Im jüngsten Schlag gegen Metas verhaltensbasiertes Ad-Targeting-Geschäft ohne Einwilligung in Europa hat ein niederländisches Gericht festgestellt, dass die irische Tochtergesellschaft des Social-Media-Giganten keine rechtliche Grundlage hatte, um die Daten lokaler Benutzer für Ad-Targeting zu verarbeiten.
Niederländische Interessenvertretung für den Datenschutz, die Stiftung Datenschutz (DPS), zusammen mit einer lokalen gemeinnützigen Verbraucherschutzorganisation, Verbraucherbürgschaftreichte bereits 2019 Klage gegen das früher als Facebook bekannte Unternehmen ein – mit der Begründung, dass der soziale Netzwerkdienst gegen die EU-Datenschutzvorschriften verstoßen habe, indem er es versäumt habe, die Erlaubnis der Nutzer einzuholen, ihre Daten für die Anzeigenausrichtung zu verarbeiten und Lokal drängen Nutzer können sich der Klage anschließen, um eine kollektive Wiedergutmachung für Datenschutzverletzungen von Facebook in Form von Entschädigungen zu erreichen.
Facebook kämpfte darum, die Klage aus Verfahrensgründen zu blockieren. Aber im Juli 2021 entschied das Amsterdamer Bezirksgericht, dass es fortfahren könne, und die Anhörung fand später in diesem Jahr statt. Und in einem Urteil Das heute erlassene Gericht hat festgestellt, dass Facebook Irland gegen das Datenschutzgesetz verstoßen hat, als es die personenbezogenen Daten niederländischer Facebook-Nutzer für Werbezwecke ohne eine ordnungsgemäße Rechtsgrundlage (z. B. Einwilligung) verarbeitet hat – zwischen dem 1. April 2010 und dem 1 im Zusammenhang mit einer Änderung der lokalen Rechtsordnung für diese Art von Rechtsstreitigkeiten; nicht mit Änderungen in der Art und Weise, wie Meta die Daten von Personen verarbeitet).
Darüber hinaus stellte das Gericht fest, dass das Unternehmen die Benutzer nicht ordnungsgemäß informiert hatte oder keine gültige Rechtsgrundlage für die Weitergabe ihrer Informationen an Dritte hatte.
„Facebook Ireland verarbeitet personenbezogene Daten zu Werbezwecken ohne eine rechtsgültige Grundlage – wie etwa eine Einwilligung – dafür“, schreibt das Gericht in a Pressemitteilung [which we’ve translated from Dutch with machine translation]. „Auch für die Verarbeitung besonderer Kategorien personenbezogener Daten zu Werbezwecken, etwa Angaben zu sexuellen Vorlieben oder Religion, fehlte eine rechtsgültige Grundlage. Dies betraf sowohl personenbezogene Daten, die von den Nutzern selbst bereitgestellt wurden, als auch personenbezogene Daten besonderer Kategorie, die von Facebook Ireland durch die Verfolgung des Surfverhaltens von Facebook-Nutzern außerhalb des Facebook-Dienstes erhalten wurden.
„Darüber hinaus hat Facebook Ireland die Facebook-Nutzer nicht angemessen über die Weitergabe ihrer personenbezogenen Daten an eine Reihe von Dritten informiert. Dabei wurden nicht nur personenbezogene Daten der Facebook-Nutzer selbst geteilt, sondern auch personenbezogene Daten ihrer Facebook-Freunde.“
Das Gericht stellte auch fest, dass die Maßnahmen von Facebook eine unlautere Geschäftspraxis darstellten – und sagte, das Unternehmen habe die Benutzer unzureichend über die kommerzielle Nutzung ihrer Daten informiert (was es als irreführend bezeichnete), schrieb es in dem Urteil [which, again, we’ve translated into English] dass: „Der Durchschnittsverbraucher war nicht in der Lage, eine gut informierte Entscheidung über die Teilnahme am Facebook-Dienst zu treffen.“
Das Gericht stimmte den Beschwerdeführern in einer sekundären Argumentationslinie nicht zu – in Bezug auf die Rechtmäßigkeit der Erhebung von Daten über Tracking-Cookies von Drittanbietern. Hier akzeptierten die Richter das Argument von Facebook, dass die Verantwortung für das Einholen der Zustimmung für diese Art des Trackings beim Betreiber/Administrator der jeweiligen Website liegt, der die von Facebook Ireland bereitgestellte Software installiert. (Obwohl dieser Aspekt der Überwachungswerbung in der EU ebenfalls unter einer legalen Cloud steht.)
