Die britische Datenschutzbehörde hat gestern auf Metas Ankündigung reagiert, dass sie (anderen) Europäern die freie Wahl bieten will, das Tracking für Ad-Targeting zu verweigern, britische Nutzer jedoch – bei einigen – nicht um ihre Zustimmung zu der Überwachung bitten wird , äh, pointierte Bemerkungen.
Nehmen Sie es Stephen Almond, dem geschäftsführenden Direktor für regulatorische Risiken beim Information Commissioner’s Office (ICO), mit diesem „ICO-Erklärung zu Meta„:
Als digitale Regulierungsbehörde achten wir genau darauf, wie Unternehmen international agieren und wie die Rechte der Menschen respektiert werden.
Wir sind uns der Pläne von Meta bewusst, die Einwilligung der Nutzer für verhaltensbasierte Werbung in der EU, mit Ausnahme des Vereinigten Königreichs, einzuholen. Dies folgt den entsprechenden Feststellungen des Gerichtshofs der Europäischen Union, der irischen Datenschutzkommission und der norwegischen Datenschutzbehörde.
Wir prüfen, was dies für die Informationsrechte der Menschen im Vereinigten Königreich bedeutet, und erwägen eine angemessene Reaktion.
Almonds sorgfältig formulierte Bemerkungen („sehr aufmerksam“; „Beurteilung, was dies für die Informationsrechte der Menschen im Vereinigten Königreich bedeutet“, „Erwägung einer angemessenen Reaktion“) lassen darauf schließen, dass die Regulierungsbehörde nicht besonders erfreut darüber ist, dass der Adtech-Riese, der früher als Facebook bekannt war, dies nicht tut Offenbar wird es bald darauf ankommen, britischen Nutzern das gleiche Maß an Respekt für ihre Datenrechte zu gewähren wie Menschen in der EU, im Europäischen Wirtschaftsraum (EWR) und in der Schweiz.
Einfach ausgedrückt sieht es für das ICO sehr peinlich aus, und es ist eine schreckliche Nachricht für britische Nutzer, die in ihrem nicht ganz so sonnigen Hochland nach dem Brexit festsitzen, dass Meta berechnet hat, dass es ihren Informationen nicht den gleichen Grad an Respekt entgegenbringen muss wie es auch für Europäer sein muss, die anderswo in der Region leben.
Zumal Meta dies zu einer Zeit tut, in der das britische Datenschutzrecht noch auf der pan-EU-Datenschutzgrundverordnung (DSGVO) basiert. (Ich meine, der Plan der britischen Regierung, das inländische Datenschutzregime durch angepriesene Post-Brexit-Daten-„Reformen“ abzuschwächen, hat es noch nicht einmal in die Gesetzesbücher geschafft! Auf dem Papier ist das Datenschutzregime also dasselbe wie es war, als das Vereinigte Königreich in der EU war.)
Das konkrete Problem, mit dem sich das ICO hier konfrontiert sieht, besteht darin, dass die Verteidigung der nationalen Datenschutzbestimmungen nun direkt auf seinen Schultern liegt – ohne Schutz durch den Gerichtshof der EU, der das letzte Wort darüber hat, wie das Gesetz durchgesetzt werden muss. Seit dem 31. Januar 2020, als der Brexit von der britischen Regierung vollständig in Kraft gesetzt wurde, gelten Urteile des EuGH nicht mehr für das britische Recht. Und insbesondere wurde Meta nach einem wichtigen EuGH-Urteil im vergangenen Monat erst dazu bewegt, – endlich – seine Absicht anzukündigen, den Europäern die Möglichkeit zu geben, sein Tracking-for-Ads zu verweigern.
Dem folgte auch eine bedeutende Durchsetzung der DSGVO durch die EU-Datenschutzbehörden im Januar 2023. Und eine Notfallmaßnahme Norwegens im vergangenen Monat, bei der Metas verhaltensorientierte Werbung aus Gründen der Rechtsgrundlage lokal verboten wurde – anstatt darauf zu warten, dass Irland, die führende Regulierungsbehörde von Meta, dies in der gesamten EU durchführt.
Die kumulativen Auswirkungen all dieser EU-Verfahren haben dazu geführt, dass der Technologieriese keine Rechtsgrundlage mehr hat, um nach EU-Recht Ansprüche auf die Datenverarbeitung geltend zu machen, die er zur „Personalisierung“ von Anzeigen durchführt – mit Ausnahme der Einwilligung. Es gibt also jetzt eine Dynamik hinter der Durchsetzung der DSGVO, die spürbare Auswirkungen auf die Reformierung datenschutzfeindlicher Geschäftsmodelle hat. Doch leider liegt es für die Menschen im Vereinigten Königreich außerhalb der Umsetzung der DSGVO durch die EU. Und so … keine Meta-Einwilligungsabsicht für Briten!
