Elon Musk sollte eine kürzlich verhängte hohe Datenschutzstrafe für Meta zur Kenntnis nehmen, bevor er einen Plan vorantreibt, Twitter-Nutzern in der Europäischen Union verhaltensbasierte Werbung aufzuzwingen.
Nämlich: In Bemerkungen heutenach der Veröffentlichung von zwei endgültigen Entscheidungen gegen Meta durch EU-Datenschutzbehörden, die die EU-Datenschutz-Grundverordnung (DSGVO) an Facebook und Instagram – Entscheidungen, die Geldbußen in Höhe von insgesamt rund 410 Millionen US-Dollar beinhalten (immer noch mit einer dritten Entscheidung gegen WhatsApp, die in Kürze fällig ist), zusammen mit Anordnungen, die rechtswidrige Datenverarbeitung innerhalb von drei Monaten zu korrigieren – tDer Europäische Datenschutzausschuss (EPBD) hat eine klare Warnung an andere Unternehmen herausgegeben, die versuchen, die EU-Datenschutzvorschriften zu ignorieren, indem sie den Nutzern keine Wahl lassen, ob sie für verhaltensbezogene Werbung verfolgt werden.
„Die bindenden Entscheidungen des EDPB stellen klar, dass Meta personenbezogene Daten unrechtmäßig für verhaltensbasierte Werbung verarbeitet hat. Eine solche Werbung ist für die Erfüllung eines angeblichen Vertrags mit Facebook- und Instagram-Nutzern nicht erforderlich. Diese Entscheidungen können auch wichtige Auswirkungen auf andere Plattformen haben, deren Geschäftsmodell verhaltensbasierte Werbung im Mittelpunkt hat“, sagte die Vorsitzende des EDPB, Andrea Jelinek, in einer Erklärung.
Der Vorstand bezeichnete auch die Beziehung zwischen Meta und seinen Nutzern als „unausgewogen“ und verwies auf „schwerwiegende Verstöße“ gegen Transparenzverpflichtungen, von denen er sagte, dass sie „die vernünftigen Erwartungen der Nutzer beeinträchtigt“ hätten, und kritisierte den Technologieriesen dafür, dass er seine Dienste den Nutzern präsentiert. in irreführender Weise“ – was dazu führte, dass der EDPB auch einen Verstoß gegen das Fairness-Prinzip der DSGVO sowie Transparenzmängel feststellte.
Die Aufsichtsbehörde überwacht die Anwendung der EU-DSGVO mit dem Ziel, die Einheitlichkeit der Rechtsanwendung durch die Regulierungsbehörden in den Mitgliedstaaten zu gewährleisten. Und es war letztendlich dafür verantwortlich, Metas falsche Behauptung einer vertraglichen Notwendigkeit für verhaltensbezogene Werbung zu widerlegen – und eine verbindliche Entscheidung zu erlassen, die die leitende Datenschutzbehörde des Unternehmens für die DSGVO, die irische Datenschutzkommission (DPC), zwang, eine Schlussfolgerung, zu der sie gelangt war, rückgängig zu machen seinen Entscheidungsentwurf von 2021 und stellt fest, dass die Praxis von Meta, die Zustimmung zur Verfolgung von Anzeigen durch einen Anspruch auf vertragliche Notwendigkeit zu erzwingen, rechtswidrig ist.
Verhalten Werbung bezieht sich auf eine Form der zielgerichteten Werbung, bei der die Auswahl der geschalteten Werbung als Ergebnis der Verfolgung und Profilerstellung einzelner Benutzer über ihre Online-Aktivitäten (und manchmal auch durch die Kombination von Offline-Datensätzen zur weiteren Anreicherung dieser Benutzerprofile) bestimmt wird — also, im Sinne des EU-Datenschutzrechts durch die Verarbeitung personenbezogener Daten – eine Tätigkeit, die eine gültige Rechtsgrundlage erfordert. Andere Arten gezielter Werbung, die keine Verarbeitung personenbezogener Daten erfordern (z. B. kontextbezogene Werbung), sind verfügbar. Daher konnte auch die Behauptung von Meta, dass die aufdringliche Verfolgung und Profilerstellung von Einzelpersonen eine notwendige Kernkomponente seiner Dienste ist, vom Vorstand nicht bestanden werden.
