Metas geplanter Twitter-Killer Threads ist noch nicht öffentlich verfügbar, sieht aber bereits nach einem Datenschutz-Albtraum aus.
Informationen über die Privatsphäre der App, die über obligatorische Offenlegungen unter iOS bereitgestellt werden, zeigen, dass die App möglicherweise hochsensible Informationen über Benutzer sammelt, um deren digitale Aktivitäten zu profilieren – einschließlich Gesundheits- und Finanzdaten, genauer Standort, Browserverlauf, Kontakte, Suchverlauf und andere sensible Informationen .
Angesichts der Tatsache, dass Meta, der Entwickler der App, das früher als Facebook bekannte Unternehmen, sein Geld mit der Verfolgung und Profilierung von Webnutzern verdient, um ihre Aufmerksamkeit über seine Microtargeting-Tools für verhaltensorientierte Werbung zu verkaufen, ist dies kaum überraschend. Es wirft jedoch Fragen auf, ob Threads in der Europäischen Union gestartet werden können, wo die Rechtsgrundlage, die Meta für die Verarbeitung personenbezogener Daten von Facebook-Nutzern (Erfüllung eines Vertrags) behauptet hatte, Anfang dieses Jahres für rechtswidrig befunden wurde.
Meta ist inzwischen auf die Geltendmachung eines berechtigten Interesses für diese Datenverarbeitung für Werbeanzeigen umgestiegen. Aber Anfang dieser Woche hat das oberste Gericht der Union Meta durch ein Urteil zu einer deutschen Fallverweisung noch regionaleren Unmut zugefügt, in dem das Gericht feststellte, dass diese Rechtsgrundlage auch für die Schaltung der verhaltensbezogenen Anzeigen von Meta nicht geeignet sei und eine Einwilligung eingeholt werden müsse. Nach geltendem EU-Recht erfordern sensible Informationen wie Gesundheitsdaten außerdem einen noch höheren Standard an ausdrücklicher Einwilligung, damit sie rechtmäßig verarbeitet werden können, um der Datenschutz-Grundverordnung zu entsprechen. Daher müsste Meta für die Verarbeitung sensibler Daten wie Gesundheitsdaten eine spezifische Erlaubnis einholen und einholen.
Darüber hinaus verbieten künftige EU-Vorschriften die Verwendung sensibler Daten für Anzeigen vollständig und erfordern möglicherweise eine ausdrückliche Zustimmung von Technologiegiganten, Daten für die Anzeigenprofilierung zu kombinieren (siehe: Digital Services Act und Digital Markets Act). Für Metas People-Farming-Unternehmen zeichnet sich also eine noch größere regionale Rechtsunsicherheit ab. (Designierte Gatekeeper müssen bis zum nächsten Frühjahr den DMA einhalten; sogenannte sehr große Online-Plattformen müssen ihre Verpflichtungen gemäß dem DSA bis zum 25. August erfüllen.)
Derzeit bietet der Adtech-Riese den Nutzern nicht einmal eine generelle und vorab mögliche Möglichkeit an, sein Tracking und Profiling zu verweigern, geschweige denn ausdrücklich zu fragen, ob er Daten über Ihren Gesundheitszustand weitergeben darf, damit Werbetreibende versuchen können, Ihnen Diätpillen oder ähnliches zu verkaufen. Und da in der EU noch strengere Beschränkungen für Überwachungswerbung eingeführt werden, wird eine App, die vorschlägt, alles zu verfolgen, um ihre Attraktivität für Werbetreibende zu maximieren, für regionale Regulierungsbehörden schwer zu verkaufen sein.
Und als ob das noch nicht genug wäre, wurde Meta kürzlich mit einer Anordnung belegt, die Übermittlung von Daten von EU-Benutzern zur Verarbeitung in die USA zu unterbinden, und verhängte eine Geldstrafe von fast 1,3 Milliarden US-Dollar wegen Verstoßes gegen die DSGVO-Anforderungen an Datenexporte. Diese Anordnung ist spezifisch für Facebook, aber im Prinzip könnte die gleiche Anforderung auch auf andere Meta-Dienste angewendet werden, die die Daten der Europäer über den Teich hinweg nicht ausreichend schützen (z. B. durch die Verwendung einer Ende-zu-Ende-Verschlüsselung in der Zero-Knowledge-Architektur). Und natürlich wird Threads den Benutzern diese Art von Privatsphäre nicht bieten.
Um das Überwachungsanzeigengeschäft von Meta mit dem EU-Recht in Einklang zu bringen, ist eine tiefgreifende Änderung der Arbeitsweise des Unternehmens erforderlich – eine Änderung, die offenbar nicht der Plan von Meta mit Threads ist, da das Unternehmen mehr von der gleichen datenerregenden Aufmerksamkeitsfarm präsentiert, die Mark gewonnen hat Zuckerbergs Imperium hat einen so giftigen Ruf, dass es in den letzten Jahren eine kostspielige Umbenennung in Meta vornehmen musste.
Ob das Rebranding dazu beigetragen hat, das Unternehmensimage von Meta zu entgiften, scheint fraglich, wenn man bedenkt, dass es sich dafür entscheidet, Threads an die Marke Instagram anzuhängen, anstatt es explizit als Meta-App zu bezeichnen (der im App Store aufgeführte Entwickler ist „Instagram Inc“ und die Textbeschreibung beschreibt die App). als „Instagrams textbasierte Konversations-App“). Allerdings könnte diese Wahl eher damit zu tun haben, dass Meta es als die beste Strategie für den schnellen Aufbau einer Threads-Benutzerbasis ansieht, wenn es die große und engagierte Community von Instagram dazu bringen kann, das, was es als Schwester-„Text“-App bezeichnet, sofort zu übernehmen Letzteres kann sofort durchstarten.
