Der Versuch des Adtech-Riesen Meta, trotz der umfassenden Datenschutzgesetze des Blocks weiterhin Facebook- und Instagram-Nutzer in Europa zu verfolgen und zu profilieren, steht vor einer zweiten Herausforderung seitens der Interessenvertretung für Datenschutzrechte noyb. Es unterstützt eine neue Beschwerde, die bei der österreichischen Datenschutzbehörde eingereicht wird und in der behauptet wird, dass das Unternehmen gegen EU-Recht verstößt, indem es eine Entscheidung trifft, die es den Nutzern weitaus schwerer macht, die Einwilligung zu seinen Tracking-Anzeigen zu widerrufen als zuzustimmen.
Denken Sie zurück an das letzte Jahr und Sie werden sich an einige wichtige Datenschutzentscheidungen gegen Meta (im Januar und Juli) erinnern, mit denen die Rechtsgrundlagen ungültig gemacht wurden, die das Unternehmen zuvor für die Verarbeitung der Daten von Europäern für die Anzeigenausrichtung geltend gemacht hatte – nach buchstäblich Jahren des Datenschutzrechts Beschwerden.
Was dann im vergangenen Herbst folgte, war die Behauptung von Meta, dass man bei der Nachverfolgung auf eine Einwilligungsbasis umstellen werde. Die darin getroffene Entscheidung erfordert jedoch, dass Benutzer, die nicht verfolgt und profiliert werden möchten, monatliche Abonnements bezahlen müssen, um auf werbefreie Versionen seiner Produkte zuzugreifen. Facebook- und Instagram-Nutzer, die weiterhin kostenlosen Zugang zu den Diensten erhalten möchten, müssen der Nachverfolgung zustimmen – was laut Meta eine gültige Einwilligung gemäß der Datenschutz-Grundverordnung (DSGVO) des Blocks ist. Aber natürlich sind Noyb und die von ihm unterstützten Beschwerdeführer anderer Meinung.
Die frühere Beschwerde von noyb gegen Metas Einwilligungsversion, die letzten November bei der österreichischen Datenschutzbehörde eingereicht wurde, konzentrierte sich darauf, wie viel Meta den Benutzern berechnet, damit sie nicht getrackt werden – anfängliche Kosten von 9,99 €/Monat im Web oder 12,99 €/Monat auf Mobilgeräten pro Link In dieser zweiten Beschwerde geht es darum, wie einfach (oder besser gesagt nicht einfach) Meta es für Benutzer macht, ihre Einwilligung zum Tracking im Rahmen der Vereinbarung zu widerrufen.
Der Widerruf der Einwilligung in dem von Meta entwickelten Szenario erfordert, dass Benutzer ein monatliches Abonnement abschließen. Dem Tracking zuzustimmen ist hingegen ein Kinderspiel: Der Benutzer muss lediglich auf „Okay“ klicken. Das rechtliche Problem besteht hier darin, dass die DSGVO verlangt, dass die Einwilligung ebenso einfach widerrufen wie erteilt werden kann. Die Folgebeschwerde von noyb zielt also auf die inhärente Reibung ab, die damit verbunden ist, dass Meta den Nutzern Geld in Rechnung stellt, um ihre Privatsphäre zu schützen.
„Sobald Nutzer dem Tracking zugestimmt haben, gibt es keine einfache Möglichkeit, es zu einem späteren Zeitpunkt zu widerrufen“, heißt es in einer Pressemitteilung. „Das ist illegal. Obwohl in Artikel 7 der DSGVO eindeutig festgelegt ist, dass „der Widerruf genauso einfach sein muss wie die Erteilung der Einwilligung“, besteht die einzige Möglichkeit, die Einwilligung (mit einem Klick) zu „widerrufen“, im Kauf eines Abonnements im Wert von 251,88 €. Zudem musste der Beschwerdeführer durch mehrere Fenster und Banner navigieren, um die Seite zu finden, auf der er die Einwilligung tatsächlich widerrufen konnte.“
Massimiliano Gelmi, Datenschutzanwalt bei noyb, hinzugefügt: „Das Gesetz ist klar, der Widerruf der Einwilligung muss so einfach sein wie die Erteilung der Einwilligung.“ Es ist schmerzlich offensichtlich, dass die Zahlung von 251,88 € pro Jahr für den Widerruf der Einwilligung nicht so einfach ist wie das Klicken auf die Schaltfläche „Okay“, um die Nachverfolgung zu akzeptieren.“
Die Strafen für bestätigte Verstöße gegen die DSGVO können bis zu 4 % des weltweiten Jahresumsatzes betragen – aber Meta, das im Jahr 2022 116,61 Mrd Dies würde letztendlich dazu führen, dass es den Nutzern tatsächlich die freie Wahl bietet, sein Tracking zu verweigern, was sein regionales Tracking-Ads-Geschäft zum Erliegen bringen könnte. Letztes Jahr gab das Unternehmen an, dass etwa 10 % seiner weltweiten Werbeeinnahmen von Nutzern in der EU stammen.
