Elon Musks X, die Social-Media-Plattform, die früher als Twitter bekannt war, sieht sich in Europa mit einer neuen Datenschutzbeschwerde im Zusammenhang mit seinen Ad-Targeting-Tools konfrontiert. Die Beschwerde wird von der gemeinnützigen Organisation Privacy Rights bei der niederländischen Datenschutzbehörde eingereicht noybwirft X vor, es versäumt zu haben, seine eigenen Ansprüche durchzusetzen Werberichtlinien.
Während die AGB von um Nutzer mit Anzeigen gezielt anzusprechen.
Die Mitarbeiter des Blocks nutzten die Tools von
Wie wir letzten Monat berichteten, hat noyb bereits eine Beschwerde gegen die Kommission eingereicht, weil sie offenbar gegen EU-weite Regeln verstoßen hat, an deren Ausarbeitung sie mitgewirkt hat. Nun folgte auch die Einreichung einer Klage gegen X. „Nachdem wir unsere erste Beschwerde in dieser Angelegenheit eingereicht haben, hat die EU-Kommission bereits bestätigt, die Werbung auf Mikolasch, Datenschutzanwalt bei noyb, in einer Stellungnahme.
Ebenso wie die Datenschutz-Grundverordnung (DSGVO) der EU, die strenge Grenzen für die Verarbeitung sensibler personenbezogener Daten wie politischer Zugehörigkeit und religiöser Überzeugungen festlegt und verlangt, dass diejenigen, die dies tun möchten, die ausdrückliche Zustimmung der betreffenden Personen einholen müssen, ist der Block kürzlich dazu übergegangen Der erlassene Digital Services Act (DSA) schreibt vor, dass die Verwendung personenbezogener Daten für die gezielte Werbung eine Einwilligung erfordert. Allerdings wurden die Nutzer von X, deren Daten verarbeitet wurden, nicht ausdrücklich gebeten, dieser Nutzung ihrer Daten zuzustimmen.
„[X] nutzte diese besonders geschützten Daten, um zu bestimmen, ob Menschen eine Werbekampagne der Generaldirektion Migration und Inneres der EU-Kommission sehen sollten oder nicht, die versuchte, Unterstützung für die vorgeschlagene „Chat-Kontrolle“ zu gewinnen. [CSAM scanning] in den Niederlanden“, schrieb noyb in einer Pressemitteilung. „Dieser rechtswidrige Einsatz von Micro-Targeting veranlasste noyb bereits im November dazu, Klage gegen die EU-Kommission selbst einzureichen. Jetzt reicht noyb eine Beschwerde gegen X ein. Indem das Unternehmen diese Praxis überhaupt erst ermöglicht hat, hat es sowohl gegen die DSGVO als auch gegen das DSA verstoßen.“
In einer besonders ironischen Wendung ist die Kommission tatsächlich für die Überwachung der DSA-Konformität auf sogenannten sehr großen Online-Plattformen (VLOPs) wie, ähm, X zuständig.
Tatsächlich hat die EU-Exekutive in den letzten Monaten, seit das DSA für VLOPs in Kraft getreten ist, X bezüglich der Einhaltung gedrängt – insbesondere wegen Bedenken hinsichtlich der Verbreitung illegaler Inhalte und Desinformation auf der Plattform im Zusammenhang mit dem Israel-Hamas-Krieg. Aber – komischerweise – die Kommission scheint X nicht aufgefordert zu haben, nachzuweisen, dass sein Ad-Targeting-Geschäft die Verordnung einhält. (Dennoch ist es vielleicht nicht allzu überraschend, wenn man bedenkt, dass einige seiner eigenen Mitarbeiter offenbar damit beschäftigt waren, gegen diese Regeln zu verstoßen?)
noyb bestätigte uns, dass es bei der Kommission keine DSA-Beschwerde gegen X eingereicht hat; Die Klage beschränkte sich auf die Einreichung einer Beschwerde bei der niederländischen Datenschutzbehörde. Der Grund für die Auswahl einer in den Niederlanden ansässigen Datenschutzbehörde für die Einreichung der Beschwerde sei, dass die umstrittenen Anzeigen auf X-Nutzer im Land ausgerichtet seien; und der Beschwerdeführer, den noyb unterstützt, um die Beschwerde einzureichen, ist Niederländer. Allerdings hat X seinen regionalen Hauptsitz in Irland, daher ist es wahrscheinlich, dass die niederländische Behörde bei jeder DSGVO-Untersuchung einer rechtswidrigen Datenverarbeitung für die Anzeigenausrichtung mit der irischen Datenschutzkommission (DPC) zusammenarbeiten würde.
Aber warum reicht noyb keine DSA-Beschwerde bezüglich X bei der Europäischen Kommission ein? Ein Sprecher der gemeinnützigen Organisation teilte uns mit, dass sie diesen Schritt nicht unternommen habe, da sie nun zwei Datenschutzbeschwerden eingereicht habe – eine gegen die Kommission beim EDSB (Europäischer Datenschutzbeauftragter, der die Einhaltung der EU-Institutionen überwacht). Regeln); und eine gegen
„Es bleibt abzuwarten, ob die Kommission im Rahmen des DSA gegen X selbst vorgehen kann“, fügte noyb weiter hinzu.
