{"id":276569,"date":"2023-01-05T02:47:49","date_gmt":"2023-01-05T01:47:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=276569"},"modified":"2023-01-05T03:14:59","modified_gmt":"2023-01-05T02:14:59","slug":"eklat-irische-datenschutzbehrde-verhngt-390-millionen-euro-strafe-gegen-meta-und-klagt-gegen-beschluss","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/01\/05\/eklat-irische-datenschutzbehrde-verhngt-390-millionen-euro-strafe-gegen-meta-und-klagt-gegen-beschluss\/","title":{"rendered":"Eklat: Irische Datenschutzbehörde verhängt 390 Millionen Euro Strafe gegen Meta und klagt gegen Beschluss"},"content":{"rendered":"

[English<\/a>]Es l\u00e4uft auf einen weiteren Eklat hinaus. Die irische Datenschutzbeh\u00f6rde (DPC) hat ein Bu\u00dfgeld von 390 Millionen Euro gegen Meta wegen benutzerbezogener Werbung auf Facebook und Instagram verh\u00e4ngt. Meta darf demnach keine Werbung \u00fcber pers\u00f6nliche Daten der Benutzer ohne deren explizite Zustimmung mehr schalten. Das Ganze wurde erst nach massivem Protest der restlichen 26 Datenschutzbeauftragten anderer europ\u00e4ischer L\u00e4nder verh\u00e4ngt. Gleichzeitig hat die DPC angek\u00fcndigt, gegen den eigenen Beschluss zu klagen.<\/p>\n

<\/p>\n

\"\"Blog-Leser hatten bereits auf das Thema hingewiesen (danke daf\u00fcr). Ich bereite das Thema mal etwas breiter auf, das dieses viel Sprengstoff bietet, sowohl f\u00fcr Meta, als auch f\u00fcr die irische Datenschutzbeh\u00f6rde und f\u00fcr Europa.<\/p>\n

Worum geht es im Kern?<\/h2>\n

Die beiden Meta-T\u00f6chter Facebook und Instagram haben in ihren AGB Klauseln, die die Zustimmung der Benutzer beinhalten, dass die Plattformen nutzerbezogene Daten verwenden, um auf deren Basis personalisierte Werbung auszuspielen. Dies ist das Kerngesch\u00e4ft von Metas Business-Modell. W\u00e4hrend andere Webseiten f\u00fcr personalisierte Werbung eine Cookie-Zustimmungsl\u00f6sung verlangen, versuchte Meta diese Zustimmung global \u00fcber die AGB zu bekommen. Wer den AGB nicht akzeptiert, kann die Plattform nicht nutzen. Das widerspricht aber der der Ansicht von noyb und Datensch\u00fctzern der Datengrundschutzverordnung (DSGVO, GDPR), und die Organisation nyob hatte Beschwerde bei der irischem Datenschutzbeh\u00f6rde (DPC) eingereicht.<\/p>\n

Der DPC-Beschluss gegen Meta<\/h2>\n

Die irische Datenschutzkommission (DPC) hat zum 4. Januar 2023 zwei Entscheidungen ver\u00f6ffentlicht und gegen Meta Ireland eine Geldstrafe in H\u00f6he von 210 Millionen Euro (f\u00fcr Verst\u00f6\u00dfe gegen die Datenschutz-Grundverordnung im Zusammenhang mit ihrem Facebook-Dienst) und 180 Millionen Euro (f\u00fcr Verst\u00f6\u00dfe im Zusammenhang mit ihrem Instagram-Dienst) verh\u00e4ngt<\/a>. Meta Ireland wurde au\u00dferdem angewiesen, seine Datenverarbeitungsvorg\u00e4nge innerhalb von 3 Monaten in Einklang zu bringen.<\/p>\n

