Eine Koalition aus mehr als zwei Dutzend Gruppen für digitale und demokratische Rechte, NGOs und gemeinnützigen Organisationen, darunter noyb und Wikimedia Europe, hat an die Regulierungsbehörde der Europäischen Union für Datenschutz geschrieben und sie aufgefordert, eine Taktik abzulehnen, die kontrovers aufgegriffen wurde Meta in seinem jüngsten Versuch, die Datenschutzgesetze des Blocks zu umgehen.
Wenn der Europäische Datenschutzausschuss (EDPB) es versäumt, gegen sogenannte „Zustimmung oder Bezahlung“-Ansätze bei der Verarbeitung personenbezogener Daten von Bürgern vorzugehen, wird dies eine fatale Lücke im Flaggschiff-Datenschutzregime des Blocks schaffen, die die Privatsphäre der Menschen aushöhlen und die Rechte der Bürger umgestalten könnte Internet zum Schlechteren, warnen die Organisationen. (Eine vollständige Liste der Unterzeichner des Briefes finden Sie am Ende dieses Beitrags.)
Letztes Jahr ging Meta in der EU dazu über, zu behaupten, dass es die Einwilligung regionaler Nutzer einholen würde, um sie zu verfolgen und zu profilieren, um sein Geschäft mit Mikrotargeting-Anzeigen zu betreiben – nachdem das Unternehmen im Rahmen der Datenschutz-Grundverordnung (DSGVO) erfolgreich gegen die zuvor geltenden Rechtsgrundlagen vorgegangen war zum gleichen Zweck geltend gemacht werden (zuerst Vertragserfüllung, dann berechtigtes Interesse). Aber Metas Version der Einwilligung bietet Benutzern a Hobsons Wahl — mindestens 9,99 €/Monat für ein werbefreies Abonnement zu zahlen (pro Konto auf Facebook und Instagram); oder Ich stimme der Nachverfolgung zu.
Es stehen keine anderen Wahlmöglichkeiten zur Verfügung, obwohl die DSGVO vorsieht, dass die Einwilligung als gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten freiwillig erteilt werden muss. (Meta scheint hier im monetären Sinne mit „kostenlos“ zu spielen; aber das Gesetz verlangt tatsächlich, dass Benutzer Fühl dich frei zustimmen oder nicht zustimmen… was im Grunde das Gegenteil des kostspieligen Szenarios ist, das sich der Adtech-Riese ausgedacht hat und das… buchstäbliche Prämie zum Datenschutz.)
Die NGOs nennen diese Taktik „Pay or Okay“. Und die Bedenken, die sie gegenüber dem EDSA äußern, werden von noyb bereits seit mehreren Jahren geäußert, unter anderem – zuletzt – in zwei DSGVO-Beschwerden, die letztes Jahr bei Datenschutzbehörden (DPAs) eingereicht wurden und Metas Ansatz als rechtswidrig anfechten.
Die Gruppe für Datenschutzrechte kämpft schon seit Jahren gegen „Einwilligung oder Bezahlung“ (oder „Bezahlen“ oder „Okay“) – was eine Reihe früherer Anfechtungen gegen eine Reihe europäischer Nachrichtenverleger mit sich brachte, die die Taktik entwickelten, um die Zustimmung ihrer eigenen Nutzer zu erpressen, indem sie ihren Journalismus hinter sich ließen Cookie-Paywall, die von den Lesern verlangt, Tracking zu akzeptieren oder sich für ein Abonnement zu entscheiden. Und in einigen Fällen erhielten Nachrichtenverleger von ihren lokalen Datenschutzbehörden zwar nicht die volle Zustimmung, dann aber das Äquivalent eines Augenzwinkerns und eines Nickens und durften weitermachen. Daher tauchen immer mehr dieser Cookie-Paywalls auf Nachrichtenseiten in der Region auf.
Meta ist jedoch nicht im Journalismusgeschäft tätig. Tatsächlich leugnet es in der Regel, dass es sich um einen Herausgeber handelt, und behauptet, es handele sich lediglich um einen Vermittler (eine Plattform), der Benutzer miteinander verbindet. Doch jetzt wendet es die gleiche Taktik an wie die Verlage. (Und tatsächlich ist es möglicherweise nicht der einzige Adtech-Riese, der hier die Chance auf einen datenschutzfeindlichen Tracking-Sieg wittert – siehe zum Beispiel TikToks internationalen Test eines werbefreien Abonnements im letzten Jahr.)
