Hauptplatine/Vize hatte gestern einen explosiven Bericht über das Geschäft von Facebook, der sicherlich neue Fragen über die mangelnde Durchsetzung europäischer Datenschutzgesetze gegen den Adtech-Riesen aufwerfen wird.
Der Bericht basiert auf einem durchgesickerten internen Dokument, das letztes Jahr von Datenschutzingenieuren des Ad and Business-Produktteams verfasst wurde.
Das dokumentierenmit dem Titel „ABP Privacy Infra, Long Range Investments [A/C Priv]“, scheint zu zeigen, wie sich die Ingenieure des heute als Meta bekannten Technologiegiganten über die albtraumhafte Aufgabe, vor der sie stehen, am Kopf kratzen: Der Versuch, Facebooks datenerfassendes Anzeigengeschäft mit einem „Tsunami“ globaler Datenschutzbestimmungen in Einklang zu bringen, die es wissen muss wie Benutzerdaten durch seine Systeme fließen, damit das Unternehmen Richtlinien anwenden kann, die steuern, was mit den Informationen von Personen getan wird, und grundlegende Dinge ausführen kann, z. B. die Datenschutzentscheidungen der Personen widerspiegeln. Wenn Sheryl Sandberg also das nächste Mal über Metas „regulatorischen Gegenwind“ spricht, ist dies das kontextbezogene Fleisch, das auf diese euphemistischen Knochen aufgepfropft werden muss.
Der Text von Meta verwendet einige interne Geschäftskürzel/-akronyme, deren wörtliche Bedeutung nicht immer klar ist. Aber das Wesentliche des Gelesenen – und es lohnt sich, es vollständig zu lesen, wenn Sie die Zeit für 15 Seiten Text, Diagramme und ein paar farbenfrohe Analogien erübrigen können, wie zum Beispiel einen, der die Informationen einer Person mit einer Tintenflasche vergleicht, die in einen riesigen See gegossen wird (oopsy!) – ist, dass Meta sein Anzeigensystem so völlig unisoliert „designt“ hat, dass es sehr, sehr, sehr weit davon entfernt, (sogar bestehende) Gesetze wie die europäische Datenschutz-Grundverordnung (DSGVO) einzuhalten, die ein Zweckbindungsprinzip enthält, was bedeutet, dass Sie eine Rechtsgrundlage für jede Verwendung personenbezogener Daten benötigen. Laut dem Dokument klingen die Ingenieure von Meta auch nicht zuversichtlich, dass sie in der Lage sein werden, das Chaos zu transformieren und eine rechtzeitige Einhaltung einer Reihe anderer, eingehender globaler Vorschriften zu erreichen. (Und bringen Sie sie nicht einmal dazu, was KI-Vorschriften für das Unternehmen bedeuten könnten.)
Meta bestreitet natürlich, dass das Dokument die Nichteinhaltung von Datenschutzgesetzen zeigt.
In einer Erklärung gegenüber Motherboard behauptet das Unternehmen, das Dokument „beschreibt nicht unsere umfangreichen Prozesse und Kontrollen zur Einhaltung der Datenschutzbestimmungen“; und fügt daher hinzu, dass „es einfach ungenau ist, zu dem Schluss zu kommen, dass es eine Nichtkonformität nachweist“; und weiter behauptet: „Neue Datenschutzbestimmungen auf der ganzen Welt führen zu unterschiedlichen Anforderungen, und dieses Dokument spiegelt die technischen Lösungen wider, die wir entwickeln, um die aktuellen Maßnahmen zu skalieren, die wir zur Verwaltung von Daten und zur Erfüllung unserer Verpflichtungen haben.“
Aber gut, das würden sie sagen, oder?
Der unabhängige Datenschutzforscher Wolfie Christl – ein Experte für die forensische Analyse von Werbedatenflüssen – vertritt eine andere Sicht auf die Enthüllungen des durchgesickerten Dokuments – und nennt es „Dynamit“ und ein „Geständnis“ (wenn auch nicht von Meta für den öffentlichen Gebrauch bestimmt). es entspricht nicht der DSGVO. Siehe seine ausführlichen Twitter-Thread hier – wo er die Implikationen der Beobachtungen der Ingenieure aus seiner Sicht entpackt und kontextualisiert.