Die heutigen Bemerkungen des EDPB – über die „wichtigen Auswirkungen“, die die Entscheidung zu Meta-Anzeigen auf andere Plattformen haben könnte – scheinen auch für TikTok relevant zu sein, das letztes Jahr versuchte, Benutzern die Möglichkeit zu nehmen, seine Tracking-Anzeigen abzulehnen, und sagte, es plane, die Rechtsgrundlage zu ändern für „personalisierte“ Werbung von der Einwilligung bis zum berechtigten Interesse – bevor sie den Schritt angesichts von Warnungen der Datenschutzbehörden schnell einfrieren.
Jeder Schritt von TikTok, einen solchen Wechsel jetzt wiederzubeleben – mit diesen beiden wichtigen DSGVO-Entscheidungen gegen Metas „erzwungene Zustimmung“ – würde nur zu einer raschen behördlichen Prüfung führen, so dass eine solche Änderung der behaupteten Rechtsgrundlage sicherlich höchst unwahrscheinlich ist (nicht zuletzt wie das Video Die Sharing-Plattform ist damit beschäftigt, ihr Image vor den EU-Gesetzgebern aufzupolieren – da die Kommission damit beginnt, neue Aufsichtsbefugnisse für digitale Plattformen im Rahmen des Digital Services Act (DSA) und des Digital Markets Act (DMA) anzuwenden).
Nur weil Facebook also seit Jahren Daten von Europäern verarbeitet und davon profitiert, indem es unrechtmäßige Werbung schaltet, heißt das nicht, dass andere werbefinanzierte Plattformen die gleiche kostenlose Fahrt von den Regulierungsbehörden des Blocks erhalten werden. Die Vollstreckung ist endlich da.
(Fürs Protokoll: Meta hat angekündigt, gegen die beiden DSGVO-Entscheidungen Berufung einzulegen bestreitet Sie meinen, dass es keine andere Wahl hat, als europäische Nutzer um ihre Zustimmung zu seinen verhaltensorientierten Anzeigen zu bitten – und weisen darauf hin, dass die Verordnung „eine Reichweite” von Rechtsgrundlagen, aber ohne anzugeben, welche dieser begrenzten (und begrenzten) Alternativen zur Zustimmung fliegen könnten … Also, äh, verhaltensbezogene Facebook-Anzeigen von öffentlichem Interesse, irgendjemand?!)
Twitter hat unterdessen auch gerade angekündigt, dass seine iOS-App standardmäßig auf einen algorithmischen Content-Feed „Für dich“ eingestellt wird, bei dem die Benutzer aktiv wischen müssen, um ihren üblichen chronologischen Feed anzuzeigen. Dies könnte Fragen über die Rechtsgrundlage aufwerfen, auf die sich das Unternehmen stützt Personalisierung von Inhalten vor Benutzern, die dies möglicherweise nicht möchten. Es gibt also keinen Mangel an interessanten Überlegungen, die sich aus Metas DSGVO-Spanking ergeben.
Diese neue Dynamik der DSGVO-Durchsetzung (wenn wir es so nennen wollen) bietet regionale Möglichkeiten für andere Ansätze (und Innovationen) im Bereich rechtmäßig zielgerichtete Werbung – sei es Tracking-basierte Werbung mit gültiger Benutzereinwilligung. Oder Formen der Werbung, die darauf abzielen beinhalten keine Verarbeitung personenbezogener Daten. (Oder, na ja, die versuchen zu behaupten, dass sie es nicht tun.)
Und wir sehen bereits einige hochrangige Schritte, um aus dem langsamen Niedergang/Untergang gesetzloser verhaltensbezogener Anzeigen Kapital zu schlagen, wie z neuer Vorschlag europäischer Telekommunikationsunternehmen, sich zu einem Joint Venture zusammenzuschließen, um Opt-in-Anzeigen-Targeting für mobile Benutzer anzubieten (was nach Angaben der Netzbetreiber das Targeting auf Erstanbieterdaten beschränken und die ausdrückliche Zustimmung der Benutzer zu den Anzeigen pro Werbetreibendem/Marke einholen würde).
Wie Meta seinen Ad-Targeting-Betrieb in eine rechtliche Ordnung bringt, bleibt abzuwarten. Aber, nun ja, die Reparatur einer Infrastruktur, die sich nie um die Einhaltung der Vorschriften gekümmert hat, scheint sehr teuer zu sein …
Die heutige Pressemitteilung des EDPB befasst sich auch mit dem Grund, warum es die DPC angewiesen hat, die Verarbeitung sensibler Daten durch Meta zu untersuchen – etwas, das die irische Aufsichtsbehörde dazu veranlasst hat, den Vorstand der Zuständigkeitsüberschreitung zu beschuldigen und bekannt zu geben, dass sie rechtliche Schritte einleitet, um zu versuchen, diese Komponente zu annullieren seine Anweisung.
