Eine seltene Datenschutzstrafe für Apple: Frankreichs Datenschutzbehörde CNIL hat es verhängt angekündigt Es verhängte eine Strafe in Höhe von 8 Millionen Euro (~8,5 Millionen US-Dollar) gegen den iPhone-Hersteller, weil er unter Verstoß gegen lokale Datenschutzgesetze nicht die Zustimmung lokaler mobiler Benutzer eingeholt hatte, bevor sie Werbekennungen auf ihren Geräten platziert (und/oder gelesen) hatte.
Der Sanktionsbescheid wurde am 29. Dezember erlassen, aber erst gestern veröffentlicht (the Text der Entscheidung finden Sie hier auf Französisch).
Die CNIL handelt gemäß der ePrivacy-Richtlinie der Europäischen Union, die es den Datenschutzbehörden auf Ebene der Mitgliedstaaten ermöglicht, Maßnahmen gegen lokale Beschwerden über Verstöße zu ergreifen, anstatt zu verlangen, dass sie an einen leitenden Datenaufseher in dem Land verwiesen werden, in dem das betreffende Unternehmen seinen hat Hauptniederlassung in der EU (wie es bei der neueren EU-Datenschutz-Grundverordnung oder DSGVO der Fall ist).
Während die Höhe dieser ePrivacy-Strafe Cupertino keine schlaflosen Nächte bereiten wird, nutzt Apple Behauptungen über unvergleichlichen Datenschutz der Benutzer, um seine Premium-Marke aufzupolieren – und iPhones von billigerer Hardware mit der Android-Plattform von Google zu unterscheiden – so dass sein Ruf nicht beeinträchtigt wird Der Schutz von Benutzerdaten sollte stechen.
Die CNIL sagt, sie habe auf eine Beschwerde gegen Apple wegen der Anzeige personalisierter Werbung in seinem App Store reagiert. Die Klage bezieht sich auf eine ältere Version (14.6) des iPhone-Betriebssystems, unter der – nachdem der Watchdog in den Jahren 2021 und 2022 untersucht hatte – festgestellt wurde, dass der Technologieriese keine vorherige Zustimmung von Benutzern eingeholt hatte, um ihre Daten für gezielte Werbung zu verarbeiten, die geschaltet wurde wenn ein Benutzer Apples App Store besucht hat.
CNIL stellte fest, dass v14.6 von iOS automatisch Kennungen auf dem iPhone des Benutzers las – was einer Reihe von Zwecken diente, einschließlich der Schaltung personalisierter Anzeigen im App Store – und dass die Verarbeitung erfolgte, ohne dass Apple nach Ansicht der Regulierungsbehörde eine ordnungsgemäße Zustimmung eingeholt hatte, da dies eine Zustimmung war über eine standardmäßig vorab aktivierte Einstellung erfasst werden. (Hinweis: 2019 CNIL-Leitfaden zur Datenschutzrichtlinie für elektronische Kommunikation schreibt vor, dass für das Ad-Tracking eine Einwilligung erforderlich ist.)
Aus der Pressemitteilung der CNIL [translated from French with machine translation]:
Aufgrund ihres Werbezwecks sind diese Kennungen für die Bereitstellung des Dienstes (des App Store) nicht unbedingt erforderlich. Folglich dürfen sie nicht gelesen und/oder abgelegt werden können, ohne dass der Benutzer seine vorherige Zustimmung gegeben hat. In der Praxis wurden die über das Symbol „Einstellungen“ des iPhones verfügbaren Anzeigen-Targeting-Einstellungen jedoch standardmäßig vorab aktiviert.
Außerdem musste der Benutzer eine Vielzahl von Aktionen ausführen, um diesen Parameter erfolgreich zu deaktivieren, da diese Möglichkeit nicht in den Initialisierungsprozess des Telefons integriert war. Der Benutzer musste auf das Symbol „Einstellungen“ des iPhones klicken, dann zum Menü „Datenschutz“ und schließlich zum Abschnitt „Apple-Werbung“ gehen. Diese Elemente ermöglichten es nicht, die vorherige Zustimmung der Benutzer einzuholen.
