Datenschutzkommission verhängt 390 Millionen Euro Strafe gegen Facebook-Mutterkonzern Meta
Die irische Datenschutzkommission (DPC) hat den Abschluss von zwei Untersuchungen über die Datenverarbeitungsvorgänge von Meta Platforms Ireland Limited („Meta Ireland“) im Zusammenhang mit der Bereitstellung seiner Facebook- und Instagram-Dienste bekannt gegeben. (Meta Ireland war zuvor als Facebook Ireland Limited bekannt).
Die DPC hat nun endgültige Entscheidungen getroffen und gegen Meta Ireland eine Geldstrafe in Höhe von 210 Millionen Euro (für Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit ihrem Facebook-Dienst) und 180 Millionen Euro (für Verstöße im Zusammenhang mit ihrem Instagram-Dienst) verhängt. [Stellungnahme von Meta zur Entscheidung der Datenschutzkommission: Wie Meta die Rechtsgrundlagen für die Verarbeitung von Anzeigen in der EU nutzt]
Die Untersuchungen betrafen zwei Beschwerden über die Dienste von Facebook und Instagram, die jeweils die gleichen grundlegenden Fragen aufwarfen. Eine Beschwerde wurde von einer österreichischen betroffenen Person (in Bezug auf Facebook) eingereicht, die andere von einer belgischen betroffenen Person (in Bezug auf Instagram).
Die Beschwerden wurden am 25. Mai 2018 eingereicht, dem Tag, an dem die DSGVO in Kraft trat.
Im Vorfeld des 25. Mai 2018 hatte Meta Ireland die Nutzungsbedingungen für seine Facebook- und Instagram-Dienste geändert. Sie wies auch darauf hin, dass sie die Rechtsgrundlage änderte, auf die sie sich stützt, um die Verarbeitung der personenbezogenen Daten der Nutzer zu rechtfertigen. (Gemäß Artikel 6 der Datenschutz-Grundverordnung ist die Datenverarbeitung nur dann rechtmäßig, wenn und soweit sie mit einer der sechs genannten Rechtsgrundlagen übereinstimmt). Nachdem Meta Ireland sich zuvor auf die Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten im Zusammenhang mit der Bereitstellung von Facebook- und Instagram-Diensten (einschließlich verhaltensorientierter Werbung) gestützt hatte, versuchte sie nun, sich für die meisten (aber nicht alle) ihrer Verarbeitungen auf die Rechtsgrundlage „Vertrag“ zu stützen.
Wenn sie nach der Einführung der DSGVO weiterhin Zugang zu den Diensten von Facebook und Instagram haben wollten, wurden bestehende (und neue) Nutzer aufgefordert, auf „Ich akzeptiere“ zu klicken, um ihr Einverständnis mit den aktualisierten Nutzungsbedingungen zu erklären. (Die Dienste wären nicht zugänglich, wenn die Nutzer dies ablehnten).
Meta Ireland vertrat die Auffassung, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zwischen Meta Ireland und dem Nutzer zustande kam. Meta Ireland vertrat auch den Standpunkt, dass die Verarbeitung von Nutzerdaten im Zusammenhang mit der Bereitstellung seiner Facebook- und Instagram-Dienste für die Erfüllung dieses Vertrags erforderlich sei, wozu auch die Bereitstellung von personalisierten Diensten und verhaltensorientierter Werbung gehöre, so dass diese Verarbeitungen gemäß Artikel 6 Absatz 1 Buchstabe b der Datenschutz-Grundverordnung (die Rechtsgrundlage für die Verarbeitung „Vertrag“) rechtmäßig seien.
Die Beschwerdeführer machten geltend, dass sich Meta Ireland entgegen ihrer Behauptung immer noch auf die Einwilligung als Rechtsgrundlage für die Verarbeitung der Nutzerdaten stützen wolle. Indem Meta Ireland den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge sie sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen. Die Beschwerdeführer machten geltend, dass dies einen Verstoß gegen die Datenschutz-Grundverordnung darstelle.
