Sieg für Privatsphäre: Rekordgeldstrafe gegen Facebook dank Max Schrems.

Meta muss 1,2 Milliarden Euro für die Verletzung der EU-Verordnung DSGVO zahlen.

2023-05-24 / First published: 2022-12-09
Das Geschäftsmodell von Facebook, Nutzer zu zwingen, dem Tracking zuzustimmen und dann personalisierte Werbung zu schalten, ist in Europa illegal.
Die EU hat gegen die Facebook-Muttergesellschaft Meta wegen der Weitergabe von Nutzerdaten an die USA eine Rekordstrafe von 1,2 Milliarden Euro verhängt. Meta wurde außerdem angewiesen, die Datenübermittlung zu stoppen. Dies ist ein großer Sieg für Privatsphäre, aber Meta will gegen die Strafe gerichtlich vorgehen.

Die neue Rekordstrafe von Facebook in Höhe von 1,2 Milliarden Euro wurde dank zweier sehr prominenter Persönlichkeiten verhängt: Max Schrems, der Facebook vor Jahren wegen der Weitergabe persönlicher Daten von EU-Bürgern an die USA verklagte, und Edward Snowden, der öffentlich machte, dass US-Geheimdienste relativ einfach an Daten von US-Diensten wie Meta gelangen können - was gegen die europäische Datenschutzgrundverordnung (DSGVO) verstößt.

Zehn Jahre nach den Enthüllungen des NSA-Whistleblowers Snowden wurde Facebook schließlich zu einer Geldstrafe von 1,2 Milliarden Euro verurteilt, weil es möglicherweise Daten von EU-Bürgern an US-Geheimdienste weitergegeben hat: Auf Druck der EU hat die irische Datenschutzbehörde (DPC) eine Rekordstrafe von 1,2 Milliarden Euro gegen die Social-Media-Plattform verhängt.

Die von der DPC verhängte Strafe stellt die bisherige Rekordstrafe von 746 Millionen Euro in den Schatten, die Luxemburg 2022 gegen Amazon verhängt hatte.

Grund für das Bußgeld war eine Klage des österreichischen Datenschutzaktivisten Max Schrems, der immer wieder Konsequenzen aus den Snowden-Enthüllungen gefordert hatte und damit bis vor den Europäischen Gerichtshof gezogen war. Der Gerichtshof hat daraufhin das Privacy-Shield-Abkommen zwischen den USA und der EU für rechtswidrig erklärt.

Die Gründe für die Aufhebung von Privacy Shield sind nach wie vor gültig. Das Problem ist, dass die US-Gesetze die Daten europäischer Bürger nicht ausreichend schützen, da die Überwachungsprogramme in den USA nicht auf das absolut Notwendige beschränkt sind.

Meta muss daher jede weitere Übermittlung europäischer personenbezogener Daten an die Vereinigten Staaten unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt. Der Silicon-Valley-Technologieriese hat sechs Monate Zeit, um dem Urteil nachzukommen.

Urteil gilt nur für Facebook

Meta fühlt sich zu Unrecht bestraft und kündigte an, in Berufung zu gehen: "Hier geht es nicht um die Datenschutzpraktiken eines Unternehmens – es besteht ein grundlegender Rechtskonflikt zwischen den Regeln der US-Regierung für den Zugang zu Daten und den europäischen Datenschutzrechten, den die politischen Entscheidungsträger voraussichtlich im Sommer lösen werden", heißt es in einer Erklärung, die dem SPIEGEL vorliegt.

Max Schrems, der die gemeinnützige Organisation NOYB gegründet hat, um seinen Kampf für den Datenschutz fortzusetzen, stimmt diesem Punkt zu: "Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein."

"Die irische DPC hat alles getan, um diese Entscheidung zu verhindern, wurde aber immer wieder von den europäischen Gerichten und Institutionen zurechtgewiesen. Es ist irgendwie absurd, dass die Rekordstrafe an Irland geht – den EU-Mitgliedstaat, der alles getan hat, um sicherzustellen, dass diese Strafe nicht verhängt wird", sagt Schrems.