Aber die Kernaussage, dass es keine rechtliche Grundlage für sein Verhaltens-Targeting gibt, ist eine große Sache.
Meta wurde für einen Kommentar kontaktiert, hatte aber zum Zeitpunkt des Schreibens noch nicht geantwortet. Aktualisieren: Das Unternehmen hat nun geantwortet und bestätigt, dass es Berufung einlegen wird – siehe unten für seine Erklärung.
Ein Sprecher der Consumentenbond sagte uns, dass es erfreut über das Urteil sei – und nannte es „bahnbrechend“. „Wir sind sehr zufrieden mit dem Urteil. Auf Facebook urteilt das Gericht hart. Und das Gericht sagte, dass Facebook die Daten all dieser Millionen von Nutzern in den Niederlanden nicht für Werbezwecke hätte verwenden sollen“, sagte er.
Der Sprecher sagte, dass die Zahl der von Metas Gesetzesbruch betroffenen niederländischen Benutzer etwa 10 Millionen beträgt (oder mehr als die Hälfte der etwa 17 Millionen Menschen, die im Land leben). In der Anfangsphase des Rechtsstreits gab er an, rund 190.000 Anmeldungen gehabt zu haben – aber jeder, der im relevanten Zeitraum ein Facebook-Konto hatte, kann immer noch beitreten, sodass die Zahl erheblich steigen könnte, wenn sich mehr der betroffenen Benutzer für die Aktion anmelden . (Der Beschwerde-Website hat ein Formular, mit dem Benutzer sich registrieren können, um sich dem Entschädigungsanspruch anzuschließen.)
„Es ist ein bahnbrechendes Urteil, das ein sehr starkes Signal sendet – nicht nur an Facebook selbst, sondern auch an andere Technologieunternehmen, die gegen Datenschutzgesetze verstoßen. Und es heißt, dass Verstöße nicht ungestraft bleiben. Das ist also eine sehr starke Botschaft“, fügte er hinzu und beschrieb auch die zusätzliche Feststellung des Gerichts, dass Facebook Verbraucher irregeführt habe, indem es wichtige Informationen zurückgehalten habe, als einen weiteren „sehr, sehr großen Gewinn“.
Während das heutige Urteil des Amsterdamer Gerichts eine sogenannte „Erklärung von Rechten“ ist – im Wesentlichen forderten die Prozessparteien das Gericht auf, ein Urteil darüber abzugeben, ob Facebook gegen das Gesetz verstoßen hat –, reichten sie die Klage mit der Absicht ein, von Meta eine Entschädigung für die Verletzung der Rechte von Menschen zu erhalten Privatsphäre. Jetzt haben sie also die Erklärung, dass sie sich darauf konzentrieren werden, Facebook zum Husten zu bringen.
Entweder durch Zustimmung zu einem Entschädigungsvergleich – oder durch weitere Rechtsstreitigkeiten vor Gericht.
In einer Stellungnahme zum Urteil sagte Dick Bouma, Vorsitzender der DPS:
Mit diesem Urteil können Verbraucher endlich eine Entschädigung für die jahrelangen Datenschutzverletzungen von Facebook erhalten. Es liegt nun an Facebook, dies bereitzustellen. Dazu wollen wir gemeinsam mit Consumentenbond mit dem Unternehmen sprechen.