Auch seit dem Austritt des Vereinigten Königreichs hat die Union bei der Gesetzgebung nicht stillgestanden. Es war tatsächlich sehr aktiv in Bezug auf digitale Regulierungen. Dazu gehört auch die Durchführung einer umfassenden Ex-ante-Wettbewerbsreform namens „Digital Markets Act“, die Meta offenbar auch zum Nachdenken über die Verarbeitung seiner Werbedaten anregt.
Die Firmen Aktualisierung des Blogbeitrags Als das Unternehmen gestern seine Absicht ankündigte, bei der Verarbeitung von Anzeigendaten in der EU auf Einwilligung umzustellen, verwies es auf „eine Reihe sich entwickelnder und neu entstehender regulatorischer Anforderungen in der Region, insbesondere auf die Art und Weise, wie unsere führende Datenschutzbehörde in der EU, die irische Datenschutzkommission (DPC), ist.“ „Wir interpretieren die DSGVO nun im Lichte der jüngsten Gerichtsentscheidungen und gehen davon aus, dass das Gesetz über digitale Märkte (Digital Markets Act, DMA)“ in Kraft treten wird.
Und nun ja, das DMA gilt auch nicht im Vereinigten Königreich. Genauso wenig gilt dies für die Durchsetzung der DSGVO durch das irische DPC und die Auslegung der DSGVO durch den EuGH.
Meta hat die Daten seiner britischen Nutzer von der Zuständigkeit seiner irischen Tochtergesellschaft auf die seiner US-Einheit umgestellt früher in diesem Jahr, wodurch britische Nutzer endgültig der EU-Rechtsgewalt entzogen werden. Das ist Brexit, Leute! (Eine digitale Ex-ante-Wettbewerbsreform „Made in the UK“ hat es auch nicht in nationales Recht geschafft, nachdem es aufgrund der politischen Unruhen in der regierenden Konservativen Partei im Zuge des Brexit zu Verzögerungen gekommen war … Es gibt also kein Äquivalent im Vereinigten Königreich zum DMA noch nicht.)
Das noch größere Problem für das ICO besteht darin, dass es seit Jahren – im wahrsten Sinne des Wortes – systematisch versäumt hat, auf ähnliche Beschwerden über Adtech-Tracking zu reagieren, denen eine ordnungsgemäße Rechtsgrundlage fehlt.
Tatsächlich wurde das Unternehmen im Jahr 2020 aufgrund einer solchen Beschwerde wegen Untätigkeit verklagt. Und während der Pandemie hat das Unternehmen seine Untersuchungen zu Adtech sogar ganz eingestellt, mit der Begründung, es wolle die Branche in einer so schwierigen Zeit nicht mit „unangemessenem Druck“ belasten.
Wie sieht es mit den Rechten britischer Nutzer aus, während der Corona-Krise nicht unrechtmäßig von Werbetreibenden angegriffen zu werden? Das ICO hatte offenbar nicht das Gefühl, dass es die Branche dazu drängen sollte, sich um solche Details zu kümmern – und zwar damals – oder eigentlich auch seitdem. Daher ist es ein wenig übertrieben, dass sich das ICO plötzlich gegenüber Meta mit der impliziten Besorgnis auseinandersetzt, dass die Informationsrechte der Briten nicht angemessen respektiert werden. Es sei denn, dies ist der Moment der Damaszener-Umstellung der Regulierungsbehörde – auf die Notwendigkeit, tatsächlich gegen Adtech-Missbräuche vorzugehen, die sie seit Jahren öffentlich kritisiert.
Zuvor betrachtete die britische Regulierungsbehörde die Einberufung einiger runder Tische als „angemessene Reaktion“ auf die grassierenden Gesetzesverstöße der Adtech-Branche, bei denen Werbeverantwortliche scheinbar in der Lage waren, den Raum mit heißer Luft über die Einhaltung von Compliance zu füllen und gleichzeitig weiterhin lukrative Daten zu sammeln – Bergbaugeschäft wie gewohnt, während das ICO seine „Ermittlungen“ fortsetzte.