Die Koalition demokratischer und digitaler Rechte – und Gruppen, die sich für den Zugang zu Informationen einsetzen – mischt sich jetzt in die Sache ein, weil Anfang des Monats ein Trio von Datenschutzbehörden (Norwegen, die Niederlande und die Hamburger Behörde) den EDSA mit der Bitte angeschrieben haben es, um die umstrittene Taktik abzuwägen. (Möglicherweise als Strategie, um zu vermeiden, dass die irische Datenschutzbehörde hier de facto das Wetter bestimmt, da sie im Rahmen des One-Stop-Shops der DSGVO die führende Aufsichtsbehörde von Meta ist und seit letztem Sommer ihren Einwilligungsmechanismus überprüft, sich aber noch nicht dazu geäußert hat, ob oder nicht, es entspricht dem Gesetz.)
Die Rolle des Gremiums in diesem regulatorischen Flickenteppich besteht darin, auf eine möglichst weitgehende Harmonisierung der Anwendung der DSGVO durch die Datenschutzbehörden hinzuarbeiten, unter anderem durch die Erstellung von Stellungnahmen und Leitlinien zur Auslegung des Gesetzes. Angesichts der Funktion des Lenkungsgremiums könnte man argumentieren, dass der EDSA bei der Reaktion auf den Anstieg (und die zunehmende Verbreitung) von „Pay or Okay“ etwas proaktiver hätte reagieren sollen. Aber letztendlich wurde seine Hand durch die drei Mitglieder gezwungen, Bitten Sie diesen Monat um eine Stellungnahme dazu, ob „bezahlen oder okay“ in Ordnung (oder nein) ist.
Anfang dieses Monats bloggte er über die Anfrage Norwegische Datenschutzbehörde warnte, dass das Problem eine „große Weggabelung“ für die Datenschutzrechte in Europa sei. „Ist Datenschutz ein Grundrecht für alle oder ist er ein Luxus, der den Reichen vorbehalten ist? Die Antwort wird das Internet in den kommenden Jahren prägen“, schrieb Tobias Judin, der internationale Leiter der Behörde.
Letzte Woche darauf angesprochen, sagte eine Sprecherin des EDPB gegenüber Tech: „Wir können bestätigen, dass wir eine Anfrage für einen Artikel erhalten haben. 64 (2) Stellungnahme zum Thema Consent or Pay. Dabei handelt es sich um eine Stellungnahme zu einer Frage von allgemeiner Geltung im Einklang mit den Anforderungen des Art. 64 DSGVO.“
Sie fügte hinzu, dass sich die Stellungnahme „mit dem allgemeinen Konzept von Einwilligung oder Bezahlung befassen“ werde; und „wird keine spezifischen Unternehmen untersuchen“ – lehnte es jedoch ab, weitere Informationen bereitzustellen, mit der Bemerkung: „Wir können uns nicht zum Fortschritt der laufenden Akten äußern.“
Der EDSA hat acht Wochen Zeit, um eine Stellungnahme abzugeben – beginnend am 25. Januar (als er die Anfrage der Datenschutzbehörden erhielt). Doch wie die norwegische Behörde feststellt, kann diese Frist um weitere sechs Wochen verlängert werden („falls erforderlich“). Das bedeutet, dass der Vorstand entweder bis Ende März oder spätestens Anfang Mai darüber nachdenken sollte, wie das Einwilligungsgesetz in diesem Zusammenhang anzuwenden ist. Es bleibt also nur eine relativ kurze Zeitspanne, bis Leitlinien zu einem sehr umstrittenen Thema veröffentlicht werden, das erhebliche Auswirkungen auf Unternehmen mit Überwachungsgeschäftsmodellen wie Metas – und das regionale Internet – haben könnte.
„Wir sind sehr besorgt über diese Abstimmung und fordern den EDSA auf, eine Entscheidung zu diesem Thema zu treffen, die mit dem Grundrecht auf Datenschutz in Einklang steht“, schreiben die NGOs in ihrem Brief an den Vorstand. „Wenn ‚Pay or Okay‘ erlaubt ist, verlieren betroffene Personen in der Regel die ‚echte oder freie Wahl‘, die Verarbeitung ihrer personenbezogenen Daten zu akzeptieren oder abzulehnen, was ein Eckpfeiler der DSGVO-Reform war und vom EuGH wiederholt bestätigt wurde, auch in C -252/21 Bundeskartellamt [aka Germany’s Federal Cartel Office’s (FCO) case against Meta’s ‘exploitative abuse’ of users’ data].