Das bedeutet, dass noch nicht klar ist, wie viel (oder überhaupt wann) Meta für diese neueste Feststellung einer Datenschutzverletzung bezahlen muss.
Das Verfahren im Stil einer Sammelklage wird von einer US-amerikanischen Anwaltskanzlei finanziert, Lieff Cabraser Heimann & Bernstein, LLPauf einer „no win, no fee“-Basis – die es den gemeinnützigen Gruppen ermöglicht, im Namen der betroffenen Facebook-Nutzer Schadensersatz zu verlangen.
Der Kern des Falls der Gruppen ist eine sehr lange bestehende Beschwerde nach EU-Recht – manchmal als „erzwungene Zustimmung“ bezeichnet – die schließlich Anfang des Jahres zur Durchsetzung durch Metas führende Datenschutzbehörde in der EU führte. Darunter einige schlagzeilenträchtige Bußgelder.
Jedoch Der Technologieriese legt Berufung gegen die Anordnungen ein, die im Januar von der irischen Datenschutzkommission erlassen wurden – und hat seine Arbeitsweise in der Region immer noch nicht geändert, obwohl die Datenschutzbehörden des Blocks zu dem Schluss gekommen sind, dass die Verarbeitung von Ad-Targeting rechtswidrig ist. Also – vorerst – ist es immer noch gesetzeswidriges Tracking und Profiling, wie es von Facebook in der EU üblich ist.
Aber mit – von heute an – einem Gerichtsurteil, das auch Metas Anzeigenverarbeitung für rechtswidrig befunden hat, verheißt es nichts Gutes für seine Berufung gegen den Inhalt der Anordnung des DPC.
Das niederländische Urteil wird wahrscheinlich auch zu weiteren regionalen Datenschutzstreitigkeiten über Metas zustimmungsloses Tracking führen.
Auch in den Niederlanden sind weitere rechtliche Schritte im Gange: Die DPS-Konsumentenbindung Beschwerde hebt ein weiteres (andauerndes) rechtliches Problem für Facebook in der EU hervor – im Zusammenhang mit der Tatsache, dass Meta weiterhin Bürgerdaten in die USA exportiert – ein Ort, an dem das höchste Gericht des Blocks zuvor entschieden hat, dass er möglicherweise durch Regierungsspionage gefährdet ist.
Eine endgültige Entscheidung über die Aussetzung der EU-US-Datenübermittlungen von Meta steht ebenfalls noch aus der irischen DPC. Aber die Consumentenbond wartet nicht – und sein Sprecher sagte uns, dass es bald eine neue Klage einreichen wird, die sich auf dieses Problem konzentriert – und auch eine Entschädigung für Datenschutzverletzungen fordert.
„Wir möchten auch, dass die Leute sich unserer Forderung anschließen und sich uns anschließen – und wir werden für sie eine Entschädigung für die Datenübertragung in die Vereinigten Staaten erhalten“, fügte er hinzu.
Eines scheint also klar: Die Rechnungen für die lange Geschichte der Datenschutzfeindlichkeit von Facebook werden weiter landen.
Aktualisieren: Ein Sprecher von Meta hat nun diese Erklärung übermittelt:
Wir freuen uns, dass das Gericht für mehrere dieser historischen Klagen zugunsten von Meta entschieden hat, von denen einige vor über einem Jahrzehnt erhoben wurden. Wir beabsichtigen, gegen andere Aspekte dieses Falls Berufung einzulegen. Wir wissen, dass Datenschutz für unsere niederländischen Benutzer wichtig ist, und wir möchten, dass sie die Kontrolle darüber haben, wie ihre Daten verwendet werden. Aus diesem Grund haben wir Tools wie Privacy Check-up und Privacy Basics entwickelt, in denen wir erklären, welche Daten sie geteilt haben und welche Einstellungen sie verwenden können, um sie zu kontrollieren.