Seit der Einführung der Datenschutz-Grundverordnung im Jahr 2018 hat Meta vier Milliarden Euro an Bußgeldern von EU-Regulierungsbehörden auferlegt bekommen.

Unter den zehn Unternehmen mit den höchsten Bußgeldern aufgrund der DSGVO ist Meta nun sechsmal vertreten - ein Negativrekord.

Die 10 höchsten DSGVO-Bußgelder bis jetzt

  1. Meta DSGVO-Bußgeld - 1,2 Milliarden Euro, von Irland im Mai 2023

  2. Amazon DSGVO-Bußgeld - 746 Millionen Euro, von Luxemburg im Juli 2021

  3. Meta DSGVO-Bußgeld - 405 Millionen Euro, von Irland im September 2022

  4. Meta DSGVO-Bußgeld - 390 Millionen Euro, von Irland im Januar 2023

  5. Meta DSGVO-Bußgeld - 265 Millionen Euro, von Irland im November 2022

  6. WhatsApp DSGVO-Bußgeld - 225 Millionen Euro, von Irland im September 2021

  7. Google LLC DSGVO-Bußgeld - 90 Millionen Euro, von Frankreich im Dezember 2021

  8. Google Ireland DSGVO-Bußgeld - 60 Millionen Euro, von Frankreich im Dezember 2021

  9. Facebook Irland DSGVO-Bußgeld - 60 Millionen Euro, von Frankreich im Dezember 2021

  10. Google Frankreich DSGVO-Bußgeld - 50 Mio. €, von Frankreich im Januar 2019


Facebooks Geschäftsmodell ist in der EU illegal

Die Rekordstrafe von 1,2 Milliarden Euro gegen Meta ist nur der letzte Akt in einem seit langem andauernden Rechtsstreit, der zeigt, dass das Geschäftsmodell von Facebook in Europa illegal ist, weil es gegen den Datenschutz verstößt und die Gefahr besteht, dass die Daten europäischer Bürger in die Hände von US-Geheimdiensten fallen.

Anfang dieses Jahres, im Januar 2023, wurde Meta bereits zu einer Geldstrafe von 390 Millionen Euro verurteilt. Nach Ansicht der EU-Datenschutzbehörden dürfen Facebook und Instagram ihre Nutzer nicht dazu zwingen, dem Tracking zuzustimmen, indem sie diese Anforderung in ihre Geschäftsbedingungen aufnehmen. Dieses Geschäftsmodell von Meta ist nach der DSGVO illegal.

Da Facebook - wie auch andere Tech-Giganten - sich nicht um den Schutz unserer Privatsphäre oder die Verschlüsselung unserer Daten kümmert, können alle Daten, die sie sammeln, leicht weitergegeben werden.

Wir müssen uns daran erinnern: Wenn es kostenlos ist, bist du das Produkt.

Quote: If it’s free, you are the product.

TL;DR: Metas Praxis, von den Nutzern zu verlangen, dass sie dem Tracking über ihre AGB zustimmen, ist nach der Datenschutz-Grundverordnung nicht legal. Facebook, Instagram und WhatsApp müssen eine Ja- und Nein-Option anbieten, damit die Nutzer aktiv ihre Zustimmung geben - oder diese verweigern können. Dies ist ein schwerer Schlag für Metas Geschäftsmodell der personalisierten Werbung.

Lektion, die wir daraus gelernt haben: Warten Sie nicht länger auf Facebook, sondern nutzen Sie jetzt Dienste, die Ihr Recht auf Privatsphäre respektieren.