Es ist daher nicht klar, welche Maßnahmen die britische Regulierungsbehörde gegen Meta als „angemessen“ erachten könnte, wenn sie weiterhin das Recht lokaler Benutzer, die Nachverfolgung zu verweigern, mit Füßen tritt. Hoffentlich werden wir keine weitere offene/unendliche Untersuchung erleben.
Technisch gesehen sieht die britische DSGVO Strafen für bestätigte Verstöße vor, die bis zu 4 % des weltweiten Jahresumsatzes ausmachen können – was sich im Fall von Meta auf ein paar Milliarden Pfund summieren könnte. Aber das ICO ist bei den bislang ermittelten DSGVO-Durchsetzungsmaßnahmen nicht annähernd von den theoretischen Höchstwerten abgewichen. Daher hat der Adtech-Riese möglicherweise entschieden, dass das regulatorische Risiko im Vereinigten Königreich minimal ist – und den Grad des Respekts für die Daten lokaler Nutzer entsprechend festgelegt. Ergo: Keine Einwilligung für dich, du bist Brite.
Wir wandten uns an das ICO mit Fragen zu seinem historischen Mangel an Durchsetzungsmaßnahmen gegen Tracking und Profiling von Adtechs und mit der Frage, welche konkreten Antworten es in Betracht ziehen könnte, wenn Meta britischen Nutzern weiterhin ein geringeres Maß an Datenschutz bietet als anderen Menschen in Europa, aber Die Aufsichtsbehörde teilte uns mit, dass sie über Almonds öffentliche Äußerungen hinaus nichts weiter hinzuzufügen habe.
Auch Meta lehnte einen Kommentar zur Aussage des ICO ab. Doch sein Sprecher verwies uns auf den oben zitierten Abschnitt seines Blogbeitrags, in dem er erklärt, dass seine Absicht, in der EU und im EWR auf die Einwilligung umzusteigen, als Reaktion auf eine Reihe von Durchsetzungsentscheidungen der Regulierungsbehörden und Gerichte der Region getroffen wurde. Meta weist also im Wesentlichen darauf hin, dass die bevorstehende Änderung der Rechtsgrundlage die Durchsetzungsmaßnahmen verfolgt. Keine Durchsetzung, kein Wechsel. Ganz einfach!
Damit ist natürlich auch der ICO gemeint tut haben die Macht, die Art und Weise zu ändern, wie die Rechte der britischen Nutzer von Meta oder anderen auf britischem Boden tätigen Adtech-Unternehmen behandelt werden. Das heißt, indem das britische Recht in der Adtech-Branche tatsächlich durchgesetzt wird, wie es Datenschutzaktivisten seit Jahren fordern.
Michael Vealeein Dozent für digitale Rechte am University College London, der 2018 einer der Verantwortlichen für die oben erwähnte Beschwerde über Praktiken der Adtech-Branche beim ICO war – und der anschließend auch rechtliche Schritte einleitete, nachdem die Regulierungsbehörde die Beschwerde einige Jahre lang abgeschlossen hatte später ohne eine Entscheidung zu treffen – forderte das ICO auf, die Gelegenheit zu nutzen, die es jetzt hat, um auf seine erklärten Bedenken hinsichtlich der Rechte der britischen Nutzer zu reagieren, indem es Adtech-Giganten wie Meta direkt reguliert.
„Da Meta seinen relevanten Hauptsitz für britische Nutzer von Irland in die USA verlegt hat, ist das Vereinigte Königreich nun verpflichtet, das Technologieunternehmen selbst zu regulieren und nicht auf Irland zu warten. Das wäre eine tolle Zeit [for the ICO] um zu zeigen, dass es für diese bedeutenden neuen Aufgaben bereit ist“, sagte er gegenüber Tech.
„Der Wortlaut des für Meta geltenden Gesetzes ist in der EU und im Vereinigten Königreich in allen relevanten Punkten identisch. „Die Entscheidung von Meta, die gleichen Rechte nicht auf britische Nutzer auszudehnen, ist eine kalkulierte Entscheidung, deren Durchsetzung der Privatsphäre im Vereinigten Königreich schwach genug ist, um sie zu ignorieren“, fügte Veale hinzu. „Einige der Gerichtsurteile gelten tatsächlich für die EU und nicht für das Vereinigte Königreich, da sie nach Ende 2020 ergangen sind. Das bedeutet jedoch nicht, dass die Regulierungsbehörde nicht anhand der im Zuge dieser Urteile bereitgestellten Informationen klare Maßnahmen ergreifen kann.“ und auf der soliden Argumentation in ihnen.“