Der Europäische Datenschutzausschuss (EDPB) hat neue Leitlinien veröffentlicht, die erhebliche Auswirkungen auf Adtech-Giganten wie Meta und andere große Plattformen haben.
Seit November 2023 zwingt der Eigentümer von Facebook und Instagram Nutzer in der Europäischen Union dazu, der Nachverfolgung und Profilierung für sein Ad-Targeting-Geschäft zuzustimmen oder ihm ein monatliches Abonnement zu zahlen, um auf werbefreie Versionen der Dienste zuzugreifen. Laut dem EDSA, einem Expertengremium bestehend aus Vertretern von Datenschutzbehörden aus der gesamten EU, scheint es jedoch nicht realisierbar zu sein, dass ein Marktführer diese Art der binären „Zustimmung oder Bezahlung“-Entscheidung vorschreibt.
Die Leitlinien, die am Mittwoch bestätigt wurden, wie wir zuvor berichteten, werden bestimmen, wie Datenschutzbehörden die Datenschutz-Grundverordnung (DSGVO) der Union in einem kritischen Bereich interpretieren. Das volle Meinung Die Stellungnahme des EDSA zum sogenannten „Consent or Pay“ umfasst 42 Seiten.
Auch andere große werbefinanzierte Plattformen sollten die detaillierten Leitlinien zur Kenntnis nehmen. Aber Meta dürfte als Erster die daraus resultierenden regulatorischen Auswirkungen auf sein überwachungsbasiertes Geschäftsmodell spüren.
„Der EDSA weist darauf hin, dass wahrscheinlich negative Folgen auftreten, wenn große Online-Plattformen ein ‚Einwilligungs-oder-Zahlungs‘-Modell nutzen, um die Einwilligung zur Verarbeitung einzuholen“, meint der Ausschuss und unterstreicht das Risiko eines „Machtungleichgewichts“ zwischen dem Einzelnen und dem Einzelnen Datenverantwortlicher, beispielsweise in Fällen, in denen „eine Einzelperson auf den Dienst und die Hauptzielgruppe des Dienstes angewiesen ist“.
In einem Pressemitteilung Begleitend zur Veröffentlichung der Stellungnahme betonte die Vorsitzende des Ausschusses, Anu Talu, auch die Notwendigkeit, dass Plattformen den Nutzern eine „echte Wahl“ über ihre Privatsphäre bieten.
„Online-Plattformen sollten den Nutzern eine echte Wahl bieten, wenn sie „Einwilligungs- oder Bezahlungsmodelle“ anwenden“, schrieb Talu. „Die Modelle, die wir heute haben, erfordern normalerweise, dass Einzelpersonen entweder alle ihre Daten preisgeben oder dafür bezahlen. Infolgedessen stimmen die meisten Nutzer der Verarbeitung zu, um einen Dienst zu nutzen, und sie verstehen nicht die vollen Auswirkungen ihrer Entscheidungen.“
„Verantwortliche sollten stets darauf achten, dass das Grundrecht auf Datenschutz nicht zu einer Funktion wird, für deren Inanspruchnahme der Einzelne zahlen muss.“ Einzelpersonen sollten sich des Werts und der Konsequenzen ihrer Entscheidungen voll bewusst sein“, fügte sie hinzu.
In einer Zusammenfassung seiner Stellungnahme schreibt der EDSA in der Pressemitteilung, dass es „in den meisten Fällen“ für „große Online-Plattformen“, die Einwilligungs- oder Bezahlmodelle implementieren, „nicht möglich“ sein wird, die Anforderung der DSGVO an eine „gültige Einwilligung“ einzuhalten. – wenn sie „Benutzer nur vor die Wahl stellen, ob sie der Verarbeitung personenbezogener Daten für verhaltensbezogene Werbezwecke zustimmen oder eine Gebühr zahlen“ (d. h. wie es bei Meta derzeit der Fall ist).
In der Stellungnahme werden große Plattformen, ohne Anspruch auf Vollständigkeit, als Einheiten definiert, die nach dem Digital Services Act der EU als sehr große Online-Plattformen oder nach dem Digital Markets Act (DMA) als Gatekeeper eingestuft sind – wiederum wie Meta (Facebook und Instagram unterliegen beiden Gesetzen). .