Die irische Datenschutzkommission (DPC) hat in einer Pressemitteilung bestätigt, dass Metas Praxis der erzwungenen Cookie-Vereinbarungen in Facebook und Instagram nach der Datenschutz-Grundverordnung illegal ist. Der Tech-Riese wurde für diesen Verstoß gegen den Datenschutz mit einer Geldstrafe in Höhe von 390 Millionen Euro belegt - das ist bereits halb so viel, wie Meta im Jahr 2022 wegen Verstößen gegen die europäische Datenschutz-Grundverordnung (DSGVO) aufgebrummt wurde, und das Jahr 2023 hat gerade erst begonnen. Eine endgültige Entscheidung in Bezug auf WhatsApp steht noch aus.

Dies ist ein weiteres Zeichen dafür, dass Europa bei Verstößen gegen die Datenschutz-Grundverordnung strenger vorgeht.

Ursprünglich wollte die irische Datenschutzbehörde nur 28 bis 36 Millionen Euro, etwa 10 % des endgültigen Urteils, als Strafe verhängen. Der Europäische Datenschutzausschuss (EDPB) hat die Iren jedoch überstimmt und auf hohen Geldstrafen für Meta bestanden - mit der Begründung, dass Meta absichtlich gegen die Datenschutz-Grundverordnung und die Privatsphäre der Menschen verstoßen hat, um Profit zu machen.

Max Schrems von der Nichtregierungsorganisation NOYB, die Meta wegen ihrer Datenschutzverletzungen verklagt hat, sagt dazu:

"Die Strafe wird an Irland gehen - den Staat, der sich auf Metas Seite gestellt und die Durchsetzung mehr als vier Jahre lang verzögert hat. Dieser Fall wird wahrscheinlich von Meta angefochten werden, was zu weiteren Kosten für noyb führen wird."

Lesen Sie mehr über den juristischen Kampf um den Datenschutz in Europa auf der NOYB-Homepage.

Ursprünglicher Artikel

Entscheidung der EU-Datenschutzbeauftragten

In einer weitreichenden Entscheidung haben die EU-Datenschutzbehörden am Montag gesagt, dass Meta Platforms Inc. die Nutzer nicht zwingen darf, personalisierter Werbung auf der Grundlage ihrer Online-Aktivitäten zuzustimmen. Das Urteil könnte die Daten, die Meta für den Verkauf gezielter Werbung nutzen kann, enorm einschränken.

Die Aufnahme eines Absatzes in die Nutzungsbedingungen, dem die Nutzer zustimmen müssen, reicht nach der Allgemeinen Datenschutzverordnung (DSGVO) nicht aus. Solche Bedingungen sind keine Rechtfertigung dafür, Daten zu sammeln und gezielte Werbung zu schalten. Stattdessen müssen die Meta-Plattformen Facebook, Instagram und WhatsApp den Nutzern eine klare Ja-/Nein-Wahlmöglichkeit bieten, bei der sie aktiv zustimmen können, dass sie einverstanden sind getrackt zu werden - oder dies ablehnen.

Die sogenannte erzwungene Zustimmung des Tech-Giganten zur Tracking, zur gezielten Ansprache von Nutzern durch die Verarbeitung ihrer personenbezogenen Daten sowie zur Erstellung von Profilen für verhaltensbezogene Werbung wurde nach der Veröffentlichung der DSGVO im Jahr 2018 zu den Bedingungen von Meta hinzugefügt. Jetzt wurde diese Praxis von EU-Datenschutzbeauftragten für illegal erklärt.

Die EU-Entscheidung erklärt ein Tracking, dem man aufgrund der Nutzungsbedingungen zustimmen muss, für illegal

Diese Entscheidung folgte auf Beschwerden, die von der europäischen Datenschutz-NGO noyb eingereicht wurden, sobald die DSGVO im Mai 2018 in Kraft trat. Es dauerte rund 4,5 Jahre, bis die EU schließlich in dieser Angelegenheit entschied.

