Eine weitere Rechnung ist für Meta wegen Nichteinhaltung der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union eingegangen – aber diese ist ein Tiddler! Die Messaging-Plattform von Meta, WhatsApp, wurde von der führenden Datenschutzbehörde des Technologieriesen in der Region mit einer Geldstrafe von 5,5 Millionen Euro (knapp 6 Millionen US-Dollar) belegt, weil sie keine rechtmäßige Grundlage für bestimmte Arten der Verarbeitung personenbezogener Daten hatte.
Bereits im Dezember erhielt die oberste Regulierungsbehörde von Meta, die irische Datenschutzkommission (DPC), den Auftrag, eine endgültige Entscheidung über diese Beschwerde (die bis Mai 2018 zurückgeht) zu treffen – durch eine verbindliche Entscheidung des Europäischen Datenschutzausschusses (EDPB). – zusammen mit zwei weiteren Beschwerden gegen Facebook und Instagram.
Diese beiden endgültigen Entscheidungen kamen Anfang dieses Monats aus dem DPC, als es Strafen in Höhe von insgesamt 310 Millionen Euro ankündigte; und gab Meta drei Monate Zeit, um eine gültige Rechtsgrundlage für diese Anzeigenverarbeitung zu finden. Aber während das letzte Paar DSGVO-Entscheidungen Metas Fehlen einer gültigen Rechtsgrundlage für die Verarbeitung von Benutzerdaten zum Ausführen von verhaltensbasierter Werbung (auch bekannt als sein Kerngeschäftsmodell) anging, scheint Irland mit der WhatsApp-Entscheidung das Problem der Rechtmäßigkeit der Anzeigenverarbeitung vollständig umgangen zu haben – seitdem Die Untersuchung konzentrierte sich auf die Rechtsgrundlage, die Meta für „Dienstverbesserungen“ und „Sicherheit“ beanspruchte.
Hier hatte Meta (in ähnlicher Weise) versucht, sich auf einen Anspruch auf vertragliche Notwendigkeit zu stützen – aber Irland hat nun (per EDPB-Anordnung) festgestellt, dass dies nicht möglich ist.
Die DPC hat WhatsApp sechs Monate Zeit gegeben, um sich für diese Zwecke der Datenverarbeitung zu bessern. Das heißt, es muss einen Weg finden, die Daten rechtmäßig zu verarbeiten (möglicherweise indem die Benutzer gefragt werden, ob sie solchen Zwecken zustimmen, und ihre Daten nicht verarbeiten, wenn sie dies nicht tun).
Aber die Regulierungsbehörde hat sich einfach geweigert, auf eine parallele EDPB-Anweisung zu reagieren, in der die DPC aufgefordert wird, zu untersuchen, ob WhatsApp Benutzer(meta)daten für Anzeigen verarbeitet. Und dies hat zu neuen Schreien des ursprünglichen Beschwerdeführers über eine weitere Flickerei der viel kritisierten irischen Regulierungsbehörde geführt.
In einem Pressemitteilung, noybdie gemeinnützige Organisation für Datenschutzrechte, die hinter den ursprünglichen strategischen Beschwerden steht, schlägt nicht zu und argumentiert, dass Irland dem EDPB an dieser Stelle im Wesentlichen den Finger zeigt.
„Wir sind erstaunt, wie die DPC nach einem 4,5-jährigen Verfahren den Kern des Falls einfach ignoriert. Die DPC ignoriert auch eindeutig die bindende Entscheidung des EDPB. Es scheint, dass das DPC endlich alle Verbindungen zu den EU-Partnerbehörden und zu den Anforderungen des EU- und irischen Rechts abbricht“, sagte sein Ehrenvorsitzender Max Schrems in einer typisch prägnanten und schlagkräftigen Erklärung.
Während Messaging-Inhalte auf WhatsApp Ende-zu-Ende verschlüsselt sind – was bedeutet, vorausgesetzt, Sie vertrauen Metas Implementierung des Signal-Protokolls, dass diese Informationen vor neugierigen Blicken geschützt werden sollten – kann der Social-Media-Riese dennoch Einblicke in die Benutzer gewinnen, indem er sie verfolgt WhatsApp-Metadaten (auch bekannt als, wer mit wem spricht, wie oft usw.) – und auch durch Verbinden des Punkts und der Benutzer mit Konten und öffentlichen (oder anderweitig nicht E2EE-digitalen Aktivitäten) über andere Dienste, die es besitzt (und möglicherweise Dienste von Drittanbietern). gesät mit Tracking-Technologien) … Im Grunde genommen ist Metas Netz zum Sammeln von Daten also lang (und breit).
Das bedeutet, dass es sicherlich Fragen gibt, wie es die Daten von WhatsApp-Benutzern für Marketingzwecke verarbeiten könnte – und auf welche Rechtsgrundlage es sich für eine solche Verarbeitung stützt.