Eines ist klar: Threads wird in der EU noch nicht laufen. Und möglicherweise nie. Zumindest nicht, es sei denn, Meta ändert seinen Ansatz hinsichtlich der Benutzerauswahl gegenüber dem Tracking radikal.
Gestern die Irischer Unabhängiger berichtete, dass die App in der EU nicht eingeführt wird, und zitierte Metas leitenden regionalen Datenschutzbeauftragten, den irischen DPC, mit der Aussage, man habe bezüglich des Dienstes mit Meta Kontakt aufgenommen und würde „zum jetzigen Zeitpunkt“ nicht starten.
Während heute der Wächter – unter Berufung auf Meta-Quellen – hat berichtet, dass das Unternehmen den Start von Threads in der EU aufgrund der Rechtsunsicherheit in Bezug auf die Datennutzung im Zusammenhang mit den oben genannten DMA-Beschränkungen für die gemeinsame Nutzung von Benutzerdaten auf verschiedenen Plattformen verzögert hat.
Ein Meta-Sprecher antwortete nicht auf unsere Fragen, ob Threads in der EU eingeführt werden sollen oder nicht.
Aber das DPC stellte gegenüber Tech klar, dass es Meta aufgrund seiner Rolle bei der Durchsetzung der Einhaltung der DSGVO nicht daran gehindert habe, Threads zu starten, und sagte, das Unternehmen habe „noch keine Pläne für eine Einführung in der EU“. Es scheint also, dass es zum jetzigen Zeitpunkt keine aktiven regulatorischen Eingriffe gegeben hat, die eine Markteinführung verhindern könnten. Vielmehr scheint Meta besorgt über das rechtliche Risiko zu sein, das entstehen könnte, wenn das Unternehmen mit der Markteinführung fortfährt, während es in einigen Monaten dem DMA unterliegen soll. (Anfang dieser Woche teilte das Unternehmen der EU mit, dass es davon ausgeht, dass die neue Ex-ante-Kartellregelung für sein Unternehmen gilt – die Einhaltung ist jedoch erst sechs Monate nach der offiziellen Benennung von EU-Gatekeepern erforderlich.)
Die neue Verordnung wird zentral von der Europäischen Kommission durchgesetzt und nicht von Behörden auf Ebene der Mitgliedstaaten wie dem irischen DPC. Es wird also erwartet, dass innerhalb der Union ein Kurswechsel hin zur Durchsetzung digitaler Giganten stattfindet – und dieser Paradigmenwechsel erhöht auch die Rechtsunsicherheit für Meta innerhalb der EU.
Insbesondere Threads soll am Donnerstag in Großbritannien eingeführt werden – wo sich ein anderes regulatorisches Bild ergibt, da der Markt nach der Brexit-Referendumsabstimmung zum Austritt aus der Union nicht mehr unter EU-Recht fällt.
Das aktuelle Datenschutzregime des Vereinigten Königreichs leitet sich immer noch von der DSGVO ab, sodass technisch gesehen auch dort dieselben rechtlichen Anforderungen an die Verarbeitung personenbezogener Daten gelten. Allerdings ist die Datenschutzaufsichtsbehörde des Landes, die ICO, bei systemischen Verstößen in der Überwachungswerbebranche berüchtigt untätig geblieben. Daher ist Meta möglicherweise mit dem Ausmaß des rechtlichen Risikos zufrieden, dem sein Unternehmen im Brexit-Großbritannien ausgesetzt ist. Und während die britische Regierung kürzlich einen auf Eis gelegten Plan zur Verabschiedung einer eigenen Ex-ante-Kartellrechtsreform für digitale Giganten wiederbelebt hat, wird es wahrscheinlich noch Jahre dauern, bis in ihren eigenen Gesetzen eine mit dem DMA der EU vergleichbare Gesetzgebung vorhanden ist.
Die britische Regierung hat im Rahmen eines Post-Brexit-Datenreformgesetzes auch einen Plan zur Abschwächung der inländischen Datenschutzstandards angekündigt, der ebenfalls die Unabhängigkeit des ICO untergraben und die Aufsichtsbehörde möglicherweise noch zahnloser machen könnte, als sie ohnehin schon ist geht es um die Bekämpfung von Datenschutzverstößen.
In der EU wurde Meta im Januar unterdessen mit einer Geldstrafe von über 410 Millionen US-Dollar belegt, weil das Unternehmen keine gültige Rechtsgrundlage gemäß der DSGVO für die Schaltung verhaltensbezogener Anzeigen auf Facebook und Instagram hatte – was nur die jüngste in einer Reihe schwerer Strafen ist, die dem Unternehmen auferlegt wurden Verstoß gegen die DSGVO. Das letzte Mal, dass das ICO gegen Meta eine Geldstrafe verhängte, geschah im Zuge des Cambridge-Analytics-Skandals, als das Unternehmen noch Facebook hieß.
Im Rahmen des DMA können zentral durchgesetzte Strafen bis zu 10 % des weltweiten Jahresumsatzes betragen – was erheblich höher ist als die theoretische Höchstgrenze, mit der Datenschutzbehörden Datenverantwortliche für Verstöße gegen die DSGVO sanktionieren können (die bei lediglich 4 % liegt).
In diesem Fall blieben die Bußgelder gegen Technologiegiganten, bei denen festgestellt wurde, dass sie gegen die EU-Datenschutzverordnung verstoßen haben, nur einen Bruchteil des Höchstbetrags, auch im Fall von Meta.