Ein FAQ, die letzten Monat von der österreichischen Datenschutzbehörde veröffentlicht wurde, zum Thema Cookies und Datenschutz, diskutiert die umstrittene Frage „Pay or Okay“, wie die Erhebung von Einwilligungen manchmal auch genannt wird. Darin schreibt die DPA [in German; English translations here are generated with AI] dass für den Zugriff auf eine Website bezahlt wird“dürfen stellen eine Alternative zur Einwilligung dar“ – betonen Sie „es“ – es heißt jedoch, dass dies unter der Voraussetzung erfolgt, dass die DSGVO vollständig eingehalten wird, einschließlich der spezifischen (dh nicht gebündelten) Einwilligung; dass das Unternehmen keine Monopol- oder „Quasi-Monopolstellung“ auf dem Markt hat; und der Preis für die Zahlungsalternative „angemessen und fair“ ist und nicht „pro forma zu einem völlig unrealistisch hohen Preis“ angeboten wird„, wie es heißt.
Allerdings weist die DPA auch darauf hin, dass es noch keine Rechtsprechung des obersten Gerichts der Europäischen Union zum Thema „Pay or Okay“ gibt – daher weist sie darauf hin, dass die FAQ ihre „aktuelle Sichtweise“ widerspiegeln. Und viele Datenschutzexperten gehen davon aus, dass die Angelegenheit letztendlich durch eine Vorlage an den EuGH geklärt werden muss.
In der Zwischenzeit werden DSGVO-Beschwerden, die gegen Meta bei EU-Datenschutzbehörden eingereicht werden, in der Regel an die irische Datenschutzkommission (DPC) zurückverwiesen, die im Rahmen des One-Stop-Shop-Mechanismus (OSS) der Verordnung der führende Datenaufseher des Unternehmens ist. Das bedeutet, dass noybs Beschwerden gegen Metas „Pay or okay“-Taktik früher oder später wahrscheinlich auf einem Schreibtisch in Dublin landen werden. Tatsächlich hat die irische Regulierungsbehörde behauptet, dass sie den Ansatz von Meta prüfe, seit das Unternehmen die Idee letzten Sommer auf den Markt gebracht habe.
Wenn das DPC seine Überprüfung des Einwilligungsansatzes von Meta auf die Grundlage einer formellen Untersuchung verlagert, könnte es immer noch mehrere Jahre dauern, bis eine endgültige behördliche Entscheidung über die Taktik getroffen wird – wie es bei einer anderen Noyb-Beschwerde gegen die Rechtsgrundlage von Meta für Anzeigen der Fall war; Der Antrag wurde bereits im Mai 2018 eingereicht, aber erst im Januar 2023 entschieden (eine Entscheidung, gegen die Meta in Irland nun Berufung einlegt).
In diesem Fall handelte es sich bei der Entscheidung, die letztendlich aus Irland kam, tatsächlich um die Entscheidung des DPC, die auf Anweisung des Europäischen Datenschutzausschusses (EDPB) handelte, der eingreifen musste, um Meinungsverschiedenheiten zwischen EU-Regulierungsbehörden beizulegen. Ein schnelles Durchgreifen der Datenschutzbehörden gegen Metas Missbrauch der Einwilligung erscheint daher unwahrscheinlich – es sei denn, andere Datenschutzbehörden beschließen, die Angelegenheit selbst in die Hand zu nehmen.
Auf dem Papier können sie dies tun. Obwohl es in der DSGVO den OSS-Mechanismus gibt, der dazu führen kann, dass eine federführende Behörde für die Bearbeitung von Beschwerden im Zusammenhang mit der grenzüberschreitenden Verarbeitung ernannt wird, enthält die Verordnung Notfallbefugnisse, die es anderen Datenschutzbehörden ermöglichen, Maßnahmen zur Minderung von Datenrisiken in ihren eigenen Märkten zu ergreifen um lokale Benutzer zu schützen. Sie können auch etwaige einstweilige Maßnahmen, die sie vor Ort verhängen, weiterverfolgen, indem sie den EDSA bitten, ihre vorübergehende Maßnahme dauerhaft und EU-weit zu machen – wie ist letztes Jahr passiert als die norwegische Datenschutzbehörde beim EDSA eine Petition zur Rechtsgrundlage von Meta für Anzeigen einreichte. Allerdings hatte Meta zu diesem Zeitpunkt seine angebliche Grundlage bereits auf die Einwilligung verlagert, was bedeutete, dass es den regulatorischen Eingriff gerade noch umgehen konnte. (Was nur zeigt, dass eine verspätete Durchsetzung eine verweigerte Durchsetzung bedeutet.)