Der Grund für diesen langwierigen Prozess ist, dass die irische Datenschutzkommission (DPC) ursprünglich erklärt hat, dass die aktualisierten Bedingungen von Meta die Anforderungen der DSGVO erfüllen. Irland ist die wichtigste Datenschutzbehörde für Meta in der EU, da sich dort der europäische Hauptsitz von Meta befindet.

Meta erklärte, dass seine aktualisierten Bedingungen auf dem DSGVO-Konzept der vertraglichen Notwendigkeit" beruhen. Die Datenschutz-Grundverordnung verbietet es Unternehmen in den meisten Fällen, Nutzer zu zwingen, persönliche Daten preiszugeben, um ihre Dienste zu nutzen. Die einzige Ausnahme ist, wenn diese Informationen für die Ausführung eines Vertrags erforderlich sind: Zum Beispiel muss eine Carsharing-App Ihren Standort kennen, damit sie Ihnen Autos in Ihrer Nähe anzeigen kann.

Meta berief sich auf diese Vertragsbestimmung der Datenschutz-Grundverordnung. Dieser Argumentation stimmte die irische Datenschutzbehörde zunächst zu.

Doch nun geben die EU-Datenschutzbehörden die Entscheidung an den Datenschutzbeauftragten zurück und erklären, dass die "vertragliche Notwendigkeit" von Apps wie Facebook, Instagram und WhatsApp nicht erfüllt wird und dass es die Pflicht des Datenschutzbeauftragten ist, angemessene Datenschutzrechte für die europäischen Bürger durchzusetzen.

Der Datenschutzbeauftragte hat nun einen Monat Zeit, um eine endgültige Entscheidung zu treffen, die mit erheblichen Geldstrafen verbunden ist.

Auswirkungen

Die Entscheidung der EU, dass die derzeitige Tracking-Praxis von Facebook illegal ist, hat enorme Auswirkungen: Sie wirkt sich direkt auf das Geschäftsmodell von Facebook aus. Derzeit profitieren Facebook und Instagram stark von der Tatsache, dass die Nutzer ihre privaten Daten preisgeben müssen, um den Dienst zu nutzen. Meta wiederum nutzt diese Daten, um Profile zu erstellen und gezielte Werbung zu schalten - eine Goldgrube für den Silicon-Valley-Riesen.

Die Entscheidung der EU wird jedoch den Zugang von Facebook zu dieser Goldgrube einschränken und sich somit direkt auf die Einnahmen auswirken.

Ein Zeichen dafür, wie schlecht diese Entscheidung für die Gewinne von Meta ist, ist die Entscheidung von Apple vergangenes Jahr: Im Jahr 2021 verlangte Apple von den Entwicklern von iPhone-Apps, die Nutzer zu fragen, ob sie eine Nachverfolgung ihrer Nutzung wünschen. Kaum überraschend: Viele iPhone-Nutzer lehnten das Tracking und die Erstellung von Profilen ab.

Infolgedessen gingen die Einnahmen von Meta im Jahr 2021 um 8 % zurück, nur weil iPhone-Nutzer nicht mehr bereit waren, ihre privaten Daten mit Facebook, Instagram und WhatsApp zu teilen.

Die Einschränkung des Online-Trackings von Facebook kommt der Privatsphäre der Nutzer zugute und schadet gleichzeitig den Einnahmen von Meta. Die Daten der Menschen sind für Big Tech viel mehr wert, als viele denken.

EU schränkt Facebook-Tracking ein

Die jüngste EU-Entscheidung ist ein weiteres Zeichen für das wachsende Interesse der EU-Behörden an einer Begrenzung des überwachungsgestützten Trackings. Endlich werden die Menschen und die Politiker auf die Gefahren der verhaltensorientierten Werbung aufmerksam, und die EU-Behörden beginnen, sie so zu regulieren, dass die Privatsphäre der Menschen geschützt wird.

Für Unternehmen wie Facebook, Google und Amazon ist dieses Geschäft jedoch jedes Jahr Milliarden von Dollar wert.

