Meta wird vorgeworfen, sich bei Facebook und Instagram nicht an die EU-Datenschutzbestimmungen gehalten zu haben. Das amerikanische Unternehmen will die Strafe anfechten.
Verfahren durch Max Schrems initiiert
Meta Platforms, früher bekannt als Facebook, wurde kürzlich von der irischen Datenschutzbehörde für seine unzulässigen Praktiken zur Verantwortung gezogen. Das Unternehmen hatte in seinen Nutzungsbedingungen erklärt, dass die Ausspielung von persönlich zugeschnittener Werbung Teil des Dienstes sei, für den keine gesonderte Zustimmung erforderlich sei. Diese Auslegung wurde nun gekippt, und die Behörde hat Meta aufgefordert, seine Datenverarbeitungspraktiken innerhalb von drei Monaten zu ändern.
Datenschutzaktivist Max Schrems kritisierte Metas Vorgehen: Statt einer Ja/Nein-Option für personalisierte Werbung habe man die Einwilligungsklausel einfach in die Geschäftsbedingungen verschoben. Er hält dies nicht nur für unfair, sondern auch für illegal. Es ist klar, dass Meta sofort Maßnahmen ergreifen muss, um sicherzustellen, dass es mit den GDPR-Vorschriften konform ist, oder mit ernsthaften Konsequenzen rechnen muss. Das Unternehmen muss sicherstellen, dass es den Nutzern eine ausdrückliche Opt-in-Option für personalisierte Werbung bietet und dass alle Datenverarbeitungsaktivitäten transparent und sicher sind.
Keine freiwillige Einwilligung
Der Europäische Datenschutzausschuss (EDPB) hat kürzlich klargestellt, dass eine informierte Zustimmung erforderlich ist, um personenbezogene Daten für Werbezwecke nutzen zu dürfen. Dies hat Meta, die Muttergesellschaft von Facebook, Instagram und WhatsApp, in die Bredouille gebracht. Unmittelbar vor dem Inkrafttreten der GDPR-Vorschriften im Mai 2018 hatte Meta aufgehört, seine Nutzerinnen und Nutzer um Zustimmung zur Nutzung ihrer personenbezogenen Daten für Werbezwecke zu bitten, und stattdessen personalisierte Werbung in seinen Allgemeinen Geschäftsbedingungen zu einem festen Bestandteil der gegenseitigen Serviceverpflichtungen erklärt.
Diese Entscheidung beruhte auf einer Beschwerde des österreichischen Datenschutzaktivisten Max Schrems über Facebook, für Instagram ist ein belgischer Nutzer zuständig. Die irische Datenschutzkommission (DPC) plant, in den kommenden Wochen über eine weitere Beschwerde über WhatsApp, das ebenfalls zu Meta gehört, zu entscheiden. Sollte Meta für schuldig befunden werden, gegen die GDPR-Bestimmungen verstoßen zu haben, könnte die Milliardengrenze an Geldstrafen leicht überschritten werden. Es bleibt abzuwarten, wie sich diese Situation entwickeln wird und welche Auswirkungen sie auf andere Unternehmen haben wird, die möglicherweise ähnliche Taktiken im Hinblick auf die Einholung der Zustimmung der Nutzer angewandt haben.
Wiederholte Datenschutzstrafen gegen Meta
Die irische Datenschutzkommission (DPC) hat seit September 2021 wiederholt Datenschutzstrafen gegen Meta, ein Unternehmen für soziale Medien, verhängt. Im November 2021 verhängte die DPC eine Geldstrafe in Höhe von 256 Millionen Euro gegen den Konzern, nachdem Daten von mehr als einer halben Milliarde Facebook-Nutzer im Internet veröffentlicht worden waren. Im September 2022 folgte eine weitere saftige Geldstrafe in Höhe von 405 Millionen Euro wegen schwerer Verstöße gegen die Datenschutzbestimmungen für Kinder. Darüber hinaus wurden Meta und seine Tochtergesellschaft WhatsApp mit Geldbußen in Höhe von 17 Millionen Euro bzw. 225 Millionen Euro belegt.
Meta hat sowohl gegen die Instagram- als auch gegen die WhatsApp-Entscheidung Berufung eingelegt, aber es bleibt abzuwarten, ob diese Berufungen erfolgreich sein werden. Die wiederholten Geldstrafen der Datenschutzbehörde zeigen, dass Meta seine Verantwortung für den Schutz der Nutzerdaten nicht ernst genug nimmt. Es ist klar, dass weitere Maßnahmen ergriffen werden müssen, um sicherzustellen, dass Unternehmen für ihre Handlungen in Bezug auf den Schutz von Nutzerdaten zur Verantwortung gezogen werden.