„Der [Austrian] „Die Behörde sollte Meta anweisen, ihre Verarbeitungsvorgänge in Übereinstimmung mit dem europäischen Datenschutzrecht zu bringen und den Nutzern eine einfache Möglichkeit zu bieten, ihre Einwilligung zu widerrufen – ohne eine Gebühr zahlen zu müssen“, schreibt noyb und fordert die Verhängung einer Geldbuße, „um weiteres zu verhindern.“ Verstöße gegen die DSGVO“.
noyb beantragt außerdem bei der österreichischen Datenschutzbehörde die Einleitung eines Dringlichkeitsverfahrens und verweist dabei auf die jüngste Rechtsprechung des EuGH, die seiner Ansicht nach darauf hindeutet, dass der Ermessensspielraum der Datenschutzbehörden bei der Entscheidung, ob ein Dringlichkeitsverfahren eingeleitet werden soll oder nicht, durch „ihre Pflicht, einen wirksamen Datenschutz zu gewährleisten“, eingeschränkt wird Rechte“. „Daher hat die betroffene Person in bestimmten Situationen (wie unserer) ein Recht auf ein Dringlichkeitsverfahren“, schlug ein Noyb-Sprecher vor.
Sie sagten jedoch, die österreichische Behörde habe sich bisher der Aufforderung widersetzt, Sofortmaßnahmen zu ergreifen. „Die österreichische Datenschutzbehörde hat uns gerade mitgeteilt, dass sie die Beschwerde erhalten hat, dass kein Anspruch auf ein Dringlichkeitsverfahren besteht und dass möglicherweise eine andere Datenschutzbehörde die federführende Aufsichtsbehörde sein könnte. Aber soweit ich weiß, wurde die Beschwerde noch nicht offiziell an die DPC weitergeleitet“, fügte der Sprecher von noyb hinzu.
Während all diese verschlungenen regulatorischen Wendungen stattgefunden haben, ist das Ergebnis für Facebook- und Instagram-Nutzer in Europa, dass ihre Privatsphäre weiterhin der Gnade von Mark Zuckerberg ausgeliefert ist – es sei denn oder bis sie die Nutzung seiner dominanten sozialen Netzwerke gänzlich aufgeben – seitdem, parallel zu all diesen Nach jahrelanger Prüfung und Sanktionierung der Privatsphäre konnte der Adtech-Riese die ganze Zeit über von den persönlichen Daten der Europäer profitieren; Obwohl die Rechtsgrundlagen angefochten oder mehrere Monate lang sogar für ungültig erklärt wurden (wie es in den Monaten zwischen dem Ausschluss des Anspruchs auf (zuerst) vertragliche Notwendigkeit (und dann auf berechtigte Interessen) und dem Meta-Switching der Fall war, wurden sie für Werbezwecke verarbeitet zu Alternativen (früher letztes Jahr berechtigte Interessen; jetzt Einwilligung)).
Dennoch sehen wir weitere Versuche, gegen Meta in Bezug auf den Datenschutz vorzugehen – wie zum Beispiel die Wettbewerbsschadensersatzklage in Höhe von 600 Millionen US-Dollar, die letztes Jahr von Verlagen in Spanien eingereicht wurde, die das Fehlen einer Rechtsgrundlage für das Microtargeting von Benutzersummen auf unlauteren Wettbewerb anführen, für die sie entschädigt werden sollten – Dem Adtech-Riesen droht also eine Rechnung in Form von steigenden Kosten für ältere Datenschutzverstöße sowie der Aussicht auf künftige Sanktionen aufgrund neuer Datenschutzbeschwerden, wenn diese zu Verstößen führen.
Es ist anzumerken, dass die DSGVO nur eine begrenzte Anzahl von Rechtsgrundlagen (sechs) für die Verarbeitung personenbezogener Daten hat. Einige sind für einen Adtech-Riesen wie Meta einfach irrelevant, während andere von den Regulierungsbehörden und dem EuGH ausgeschlossen wurden. Daher haben sich die Möglichkeiten zur Verfolgung und Profilierung von Nutzern für Anzeigen auf eine einzige Möglichkeit beschränkt: Einwilligung. Die Art und Weise, wie Meta diese Wahl formuliert, ist der Punkt, an dem sich die Datenschutzmaßnahmen jetzt befinden.