„Mit ‚Pay or Okay‘ kann jede Website, App oder jedes andere verbraucherorientierte Unternehmen einfach ein Preisschild für jede ‚Ablehnung‘-Option anbringen und so sicherstellen, dass die überwiegende Mehrheit der betroffenen Personen die Verwendung, Weitergabe oder den Verkauf personenbezogener Daten akzeptieren muss.“ Daten – oder zahlen Sie eine Gebühr, die mehr als 100-mal teurer sein kann als die Einnahmen, die durch die Nutzung personenbezogener Daten erzielt werden.“
In dem Brief argumentieren die NGOs auch, dass „Pay or Okay“ die Geschäftsmodelle der angeschlagenen Nachrichtenbranche, die es zuerst einsetzte, nicht aufrechterhalten konnte – und schlagen vor: „Die Gewinne verbleiben bei großen Werbenetzwerken und großen Technologieplattformen, die stark auf Überwachung angewiesen sind.“ Geschäftsmodell.“
„Wenn ‚Pay or Okay‘ erlaubt ist, wird es nicht auf Nachrichtenseiten oder soziale Netzwerke beschränkt sein, sondern wird von jeder Branche eingesetzt, die die Möglichkeit hat, personenbezogene Daten durch Einwilligung zu monetarisieren“, warnen sie weiter. „Die DSGVO sieht keine unterschiedliche Behandlung je Branche vor. In der Praxis würde dies die DSGVO, den hohen europäischen Datenschutzstandard, erfolgreich untergraben und alle realistischen Schutzmaßnahmen gegen den Überwachungskapitalismus zunichtemachen.“
In dem Brief werden auch Vorwürfe erhoben, dass Meta bei einzelnen Datenschutzbehörden Lobbyarbeit betrieben hat, um bei Abstimmungen, die in die Meinung des Vorstands einfließen sollen, „Pay or Okay“ zu unterstützen.
Die in der Stellungnahme vertretene Position wird durch eine Abstimmung der Vorstandsmitglieder bestimmt, wobei jeder EU-Mitgliedstaat über eine repräsentative Datenschutzbehörde im Gremium eine Stimme erhält. Der EDSA strebt in seinen offiziellen Positionen einen Konsens an, es ist jedoch nur eine einfache Mehrheit erforderlich. Und es ist nicht klar, ob die meisten Mitglieds-Datenschutzbehörden das „Pay or Okay“ ablehnen – oder sogar befürworten. Daher ist es schwer vorherzusagen, in welche Richtung die Abstimmung ausgehen wird, daher die Sorge der NGOs. (Wir haben uns zuvor mit einigen der Ansichten befasst, die Datenschutzbehörden selbst zu Einwilligung oder Bezahlung hier veröffentlicht haben.)
„Wir… fordern den EDSA und alle Aufsichtsbehörden auf [supervisory authorities] sich strikt gegen „Pay or Okay“ zu wehren, um zu verhindern, dass eine erhebliche Lücke in der DSGVO entsteht“, schreiben die Organisationen. „Die Stellungnahme des EDSA wird die Zukunft des Datenschutzes und des Internets in den kommenden Jahren prägen. Es ist von größter Bedeutung, dass die Stellungnahme den betroffenen Personen tatsächlich eine „echte und freie Wahl“ hinsichtlich der Verarbeitung ihrer personenbezogenen Daten gewährleistet.“
Während die Leitlinien des Gremiums für die Steuerung der Anwendung der DSGVO in diesem Bereich in den kommenden Monaten wichtig sein werden, ist es möglicherweise nicht die endgültige Entscheidung über die rechtlichen Grenzen der Einwilligung. Vielmehr dürfte das oberste Gericht der EU, der Gerichtshof (EuGH), aufgefordert werden, sich zu äußern, um der Frage endgültige Grenzen zu setzen.
Das Gericht hat die sprichwörtliche Katze unter den Tauben auf Zustimmung oder Bezahlung bereits geworfen, nachdem es letzten Sommer in einer Vorlage im Zusammenhang mit dem oben erwähnten deutschen FCO-Fall, in dem Metas Erhebung von Daten angefochten wurde, die Möglichkeit, „falls erforderlich“, beiläufig erwähnte, dass für den Zugang zu einem gleichwertigen alternativen Dienst, dem Tracking und Profiling fehlen, eine „angemessene Gebühr“ erhoben wird.
„Notwendig“ und „angemessen“ sind wichtige Vorbehalte, aber Meta griff diese Frage schnell auf, um die Einführung nach dem Prinzip „Zustimmung oder Bezahlung“ zu rechtfertigen. Während Noyb die Erwähnung lediglich als bloße Bemerkung abtat Orbiter-Diktum – und schlägt weiterhin vor, dass eine zukünftige Vorlage, bei der der EuGH genau bestimmen soll, wo (und wie) die Zustimmungslinie verläuft, hier das letzte Wort sein wird.