„Der EDSA ist der Ansicht, dass das Anbieten nur einer kostenpflichtigen Alternative zu Diensten, die die Verarbeitung personenbezogener Daten zu Zwecken der verhaltensbezogenen Werbung beinhalten, nicht der Standardweg für die Verarbeitung sein sollte“, fährt der Ausschuss fort. „Bei der Entwicklung von Alternativen sollten große Online-Plattformen darüber nachdenken, Einzelpersonen eine ‚gleichwertige Alternative‘ anzubieten, für die keine Gebühr zu zahlen ist.“
„Wenn sich Verantwortliche dafür entscheiden, eine Gebühr für den Zugang zur „gleichwertigen Alternative“ zu erheben, sollten sie ernsthaft darüber nachdenken, eine zusätzliche Alternative anzubieten. Diese kostenlose Alternative sollte ohne verhaltensbasierte Werbung auskommen, z. B. mit einer Werbeform, bei der weniger oder keine personenbezogenen Daten verarbeitet werden. Dies ist ein besonders wichtiger Faktor bei der Beurteilung einer gültigen Einwilligung nach der DSGVO.“
Der EDSA betont, dass andere Grundprinzipien der DSGVO – wie Zweckbindung, Datenminimierung und Fairness – weiterhin für Einwilligungsmechanismen gelten, und fügt hinzu: „Darüber hinaus sollten große Online-Plattformen auch die Einhaltung der Grundsätze der Notwendigkeit und der Notwendigkeit berücksichtigen.“ Verhältnismäßigkeit und sie sind dafür verantwortlich nachzuweisen, dass ihre Verarbeitung grundsätzlich im Einklang mit der DSGVO steht.“
Angesichts der Ausführlichkeit der Stellungnahme des EDSA zu diesem umstrittenen und heiklen Thema – und der Vermutung, dass zahlreiche Einzelfallanalysen erforderlich sein werden, um Compliance-Bewertungen vorzunehmen – ist Meta möglicherweise zuversichtlich, dass sich kurzfristig nichts ändern wird. Es ist klar, dass die EU-Regulierungsbehörden einige Zeit brauchen werden, um die Empfehlungen des Gremiums zu analysieren, aufzunehmen und entsprechend zu handeln.
Meta-Sprecher Matthew Pollard, der um einen Kommentar gebeten wurde, schickte per E-Mail eine kurze Erklärung, in der er die Leitlinien herunterspielte: „Letztes Jahr hat der Gerichtshof der Europäischen Union entschieden [CJEU] entschied, dass das Abonnementmodell eine rechtsgültige Möglichkeit für Unternehmen sei, die Zustimmung der Menschen für personalisierte Werbung einzuholen. Die heutige Stellungnahme des EDSA ändert nichts an diesem Urteil und das Abonnement ohne Werbung steht im Einklang mit den EU-Gesetzen.“
Die irische Datenschutzkommission, die die Einhaltung der DSGVO durch Meta überwacht und seit letztem Jahr ihr Einwilligungsmodell überprüft, lehnte es ab, sich dazu zu äußern, ob sie angesichts der Leitlinien des EDSA Maßnahmen ergreifen wird, da der Fall noch nicht abgeschlossen sei.
Seit Meta letztes Jahr das Angebot „Abonnement ohne Werbung“ eingeführt hat, behauptet das Unternehmen weiterhin, dass es alle relevanten EU-Vorschriften einhalte – und greift damit auf eine Linie im Urteil des obersten Gerichts der EU vom Juli 2023 zurück, in der die Richter dies nicht ausdrücklich ausschlossen Die Möglichkeit, eine Gebühr für eine Alternative ohne Nachverfolgung zu erheben, wurde stattdessen festgelegt, dass eine solche Zahlung „notwendig“ und „angemessen“ sein muss.
In seiner Stellungnahme zu diesem Aspekt der Entscheidung des EuGH stellt das Gremium fest – im krassen Gegensatz zu Metas wiederholten Behauptungen, der EuGH habe sein Abonnementmodell im Wesentlichen im Voraus genehmigt –, dass dies „nicht von zentraler Bedeutung für die Entscheidung des Gerichts“ sei.
Gleichzeitig lehnt die Stellungnahme des Gremiums große Plattformen nicht gänzlich ab Wahrscheinlichkeit Es gibt keine Möglichkeit, für eine Alternative ohne Tracking Gebühren zu verlangen – daher sind Meta und seine durch Tracking-Werbung finanzierten Konkurrentinnen möglicherweise zuversichtlich, dass sie in einer 42-seitigen detaillierten Diskussion über die sich überschneidenden Anforderungen des Datenschutzrechts etwas Unterstützung finden können. (Oder zumindest, dass diese Intervention die Aufsichtsbehörden damit beschäftigen wird, sich über die Komplexität der Einzelfälle klar zu werden.)