„Das Dokument ist ein direktes und klares Geständnis, dass das gesamte Geschäft von Facebook auf einer massiven DSGVO-Verletzung auf der grundlegendsten Ebene basiert“, sagt Christl gegenüber Tech. „Die Zweckbindung ist eines der grundlegendsten Prinzipien der DSGVO. Ein Unternehmen darf personenbezogene Daten grundsätzlich nur zweckgebunden erheben. Wenn ein Unternehmen den Zweck, für den es personenbezogene Daten sammelt, nicht angeben kann, darf es diese nach der DSGVO einfach nicht verarbeiten.“
Auf die Frage, was die leitende Datenschutzbehörde von Meta in der EU tun sollte, fügt Christl hinzu: „Die irische Regulierungsbehörde muss jetzt handeln. Wenn Facebook nicht klarstellen kann, wie genau seine Überwachungs-Werbemaschine personenbezogene Daten verwendet, muss es angewiesen werden, die Verarbeitung einzustellen.“
Tech kontaktierte die irische Datenschutzkommission (DPC), um zu fragen, ob sie eine Untersuchung der Werbedatenströme von Meta einleiten wird, angesichts dessen, was das Dokument zu zeigen scheint, im Grunde genommen ein Werbesystem, das entweder durch Design oder durch systembedingtes Schleichen, in einem Zustand existiert (oder im Jahr 2021 existierte), der der Regulierung widerspricht – und in der Tat, ob das Dokument für eine der (mehreren) laufenden Ermittlungen zu Aspekten des Facebook-Geschäfts relevant ist.
Die Regulierungsbehörde gab keine Erklärung ab, aber der stellvertretende Kommissar Graham Doyle bestätigte, dass sie das Dokument erst zum ersten Mal gesehen hatte, als Motherboard/Vice es veröffentlichte.
Das könnte weitere Fragen aufwerfen, da das DPC – auf dem Papier – untersucht, ob das Anzeigengeschäft von Facebook seit fast vier Jahren die Anforderung der DSGVO erfüllt, eine gültige Rechtsgrundlage für die Verarbeitung von Personendaten zu haben.
Beispielsweise prüft die DPC seit Mai 2018, als die Verordnung in Kraft trat, eine Beschwerde gegen Facebook, die sich auf dessen Rechtsgrundlage für die Verarbeitung von Nutzerdaten für Anzeigen konzentriert.
Ein DPC-Entscheidungsentwurf zu dieser Untersuchung, der letzten Herbst (nicht vom DPC) veröffentlicht wurde, wurde von Datenschutzaktivisten schnell als Witz gebrandmarkt, da die Regulierungsbehörde anscheinend beabsichtigte, eine Taktik von Meta zu akzeptieren, um den DSGVO-Standard für die Zustimmung zu umgehen Verarbeitung durch die Inanspruchnahme einer schlauen Vertragsumgehung.
Das Tl;dr hier ist, dass die betroffene Person eine freie Wahl haben muss, damit die Einwilligung nach der DSGVO gültig ist. Die Zustimmung muss auch zweckspezifisch sein (auch bekannt als keine Bündelung); und es muss informiert werden.
Nichts davon passiert, wenn Sie Facebook verwenden – wo die Plattform die Verarbeitung Ihrer Informationen für die Anzeigenausrichtung zu einer Nutzungsbedingung macht. Klicken Sie auf „Werbung zustimmen“ oder kein Facebook-Konto für Sie.
Aber laut dem im letzten Jahr durchgesickerten DPC-Entscheidungsentwurf behauptet Facebook, dass die Benutzer es tatsächlich sind einen Vertrag mit ihm abgeschlossen haben, um zielgerichtete Werbung zu erhalten – und die DPC schien keinen Grund zu sehen, gegen diese DSGVO-umgehende Konstruktion Einwände zu erheben.