WhatsApp-Benutzer erinnern sich vielleicht an die große Kontroverse, die im Jahr 2021 begann – als die Plattform eine Aktualisierung ihrer AGB ankündigte, die die Benutzer akzeptieren mussten, um den Dienst weiterhin nutzen zu können. Es war nicht genau klar, was sich in den aktualisierten Bedingungen geändert hat. Aber was auch immer vor sich ging, Meta ließ den WhatsApp-Nutzern keine freie Wahl! Und während die regulatorische Aufmerksamkeit zu diesem Thema zu einem scheinbar kleinen Abstieg von Meta führte, das aufhörte, aggressive Pop-ups zu senden, in denen EU-Benutzer zustimmen (oder gehen), führte die ganze Episode zu weit verbreiteter Verwirrung darüber, was genau es tat mit WhatsApp-Benutzerdaten (und wie es rechtlich gesehen wurde).
Die Episode löste auch einige Verbraucherschutzbeschwerden aus. Was im vergangenen Sommer dazu führte, dass die Europäische Kommission dem Unternehmen einen Monat Zeit gab, um die verwirrenden AGB zu korrigieren und die Verbraucher „eindeutig“ über sein Geschäftsmodell zu informieren.
Nichts von der Verwirrung und dem Misstrauen in Bezug auf die AGB von WhatsApp wurde durch eine viel frühere Kehrtwende bei der Synchronisierung von Benutzerdaten mit Facebook unterstützt – als die Plattform ein Gründerversprechen umdrehte, diese Streams niemals zu überqueren. Kurz gesagt, es ist ein Chaos – und ein Chaos, von dem Europas Regulierungsbehörden nicht behaupten können, es beseitigt zu haben.
Doch trotz all der anhaltenden Verwirrung und Datenschutzbedenken scheint das DPC spektakulär desinteressiert zu sein, einen genauen Blick darauf zu werfen, wie WhatsApp Benutzerdaten für Anzeigen verarbeitet.
„Das DPC hat das 4,5-jährige Verfahren nun auf die geringfügigen Fragen der Rechtsgrundlage für die Verwendung von Daten zu Sicherheitszwecken und zur Serviceverbesserung beschränkt“, schreibt noyb und wirft der Regulierungsbehörde vor, diesen Hauptbestandteil ihrer Beschwerde im Wesentlichen zu ignorieren. „Die DPC ignoriert dabei die großen Probleme des Teilens von WhatsApp-Daten mit den anderen Unternehmen von Meta (Facebook und Instagram) für Werbe- und andere Zwecke.“
Die DPCs Pressemitteilung Bei der Bekanntgabe seiner endgültigen Entscheidung wird die Erwähnung von verhaltensbezogener Werbung fast vollständig vermieden – bis zum Finale, wenn der Satz auftaucht. Aber nur, weil er die Anweisung des EDPB an ihn zitiert – eine neue Untersuchung von „WhatsApp IEs“ durchzuführen [Ireland’s] Verarbeitungsvorgänge in seinem Dienst, um festzustellen, ob er besondere Kategorien personenbezogener Daten verarbeitet (Artikel 9 DSGVO), Daten für Zwecke der verhaltensorientierten Werbung, für Marketingzwecke sowie für die Bereitstellung von Metriken an Dritte und den Austausch verarbeitet von Daten mit verbundenen Unternehmen zum Zweck der Serviceverbesserung und um festzustellen, ob sie den einschlägigen Verpflichtungen aus der DSGVO entsprechen.“
Irland bot sich also die Gelegenheit, im Namen der WhatsApp-Nutzer nach der Nessel zu greifen und den Datenströmen zu folgen, um ein klares Bild davon zu zeichnen, was Metas Eigentum an der E2EE-Messaging-Plattform wirklich für die Privatsphäre der Nutzer bedeutet. (Und denken Sie daran, dass Metas Imperium für verhaltensorientiertes Ad-Targeting derzeit keine rechtliche Grundlage für die Anzeigenverarbeitung auf Facebook und Instagram in der EU hat.)
Aber anstatt mit der Untersuchung der Datenverarbeitung von WhatsApp fortzufahren, hat sich die irische Aufsichtsbehörde dafür entschieden, ihre Anwälte anzuweisen, die verbindliche Entscheidung des EDPB anzufechten und ihre Annullierung vor Gericht zu erwirken.
Aktualisieren: Meta hat nun auf die DPC-Entscheidung geantwortet und uns diese Erklärung geschickt, die einem WhatsApp-Sprecher zugeschrieben wird, in der sie bestätigt, dass sie Berufung einlegen wird:
Whatsapp hat die Branche für privates Messaging angeführt, indem es Ende-zu-Ende-Verschlüsselung und Datenschutzebenen bietet, die Menschen schützen. Wir sind der festen Überzeugung, dass die Funktionsweise des Dienstes sowohl technisch als auch rechtlich konform ist. Wir verlassen uns auf die vertragliche Notwendigkeit zur Verbesserung des Dienstes und zu Sicherheitszwecken, weil wir glauben, dass es eine grundlegende Verantwortung für den Betrieb unseres Dienstes ist, Menschen zu schützen und ein innovatives Produkt anzubieten. Wir sind mit der Entscheidung nicht einverstanden und beabsichtigen, Berufung einzulegen.