Die Leitlinien ermutigen Plattformen jedoch insbesondere dazu, kostenlose Alternativen zu Tracking-Anzeigen anzubieten, einschließlich datenschutzsicherer werbefinanzierter Angebote.
Der EDSA nennt Beispiele für kontextbezogene, „allgemeine Werbung“ oder „Werbung basierend auf Themen, die die betroffene Person aus einer Liste von Interessenthemen ausgewählt hat“. (Und es ist auch erwähnenswert, dass die Europäische Kommission im Rahmen ihrer Aufsicht über die Einhaltung des DMA durch den Technologieriesen auch vorgeschlagen hat, kontextbezogene Anzeigen zu verwenden, anstatt Benutzer zu zwingen, der Verfolgung von Anzeigen zuzustimmen.)
„Während es für große Online-Plattformen keine Verpflichtung gibt, Dienste stets kostenlos anzubieten, erhöht die Bereitstellung dieser weiteren Alternative für die betroffenen Personen ihre Wahlfreiheit“, führt der Vorstand weiter aus und fügt hinzu: „Dies erleichtert den Verantwortlichen den Nachweis.“ diese Einwilligung wird freiwillig gegeben.“
Auch wenn das, was der Vorstand heute veröffentlicht hat, eher diskursive Nuancen aufweist als sofortige Klarheit zu einem zentralen Thema, ist der Eingriff wichtig und dürfte es für Mainstream-Adtech-Giganten wie Meta schwieriger machen, falsche binäre Privatsphäre darzustellen und zu operieren. feindliche Entscheidungen auf lange Sicht.
Mit diesen Leitlinien sind die EU-Datenschutzbehörden ausgestattet sollen Ich werde mich fragen, warum solche Plattformen nicht weitaus weniger datenschutzfeindliche Alternativen anbieten – und diese Frage stellen, wenn nicht buchstäblich heute, dann sehr, sehr bald.
Für einen Technologieriesen, der so dominant und gut ausgestattet ist wie Meta, ist es schwer vorstellbar, wie er der Beantwortung dieser Frage lange ausweichen kann. Allerdings wird es sicherlich an seinem gewohnten DSGVO-Prinzip festhalten, die Dinge so lange wie möglich in die Länge zu ziehen und jede endgültige Entscheidung, die es kann, anzufechten.
Gemeinnützige Organisation für Datenschutzrechte noyb, das in den letzten Jahren an vorderster Front bei der Bekämpfung der schleichenden Einwilligungs- oder Lohntaktiken in der Region stand, argumentiert, dass die Stellungnahme des EDSA klar macht, dass Meta sich nicht mehr auf den „Pay or Okay“-Trick verlassen kann. Sein Gründer und Vorsitzender Max Schrems sagte jedoch gegenüber Tech, er sei besorgt, dass der Vorstand diesen spaltenden Mechanismus der erzwungenen Zustimmung nicht weit genug aufgespießt habe.
„Der EDSA erinnert an alle relevanten Elemente, bringt aber nicht eindeutig die offensichtliche Konsequenz zum Ausdruck, nämlich dass ‚Pay or Okay‘ nicht legal ist“, sagte er uns. „Es nennt alle Elemente, warum es für Meta illegal ist, aber es gibt Tausende anderer Seiten, auf die es noch keine Antwort gibt.“
Als ob 42 Seiten Leitlinien zu diesem heiklen Thema nicht schon genug wären, hat der Vorstand noch mehr in Arbeit: Talus sagt, dass er beabsichtige, Leitlinien zu Einwilligungs- oder Vergütungsmodellen „mit einem breiteren Anwendungsbereich“ zu entwickeln, und fügt hinzu, dass dies der Fall sein wird „Mit Interessenvertretern über diese bevorstehenden Leitlinien zusammenarbeiten“.
Europäische Nachrichtenverleger waren die ersten, die die umstrittene Einwilligungstaktik anwendeten, sodass die bevorstehende „breitere“ Meinung des EDPB von den Akteuren der Medienbranche wahrscheinlich aufmerksam verfolgt wird.