Die Untersuchungen betrafen zwei Beschwerden \u00fcber die Dienste Facebook und Instagram, die jeweils die gleichen grundlegenden Fragen aufwarfen. Eine Beschwerde wurde von einer \u00f6sterreichischen betroffenen Person (in Bezug auf Facebook) eingereicht, die andere von einer belgischen betroffenen Person (in Bezug auf Instagram).<\/p>\n

Bei der \u00f6sterreichischen Person handelt es sich um Max Schrems von der Organisation noyb. Die Beschwerden wurden am 25. Mai 2018 eingereicht, dem Tag, an dem die DSGVO in Kraft trat.<\/p>\n

Hintergrund war, dass Meta Ireland im Vorfeld des 25. Mai 2018 die Nutzungsbedingungen f\u00fcr seine Facebook- und Instagram-Dienste ge\u00e4ndert hatte. Meta wies in den Nutzungsbedingungen auch darauf hin, dass es die Rechtsgrundlage \u00e4nderte, auf die es sich st\u00fctzt, um die Verarbeitung der personenbezogenen Daten der Nutzer zu legitimieren. (Gem\u00e4\u00df Artikel 6 der Datenschutz-Grundverordnung ist die Datenverarbeitung nur dann rechtm\u00e4\u00dfig, wenn und soweit sie mit einer der sechs genannten Rechtsgrundlagen \u00fcbereinstimmt).<\/p>\n

Vorher hatte sich Meta Ireland auf die Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Facebook- und Instagram-Diensten (einschlie\u00dflich verhaltensorientierter Werbung) gest\u00fctzt. Mit der \u00c4nderung versuchte Meta sich f\u00fcr die meisten (aber nicht alle) ihrer Verarbeitungen auf die Rechtsgrundlage \"Vertrag\" zu st\u00fctzen.<\/p>\n

Der Eklat der DPC<\/h2>\n

Meta st\u00fctzte sich darauf, dass durch die Zustimmung ein neuer Vertrag zustande kam, durch den die personalisierte Werbung ausgespielt werden k\u00f6nnen. Die Organisation noyb f\u00fchrte dagegen Beschwerde, weil der Nutzer keine Wahlfreiheit hatte, wenn er die Plattformen nutzen wollte.<\/p>\n

Die irische Datenschutzbeh\u00f6rde (DPC) startete nach der Einreichung der Beschwerden in 2018 eine Untersuchung der Vorg\u00e4nge, und kam zum Ergebnis, dass die Informationen \u00fcber die Rechtsgrundlage, auf die sich Meta Ireland st\u00fctzt, den Nutzern nicht klar dargelegt wurden. Das f\u00fchrte dazu, dass die Nutzer nicht klar genug wussten, welche Verarbeitungen ihrer personenbezogenen Daten zu welchem Zweck und auf welcher der sechs in Artikel 6 der Datenschutz-Grundverordnung genannten Rechtsgrundlagen durchgef\u00fchrt wurden.<\/p>\n

Die DPC schlug Meta Ireland nach der Pr\u00fcfung wegen des Versto\u00dfes gegen diese Bestimmungen sehr hohe Geldbu\u00dfen vor und wies das Unternehmen an, seine Verarbeitungen innerhalb einer bestimmten, kurzen Frist in Einklang mit den Vorschriften zu bringen. Gleichzeitig kam die DPC zum Schluss, dass der Aspekt der \"erzwungenen Einwilligung\" in den Beschwerden nicht aufrechterhalten werden konnte. Dieser Punkt wurde also abgewiesen – Meta h\u00e4tte lediglich klarer die Verarbeitungsgrundlage herausarbeiten m\u00fcssen.<\/p>\n

Im Rahmen eines von der Datenschutz-Grundverordnung vorgeschriebenen Verfahrens wurden die Entscheidungsentw\u00fcrfe der DPC den anderen Aufsichtsbeh\u00f6rden in der EU\/im EWR, den so genannten betroffenen Aufsichtsbeh\u00f6rden (CSA), vorgelegt.<\/p>\n