Diesbezüglich sagte der Vorstand, er habe geprüft, ob die Beschwerden gegen die Rechtmäßigkeit der Anzeigen von Meta von der DPC mit der gebotenen Sorgfalt behandelt worden seien.
„Der Beschwerdeführer hatte darauf hingewiesen, dass sensible Daten von Meta IE verarbeitet werden [Ireland]. Allerdings ist die IE DPA [aka the DPC] hat die Verarbeitung sensibler Daten nicht bewertet, und daher verfügte der EDSA nicht über ausreichende Tatsachenbeweise, um Feststellungen zu einer möglichen Verletzung der Pflichten des für die Verarbeitung Verantwortlichen gemäß Art. 9 DSGVO [which deals with the processing of special category data]“, schreibt es. „Infolgedessen widersprach der EDPB der vorgeschlagenen Schlussfolgerung der IE DPA, dass Meta IE rechtlich nicht verpflichtet ist, sich auf die Einwilligung zu berufen, um die Verarbeitungstätigkeiten durchzuführen, die mit der Bereitstellung seiner Facebook- und Instagram-Dienste verbunden sind, da ohne diese nicht kategorisch geschlossen werden könnte weitere Untersuchungen. Daher entschied der EDPB, dass die IE DPA eine neue Untersuchung durchführen muss.“
Der DPC wurde häufig vorgeworfen, bei DSGVO-Beschwerden „an den Rändern herumzuspielen“ – beispielsweise indem sie engere Untersuchungen einleitete, als die Beschwerdeführer gefordert hatten (oder überhaupt keine Untersuchung einleitete). In einigen Fällen wird es auch wegen Untätigkeit verklagt (und wurde sogar mit Vorwürfen krimineller Korruption konfrontiert). Daher ist es sicherlich bemerkenswert (und unangenehm für Irland), dass die verbindliche Entscheidung des EDPB zu dem Schluss kommt, dass die irische Regulierungsbehörde Elemente der Datenverarbeitung von Meta nicht untersucht hat, die ihrer Meinung nach erforderlich waren, um zu ihrer vorgeschlagenen Schlussfolgerung zu gelangen, dass Meta gesetzlich nicht verpflichtet war, sich auf die Zustimmung zu verlassen.
Angesichts der schwarzen Flecken gegen den Ansatz des DPC zur Durchsetzung der DSGVO ist diese Schulung durch den Vorstand eine wichtige Ergänzung zu Dublins Bilanz.
Dennoch hat die Anweisung des EDPB, dass das DPC eine völlig neue Untersuchung der Datenverarbeitung von Meta einleitet, einige merkwürdige Aufmerksamkeit erregt – angesichts der Tatsache, dass das EU-Recht die Unabhängigkeit der Datenschutzbehörden vorsieht.
Noybs Ehrenvorsitzender Max Schrems – ein langjähriger Kritiker (insbesondere) des DPC-Ansatzes zur Durchsetzung der DSGVO, aber auch allgemeiner, wie schlecht die Ressourcen der EU-Datenschutzbehörden sind und wie schwierig es für Europäer ist, ihre Rechte auszuüben – schlägt dies vor zeigt immer noch, dass das System nicht funktioniert.
Nur wenige würden sagen, dass die Durchsetzung der DSGVO reibungslos verläuft – aber auf dem Weg zum fünften Geburtstag der Verordnung, die in Kraft tritt (diesen Mai), gibt es jetzt einen regelmäßigen Strom von Entscheidungen, darunter einige wichtige mit Auswirkungen auf rechtsfeindliche Geschäftsmodelle. Die Nadel scheint sich also zu bewegen – auch wenn die Geschichte selten mit einer endgültigen Entscheidung endet (da jahrelange Rechtsbehelfe folgen können).
Viel Aufmerksamkeit für die regulatorische Arbeit in der EU wird in diesem Jahr auch auf die Europäische Kommission gelenkt – um zu sehen, wie sie zwei neuere Vorschriften auf größeren digitalen Plattformen durchsetzt (die oben genannten DSA und DMA); eine neue zentralisierte Durchsetzungsstruktur, die von den Gesetzgebern des Blocks entwickelt wurde und zweifellos durch jahrelange Kritik an der langsamen und schwachen DSGVO-Durchsetzung beeinflusst wurde.
Das Vermächtnis von Metas gesetzlosen Anzeigen und Irlands fleißigem Trödeln, sich gegen sein zustimmungsloses Tracking und Profiling durchzusetzen, ist also bereits nachhaltig.