Allerdings wird es wahrscheinlich Jahre dauern, bis ein Urteil an das oberste Gericht der Union verwiesen wird. Und die Meinung des Ausschusses wird in der Zwischenzeit für sich allein stehen und auf absehbare Zeit die Entwicklungen zu einem umstrittenen und wirkungsvollen Thema prägen, sowohl für Webnutzer (die Privatsphäre wollen) als auch für Adtech-Giganten (die Daten von Menschen wollen). Das ist wiederum der Grund, warum Rechtebeobachter nervös sind.
Es steht sicherlich viel auf dem Spiel: Für die Privatsphäre der Europäer; für die Aussicht, dass der Block zeigt, dass er – endlich – seine eigenen Gesetze durchsetzen und Grundrechte vor datenschutzfeindlichen Big-Tech-Geschäftsmodellen verteidigen kann; Und für Technologiegiganten wie Meta, die versuchen, ihre Massenüberwachungs-Microtargeting-Werbegeschäfte unwilligen Nutzern aufzuzwingen, indem sie die einzige Alternative zu einem unerreichbaren Luxus machen und eine „Wahl“ festlegen, bei der sie immer gewinnen.
Wie ein Sprecher von noyb vorschlägt, könnte eine EDPB-Stellungnahme „zu Gunsten von Big Tech“ dazu führen, dass sich das umstrittene „Pay or Okay“-Modell weiter ausbreitet und festigt, wodurch die Möglichkeit besserer – nutzer- und informationsfreundlicher – Geschäftsmodelle zunichte gemacht wird an die Stelle des datenindustriellen Tracking-Komplexes treten, der hinter so vielen der heutigen asozialen Medien und Online-Toxizität lauert.
In dem Brief wird auch davor gewarnt, dass die Zustimmung des Vorstands zur Zustimmung oder Bezahlung dazu führen könnte, dass sich dies auch auf andere Branchen auswirkt – wo es die Möglichkeit der Webnutzer, frei auf Informationen zuzugreifen, weiter beeinträchtigen würde, ohne dass ihre Aktivitäten und Interessen beobachtet und aufgezeichnet werden und ihre Aufmerksamkeit beschnitten, beklebt und verkauft wird kommerzieller Gewinn.
Wenn die letzten mehr als fünf Jahre der Durchsetzung der DSGVO etwas gezeigt haben, dann ist es, dass der Versuch, Online-Unrecht aufzudecken, sobald es fest verankert ist, ein Kampf ist, der kaum zu gewinnen ist. Alle Augen werden daher auf den Schritt des EDSA gerichtet sein. Die Meinung, die es in den kommenden Wochen hervorbringt, könnte all diese Versäumnisse der Vergangenheit zementieren – und dazu führen, dass die Champagnerkorken in Metas Dubliner Hauptquartier knallen. Oder – nur möglich – es könnte einen Ausweg aus der jahrelangen Pattsituation bei den Datenschutzrechten ebnen.
Hier ist die vollständige Liste der NGOs, die den Brief an den EDSA unterzeichnet haben:
- ApTI – Verband für Technologie und Internet, Rumänien
- Stücke der Freiheit
- Corporate Europe Observatory (CEO)
- Die Daphne Caruana Galizia Stiftung
- Demokratie verteidigen
- DFRI – Föreningen för digitala fri- och rättigheter
- Digitale Rechte Irland
- Državljan D / Citizen D
- Deutsche Vereinigung für Datenschutz
- Elektronische Grenze Norwegen
- Eko
- Das Electronic Privacy Information Center (EPIC)
- Europäischer Verband öffentlicher Dienste (EGÖD)
- epicenter.works – für digitale Rechte
- Eticas-Stiftung
- Forbrugerrådet Tænk/Der dänische Verbraucherrat
- Forbrukerrådet (Norwegischer Verbraucherrat)
- Hermes Center
- Homo Digitalis
- Irischer Rat für bürgerliche Freiheiten
- IT-Pol Dänemark
- #jesuislà
- noyb – Europäisches Zentrum für digitale Rechte
- Panoptykon-Stiftung
- Ressourcenzentrum für Öffentlichkeitsbeteiligung
- Stichting Onderzoek Marktinformatie
- Wikimedia Europa
- Xnet, Institut für Demokratische Digitalisierung