Während die Strafen für Verstöße gegen die DSGVO bis zu 4 % des weltweiten Jahresumsatzes betragen können, erlaubt das DSA-Regime sogar noch höhere Sanktionen – von bis zu 6 %. Wenn also unter beiden Regimen Durchsetzungsmaßnahmen ergriffen werden, könnte Musks Unternehmen mit einer doppelten Belastung durch behördliche Sanktionen rechnen. (GDPR-DSA-Sandwich irgendjemand?)
Die Kommission wurde kontaktiert, um aktuelle Informationen zu ihrer eigenen internen Untersuchung zum umstrittenen CSAM-Vorschlag zur Anzeigenausrichtung zu erhalten. und zu fragen, ob es in seiner Eigenschaft als Vollstrecker des DSA für VLOPs gegen X wegen der Annahme der rechtswidrigen Anzeigen vorgehen wird. Ein Sprecher der EU-Exekutive lehnte es jedoch ab, „im Moment“ ein Update bereitzustellen – stattdessen bekräftigte er die frühere Entscheidung der Kommission, ihren internen Diensten zu raten, alle Arten bezahlter Kommunikation auf X zu stoppen.
Irische DSGVO-Aufsicht über X
Wie oben erwähnt, wird die DSGVO-Beschwerde von noyb gegen X wahrscheinlich auf dem Schreibtisch der irischen Datenschutzbehörde DPC landen.
Seit Musk Twitter übernommen hat und sich daran gemacht hat, dem Unternehmen (und seinem Produkt) seinen unverwechselbaren Stempel aufzudrücken, hat die DPC im Zuge bestimmter kontroverser Entscheidungen des neuen Eigentümers – wie beispielsweise Musks Entscheidung, das Unternehmen nach draußen zu lassen – mit einigen öffentlichen Protesten reagiert Journalisten greifen auf Twitter-Daten zu; oder seine Einführung einer kostenpflichtigen Verifizierungsfunktion in der EU ohne vorherige Ankündigung; oder die Aufsichtsbehörde nicht zu informieren, als der Datenschutzbeauftragte zurücktrat – aber die irische Aufsichtsbehörde scheint sich von härteren Eingriffen in das Unternehmen zurückgehalten zu haben. Dies trotz wachsender Datenschutzbedenken in Bereichen wie der Datenlöschung sowie der Privatsphäre und Sicherheit von Direktnachrichten (DMs) unter Musks Besitz von Twitter/X.
Darüber hinaus ist Musk’s X weiterhin in Irland unter der Federführung des DPC etabliert. Diesen Status behält das Unternehmen trotz der unberechenbaren Führung und der einseitigen Entscheidungsfindung des in den USA ansässigen Milliardärs – die Zweifel aufkommen ließen, dass Produktentscheidungen, die EU-Nutzer betreffen, wirklich einen sinnvollen lokalen Input erhalten, wie es für X der Fall sein sollte, um die Hauptniederlassung vor Ort zu beanspruchen. Die Benennung ist wichtig, da sie es dem Unternehmen ermöglicht, sein regulatorisches Risiko in der EU weiter zu verringern, indem es von der optimierten Aufsicht profitiert, die der One-Stop-Shop (OSS) der DSGVO bietet.
Auch hier hat die irische Aufsichtsbehörde, abgesehen von einigen öffentlichen Besorgnisäußerungen in den ersten Monaten der Übernahme von Musk, das Unternehmen nicht ins Wanken gebracht.
Rückblickend hat die DPC seit Inkrafttreten der DSGVO lediglich eine öffentliche Strafe gegen Twitter verhängt, wie das Unternehmen zum Zeitpunkt der Sanktion vor drei Jahren noch hieß. Die Strafe bestand in einer Geldstrafe von rund 550.000 US-Dollar für das Versäumnis, einen Datenschutzverstoß unverzüglich zu melden. Man kann also mit Fug und Recht behaupten, dass die Plattform bisher unter irischer Datenschutzaufsicht einen recht reibungslosen Ablauf hatte, auch wenn Musk die Leitung des Schiffs übernommen hat.
Es bleibt jedoch abzuwarten, was das DPC zu einer Beschwerde über einen Verstoß von X gegen Ad-Targeting-Regeln halten wird – vorausgesetzt, die jüngste strategische Aktion von noyb wird letztendlich von der niederländischen DPA an Irland verwiesen, was nach den OSS-Regeln wahrscheinlich ist. Die Regulierungsbehörde hat Bedenken hinsichtlich der rechtlichen Grundlage von Twitter/X für Anzeigen bereits zuvor ein wenig Beachtung geschenkt, als Musk Gerüchten zufolge plante, Benutzer zu zwingen, zwischen der Annahme personalisierter Anzeigen oder der Zahlung eines Abonnements zu wählen.
Ein klarer Fall, in dem X es versäumt hat, seine eigenen AGB des Werbetreibenden einzuhalten – sofern die Beschwerde von noyb tatsächlich darauf hinausläuft – sieht einfacher aus.