Die CNIL sagte, die Höhe der Geldbuße spiegele den Umfang der Verarbeitung wider (die, wie sie feststellt, auf den App Store beschränkt war); die Anzahl der betroffenen französischen Benutzer; und die Gewinne, die Apple aus Werbeeinnahmen erzielt, die indirekt aus den von den Identifikatoren gesammelten Daten generiert werden – sowie die Regulierungsbehörde, die berücksichtigt, dass Apple sich inzwischen an die Vorschriften gewöhnt hat.
Apple wurde wegen einer Stellungnahme zur CNIL-Sanktion kontaktiert. Ein Unternehmenssprecher bestätigte, dass er plant, Berufung einzulegen – und schickte uns diese Erklärung:
Wir sind von dieser Entscheidung enttäuscht, da die CNIL zuvor erkannt hat, dass die Art und Weise, wie wir Suchanzeigen im App Store schalten, der Privatsphäre der Benutzer Vorrang einräumt, und wir werden Einspruch einlegen. Apfel Search Ads geht weiter als jede andere digitale Werbeplattform, die wir kennen, indem es den Nutzern eine klare Wahl lässt, ob sie personalisierte Werbung wünschen oder nicht. Zusätzlich, Apfel Search Ads verfolgt niemals Benutzer über Apps und Websites von Drittanbietern und verwendet nur Daten von Erstanbietern, um Anzeigen zu personalisieren. Wir glauben, dass Datenschutz ein grundlegendes Menschenrecht ist und ein Benutzer immer entscheiden sollte, ob und mit wem er seine Daten teilt.
Es ist nicht das erste Mal, dass Apple mit doppelten Standards im Datenschutz kritisch hinterfragt wird. Bereits im Jahr 2020 reichte die europäische Kampagnengruppe noyb für Datenschutzrechte eine Reihe von Beschwerden bei EU-Datenschutzbeauftragten über einen Identifier for Advertisers (alias IDFA) ein, der standardmäßig von Apple in das iPhone eingebrannt wurde, und argumentierte, die Existenz des IDFA sei ein ähnlicher Verstoß gegen die vorherige Zustimmung zum Tracking-Prinzip.
Dem Unternehmen wurde in den letzten Jahren auch Datenschutz-Heuchelei vorgeworfen wegen seiner unterschiedlichen Behandlung der Verfolgung der App-Aktivitäten von iPhone-Nutzern, um seine eigenen „personalisierten Anzeigen“ zu schalten, im Vergleich zu einer kürzlich eingeführten Anforderung, dass Drittanbieter-Apps die Zustimmung der Nutzer einholen müssen – nachdem es bereits 2021 die App Tracking Transparency-Funktion (auch bekannt als ATT) für iOS eingeführt hatte.
Apple hat diese Argumentationslinien weiterhin bestritten und behauptet, dass es die lokalen Datenschutzgesetze einhält und ein höheres Maß an Privatsphäre und Datenschutz für iOS-Benutzer bietet als konkurrierende Plattformen.
Frankreich hingegen war in den letzten Jahren sehr aktiv bei der Durchsetzung von Verstößen gegen die ePrivacy gegen Technologiegiganten, um nur ein weiteres Beispiel zu nennen Letzten Monat als es Microsoft mit einer 60-Millionen-Euro-Strafe wegen Dark-Pattern-Design in Bezug auf Cookie-Tracking traf – nachdem festgestellt wurde, dass das Unternehmen Benutzern keinen Mechanismus zum Ablehnen von Cookies angeboten hatte, der so einfach war wie die Schaltfläche, die es ihnen zum Akzeptieren von Cookies präsentierte.