Erfahren Sie hier, wie online Ihr Profil erstellt wird und wie Sie dies verhindern können.

Trotzdem hat sogar Kalifornien - wo die meisten Big-Tech-Unternehmen ihren Sitz haben - umfangreiche Datenschutzgesetze erlassen, die es den Nutzern ermöglichen, sich gegen die so genannte kontextübergreifende verhaltensbezogene Werbung zu entscheiden.

Vielleicht liegt der Grund für diese Gesetze darin, dass die Kalifornier am besten wissen, wie schädlich Tracking und verhaltensbezogene Werbung sind, da dieses Geschäftsmodell dort seinen Ursprung hat.

Folgen für die Nutzer

Die EU-Entscheidung wird leider keine direkten Folgen für die Nutzer haben, da gegen sie Berufung eingelegt werden kann. Eine solche Berufung würde ein langwieriges Gerichtsverfahren nach sich ziehen.

Sollte die Entscheidung jedoch bestätigt werden, wird es für Facebook und andere Plattformen sehr viel schwieriger werden, Nutzern Werbung zu zeigen, die auf dem basiert, was sie innerhalb der eigenen Apps anklicken, liken, teilen oder ansehen.

Während Meta seinen Nutzern bereits die Möglichkeit gibt, die Personalisierung von Anzeigen auf der Grundlage von Daten anderer Websites und Apps abzulehnen, hat es eine solche Option für Anzeigen auf der Grundlage von Daten über Nutzeraktivitäten auf seinen eigenen Plattformen noch nie angeboten.

Für Facebook - und andere Big-Tech-Unternehmen - wäre die Einschränkung des Zugangs zum Nutzer-Tracking ein schwerer Schlag, da der Aufbau von Zielgruppen für personalisierte Werbung den Großteil der Einnahmen dieser Unternehmen ausmacht.

"Dies ist keine endgültige Entscheidung und es ist zu früh, um darüber zu spekulieren", sagte ein Meta-Sprecher dem Wall Street Journal und fügte hinzu, dass das EU-Recht auch andere Rechtfertigungen für das Targeting von Werbeanzeigen zulassen könnte: "Wir haben uns mit der Datenschutzbehörde über ihre Anfragen ausgetauscht und werden uns auch weiterhin mit ihr austauschen, wenn sie ihre Entscheidung abschließt.

Nichtsdestotrotz sieht die Datenschutz-Grundverordnung hohe Geldstrafen für schwerwiegende Verstöße vor - bis zu 4 % des weltweiten Jahresumsatzes.

Zunehmende Durchsetzung des Datenschutzes

Obwohl die EU-Datenschutzgrundverordnung (DSGVO) bereits im Mai 2018 in Kraft getreten ist, hat die politische Durchsetzung erst in den letzten Monaten so richtig Fahrt aufgenommen. Inzwischen sind viele große Tech-Unternehmen mit hohen Geldstrafen belegt worden.

Die irische Datenschutzbehörde hat Meta in den letzten 15 Monaten in vier weiteren Fällen eine Geldstrafe von mehr als 900 Millionen US-Dollar auferlegt und führt derzeit zehn weitere Ermittlungen gegen das Unternehmen durch.

Die irische Tochtergesellschaft von Meta hatte im vergangenen Jahr fast 3 Milliarden Euro für Bußgelder im Zusammenhang mit dem Schutz der Privatsphäre in der EU zurückgestellt - 1,97 Milliarden Euro mehr als im Jahr zuvor, wie aus den irischen Unternehmensunterlagen hervorgeht.

Trotzdem scheint es für die Silicon-Valley-Giganten bisher viel profitabler zu sein, die Bußgelder einfach zu bezahlen - anstatt das Geschäftsmodell zu ändern.

Das bedeutet, dass wir weiter dafür kämpfen müssen, das werbebasierte Tracking zu stoppen. Fangen Sie jetzt damit an, indem Sie einen Adblocker zu Ihrem Browser hinzufügen!