Angesichts der Tatsache, dass DSGVO-Beschwerden immer noch an solchen rechtlichen Grundlagen scheitern, ist es ein Wunder, dass der tiefe, dunkle Unterbauch von Metas Ad-Targeting-Maschinerie, wie dieses Dokument sagt, einen riesigen Ozean von Überwachungsdaten über Webbenutzer enthält, aber so wenig Apparat dafür diese Informationen nach den eigenen Wünschen ordnen?
Unter dem Strich ist die EU fast vier Jahre mit der Durchsetzung ihres „Flaggschiff“-Datenschutzregimes beschäftigt und Facebook selbst bleibt von der DSGVO-Durchsetzung unberührt. (Ihre Messaging-Plattform WhatsApp wurde letztes Jahr mit einer Geldstrafe belegt.)
Auch die Europäische Union hat 2018 mit Inkrafttreten der DSGVO nicht plötzlich eine Datenschutzverordnung erfunden. Vor diesem Gesetz gab es die Datenschutzrichtlinie, die viele der gleichen Grundsätze enthielt.
Wenn also – zumindest in Europa – ein Unternehmen wie Facebook tatsächlich auf die gesetzlichen Anforderungen zum Datenschutz durch Design geachtet hätte – und wenn die EU-Regulierungsbehörden diese langjährigen Regeln vehement durchgesetzt hätten – könnte Meta jetzt Investoren nicht vor der „Regulierung“ warnen Gegenwind kommt für ihren Shareholder Value. Auch nicht vor dem, was sich nach einer monumental teuren und ressourcenintensiven Re-Engineering-Herausforderung anhört – weniger einer Landung auf dem Mond als vielmehr der Notwendigkeit, den gesamten Planeten aus pulverisiertem Mondstaub so zu rekonstruieren, dass jedes winzige Stück Gestein erhalten bleibt und Staub wird genau dorthin zurückgebracht, wo er entstanden ist. Oh, und – raten Sie mal! — die Frist für all das ist bereits verstrichen. Nennen Sie es den „Mondschuss des Zuckerbergs“.
Ein Meta-Sprecher antwortete nicht auf eine Frage, ob es sich nach dem Motherboard-Bericht an die DPC gewandt habe, um seiner führenden EU-Regulierungsbehörde Informationen über die Funktionsweise seines Anzeigensystems zukommen zu lassen.
Das Unternehmen schickte uns die gleiche Erklärung, die es Motherboard zuvor zur Verfügung gestellt hatte, die mit dieser Klage endet: „Dieser Analogie fehlt der Kontext, dass wir tatsächlich umfangreiche Prozesse und Kontrollen haben, um Daten zu verwalten und Datenschutzbestimmungen einzuhalten.“
Die Europäische Kommission ist letztendlich verantwortlich für die Überwachung der Anwendung der DSGVO durch die Behörden der EU-Mitgliedstaaten.
Wir haben die Kommission gefragt, ob sie angesichts des durchgesickerten Dokuments Bedenken hat und/oder eine Meinung dazu hat, ob die DPC eine Untersuchung der Werbedatenflüsse von Meta einleiten sollte. Aber zum Zeitpunkt des Schreibens hatte es nicht geantwortet.
In Februarnach einer Beschwerde des irischen Rates für bürgerliche Freiheiten gegen die Kommission – der die EU-Exekutive beschuldigt, ihre Pflicht vernachlässigt zu haben, wegen Irlands „nicht ordnungsgemäßer Anwendung“ der DSGVO tätig zu werden – leitete die Ombudsperson der EU eine Untersuchung ein, die der Kommission eine Frist bis zum 15. Mai einräumte ihm einen „detaillierten und umfassenden“ Bericht über die bisher gesammelten Informationen darüber zu liefern, ob die Verordnung in Irland „in jeder Hinsicht“ angewandt wird.