Auch Amazon, Google und Meta (Facebook) sind seit 2020 alle von CNIL-Sanktionen wegen Cookie-bezogenen Verstößen betroffen. Und letztes Jahr hat Google sein Cookie-Zustimmungs-Popup in der gesamten EU aktualisiert, um (endlich) ein einfaches „Akzeptieren“ anzubieten alle“ oder „alle ablehnen“, die auf der obersten Ebene angeboten werden.
tl;dr: Regulatorische Durchsetzung des Datenschutzes funktioniert.
Der stetige Fluss von Durchsetzungen und Korrekturen, den die Interventionen der CNIL für Benutzer in Frankreich über ePrivacy – eine viel ältere EU-Richtlinie als die DSGVO – erreichen konnten, hat ein weiteres kritisches Licht auf die Funktionsweise der letztgenannten Vorzeige-Datenschutzverordnung geworfen, bei der es um Prüfung und Durchsetzung ging auf Technologiegiganten wird weiterhin durch Forum-Shopping, damit verbundene Verfahrensengpässe und Ressourcenprobleme sowie durch Streitigkeiten zwischen Regulierungsbehörden über die Beilegung dieser grenzüberschreitenden Fälle blockiert.
Aber während eine DSGVO-Beschwerde gegen einen Technologieriesen Jahre dauern kann, wird der Plural durchgesetzt – wie etwa die ~4,8 Jahre, die es dauerte, um Beschwerden über die „erzwungene Zustimmung“ gegen zwei Meta-Eigenschaften, Facebook und Instagram, abzuschließen, und noch mit wahrscheinlich Jahren von Einsprüchen Diese Entscheidung steht bevor (und mit anderen, noch länger andauernden Beschwerden, die immer noch mühsam auf eine endgültige Entscheidung zusteuern) – der Unterschied zwischen einer EU-Richtlinie und einer Verordnung bedeutet, dass die Durchsetzung standardmäßig EU-weit erfolgt und nicht auf die Gerichtsbarkeit der Durchsetzung beschränkt ist DPA. Das bedeutet, dass bei ePrivacy breitere Compliance-Einführungen im Ermessen einer sanktionierten Stelle liegen – daher können die Auswirkungen für die Benutzer lokaler sein.
Darüber hinaus können alle (eventuellen) GDPR-Strafen auch erheblicher sein als ePrivacy-Stiche – wobei die GDPR Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes zulässt, während ePrivacy an einem älteren Regime festhält, das es den Mitgliedstaaten überlässt, es festzulegen „wirksame, verhältnismäßige und abschreckende“ Sanktionen. (Ergo, Benutzerrechte sind hier an die lokale Politik gebunden.)
Obwohl Korrekturanordnungen für Big Tech weitaus mehr Biss haben können als Finanzsanktionen, wenn man bedenkt, wie viel Umsatz diese Giganten erzielen – da selbst Geldstrafen, die sich auf Hunderte von Millionen oder mehr belaufen, möglicherweise nur als Kosten für die Geschäftstätigkeit abgeschrieben werden. Während Anordnungen zur Änderung von Praktiken zur Einhaltung von Datenschutzgesetzen sinnvolle Reformen erzwingen können.
Es ist erwähnenswert, dass die EU seit Jahren versucht, die mittlerweile mehr als zwei Jahrzehnte alte e-Privacy-Richtlinie durch eine aktualisierte e-Privacy-Verordnung zu ersetzen. Allerdings haben sich große Tech-Lobbying- und Gesetzgeberstreitigkeiten über einen Kommissionsvorschlag von 2017 verschworen, um die Akte für den größten Teil dieses Zeitraums aufzuhalten.
Die Mitgliedstaaten haben sich im Februar 2021 endlich auf eine gemeinsame Verhandlungsposition geeinigt, wodurch die Trilogverhandlungen endlich beginnen konnten. Aber Debatten zwischen den Mitgesetzgebern der EU über große und kleine Details geht weiter – und es ist nicht klar, wann (oder sogar ob) ein Konsens gefunden werden kann.
Und das bedeutet, dass der altgedienten ePrivacy-Richtlinie möglicherweise noch Jahre mehr Arbeitsleben – und weitere Millionen an großen Tech-Bußgeldern – bevorstehen.