schon interessant ist. Die rechtlichen Anforderungen an die rechtmäßige Verarbeitung gemeinsamer personenbezogener Daten und sensibler Daten sind kumulativ: Wenn ich Ihre personenbezogenen Daten nicht verarbeiten kann, kann ich auch Ihre sensiblen Daten nicht verarbeiten. Das Gericht hatte bereits festgestellt, dass personenbezogene Daten unrechtmäßig verarbeitet wurden, was bedeutet, dass auch sensible Daten unrechtmäßig verarbeitet wurden.
Richter sind vielbeschäftigte Menschen und lösen Fälle in der Regel, indem sie so wenige logische Schritte wie möglich unternehmen, um das Ergebnis zu rechtfertigen. Warum also hat sich das Gericht die Mühe gemacht und sich ausführlich mit Art. 9(2) im Detail behandelt?
Wir können es nicht mit Sicherheit wissen, aber wir können eine Vermutung anstellen. Vielleicht wollte der Gerichtshof seine Entscheidung über sensible Daten für den Fall absichern, dass seine Feststellungen zur Frage der Rechtsgrundlagen in der Berufung gekippt werden. Vielleicht wollte es eine Aussage treffen, die auch dann noch gelten würde, wenn Meta später seine Rechtsgrundlage für die Datenverarbeitung aufgrund der Geldbußen des Datenschutzbeauftragten ändern sollte(was zwei Wochen später geschah). Vielleicht wollte das Gericht aber auch einfach nur etwas Licht in Metas Umgang mit sensiblen Daten bringen, da der Datenschutzbeauftragte diese Frage in seiner Untersuchung ignoriert hatte.
In jedem Fall freuen wir uns, dass das Gericht ein umfassendes Urteil gefällt hat, das die Argumente von Meta gründlich entkräftet hat. Der Umgang mit sensiblen Daten in sozialen Netzwerken ist ein dringendes Problem für den Datenschutz. Hoffentlich wird das Urteil das Bewusstsein dafür schärfen, wie aggressiv und invasiv die Monetarisierung solcher Daten sein kann.
Facebook ist nicht umsonst
Meta wirbt damit, dass Facebook ein kostenloser Dienst ist. Das ist es aber nicht, weil der Nutzer tatsächlich mit seinen persönlichen Daten bezahlt.
Die Stiftung machte geltend, dass die Darstellung von Facebook als kostenloser Dienst eine irreführende Praxis darstellt. Das Gericht stimmte dem zu und sah darin eine unlautere Geschäftspraxis und einen Verstoß gegen die EU-Richtlinie über unlautere Geschäftspraktiken sowie deren Umsetzung in niederländisches Recht.
Dies ist keineswegs überraschend. Wie wir alle wissen, gibt es keine kostenlose Mahlzeit. Wenn die Mahlzeit kostenlos aussieht, dann sind Sie die Mahlzeit.
Das Bezahlen mit Daten ist eines der vorherrschenden Geschäftsmodelle bei Web 2.0-Diensten, und dennoch werben zahllose Unternehmen immer noch damit, dass ihre Dienste kostenlos sind, obwohl ihr Ziel die Monetarisierung persönlicher Daten ist. Es ist erfrischend zu sehen, dass ein Gericht über das Feigenblatt des kostenlosen Dienstes hinwegschaut und das Geschäftsmodell von Meta als das bezeichnet, was es ist.
Aktualisierungen
Am 5. April 2023, als Folge der Entscheidungen des EDPB und des DPC, die sich gegen die Berufung auf den Rechtsgrund des Vertrags aussprachen, wechselte Meta zur Rechtsgrundlage des berechtigten Interesses für die Bereitstellung gezielter Werbung.
noyb - die NRO, die hinter der Beschwerde stand, die zu den Entscheidungen führte - ist nicht sehr glücklich darüber, dass Meta sich auf das berechtigte Interesse beruft, und beabsichtigt, das Unternehmen erneut anzufechten. Unserer Meinung nach hat noyb gute Gründe, Metas Schritt zu kritisieren - aber das ist ein großes Fass ohne Boden und eine Geschichte für einen anderen Tag.
Schlussfolgerungen
Es sei noch einmal darauf hingewiesen, dass an der Sammelklage fast zweihunderttausend Menschen beteiligt waren. Datenschutzbeauftragte und Rechtsexperten sind nicht die Einzigen, die sich Sorgen um die digitale Privatsphäre machen und darum, wie die großen Unternehmen diese respektieren (oder eben nicht).
Vielmehr macht sich die Öffentlichkeit immer mehr Sorgen um die digitale Privatsphäre. Die Menschen erkennen, dass viele Online-Dienste im Grunde genommen datenverschlingende Maschinen sind, und dass für viele Unternehmen der Datenschutz ein nachträglicher Gedanke, wenn nicht gar eine regelrechte Farce ist.
Muss das Internet so sein? Wir glauben das nicht. Deshalb haben wir Simple Analytics entwickelt, um Unternehmen jeder Größe die Möglichkeit zu geben, nützliche Erkenntnisse auf eine 100% datenschutzkonforme Weise zu sammeln. Bei der Entwicklung von Simple Analytics stand der Datenschutz von Anfang an im Mittelpunkt. Wir verfolgen Ihre Nutzer nicht und sammeln auch keine persönlichen Daten von ihnen. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren!
#1 Die Entscheidung betrifft auch die gemeinsame Nutzung von Daten mit Drittpartnern und die Verwendung von Cookies. Die Behauptungen über Cookies wurden vom Gericht nicht bestätigt. Eine ausführlichere Beschreibung des Falls und des Urteils finden Sie in der Zusammenfassung auf gdprhub[^2]: Meta/Facebook haben sich vor Inkrafttreten der DSGVO auf verschiedene Rechtsgrundlagen berufen. Es würde ewig dauern, sie alle zu erörtern, aber letztendlich wurden sie alle vom Gericht im vorliegenden Fall für ungültig erklärt [^3]: EDPB-Leitlinien 8/2020 über die gezielte Ansprache von Nutzern sozialer Medien [^4]: Der Ausschuss wies die Datenschutzbehörde an, die Verwendung sensibler Daten durch Facebook zu untersuchen. Die Datenschutzbeauftragte ist jedoch der Ansicht, dass der Ausschuss nicht befugt ist, ihr eine Untersuchung anzuordnen, und beabsichtigt, die Anordnung vor dem Gerichtshof der EU anzufechten.