Nach umfassenden Untersuchungen erstellte die DPC Entscheidungsentwürfe, in denen sie eine Reihe von Feststellungen gegen Meta Ireland traf. Insbesondere stellte sie fest, dass:
- Die Informationen über die Rechtsgrundlage, auf die sich Meta Ireland stützt, wurden den Nutzern nicht klar dargelegt, was dazu führte, dass die Nutzer nicht klar genug wussten, welche Verarbeitungen ihrer personenbezogenen Daten zu welchem Zweck und auf welcher der sechs in Artikel 6 der Datenschutz-Grundverordnung genannten Rechtsgrundlagen durchgeführt wurden. Der Datenschutzbeauftragte vertrat die Auffassung, dass ein Mangel an Transparenz in solch grundlegenden Fragen gegen Artikel 12 und 13 Absatz 1 c der Datenschutz-Grundverordnung verstößt. Er war auch der Ansicht, dass dies einen Verstoß gegen Artikel 5 Absatz 1 a darstellt, in dem der Grundsatz verankert ist, dass die personenbezogenen Daten der Nutzer rechtmäßig, nach Treu und Glauben und in transparenter Weise verarbeitet werden müssen. Der Datenschutzbeauftragte schlug Meta Ireland wegen des Verstoßes gegen diese Bestimmungen sehr hohe Geldbußen vor und wies das Unternehmen an, seine Verarbeitungen innerhalb einer bestimmten, kurzen Frist in Einklang mit den Vorschriften zu bringen.
- In Anbetracht der Tatsache, dass Meta Ireland sich nicht auf die Einwilligung der Nutzer als rechtmäßige Grundlage für die Verarbeitung ihrer personenbezogenen Daten berufen hat, konnte der Aspekt der „erzwungenen Einwilligung“ in den Beschwerden nicht aufrechterhalten werden. Anschließend prüfte der Datenschutzbeauftragte, ob Meta Ireland sich auf einen „Vertrag“ als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer im Zusammenhang mit der Erbringung seiner personalisierten Dienste (einschließlich personalisierter Werbung) berufen hat. Hier stellte der Datenschutzbeauftragte fest, dass Meta Ireland nicht verpflichtet war, sich auf eine Einwilligung zu berufen; die Datenschutz-Grundverordnung schloss grundsätzlich nicht aus, dass Meta Ireland sich auf die Rechtsgrundlage eines Vertrags beruft.
Im Rahmen eines von der Datenschutz-Grundverordnung vorgeschriebenen Verfahrens wurden die Entscheidungsentwürfe des Datenschutzbeauftragten den anderen Aufsichtsbehörden in der EU/im EWR, den so genannten betroffenen Aufsichtsbehörden (CSA), vorgelegt.
In der Frage, ob Meta Ireland gegen seine Transparenzverpflichtungen verstoßen hat, stimmten die CSAs den Entscheidungen des DSK (Datenschutzkonferenz) zu, auch wenn sie der Meinung waren, dass die vom DSK vorgeschlagenen Geldbußen erhöht werden sollten.
Zehn der 47 von den CSA erhoben Einwände in Bezug auf andere Elemente der Entscheidungsentwürfe (von denen einer im Falle des Entscheidungsentwurfs in Bezug auf den Facebook-Dienst später zurückgezogen wurde). Diese Gruppe von CSAs vertrat insbesondere die Auffassung, dass es Meta Ireland nicht gestattet werden sollte, sich auf die Rechtsgrundlage des Vertrags zu berufen, da die Bereitstellung personalisierter Werbung (als Teil des umfassenderen Pakets personalisierter Dienste, die als Teil der Facebook- und Instagram-Dienste angeboten werden) nicht als notwendig angesehen werden könne, um die Kernelemente einer angeblich viel eingeschränkteren Form des Vertrags zu erfüllen.
Die DPC (Data Protection Commission) war anderer Meinung und vertrat die Ansicht, dass die Facebook- und Instagram-Dienste die Bereitstellung eines personalisierten Dienstes mit personalisierter oder verhaltensbezogener Werbung beinhalten und offenbar auch darauf beruhen. In der Tat handelt es sich um personalisierte Dienste, die auch personalisierte Werbung enthalten. Nach Ansicht des DPC ist diese Tatsache von zentraler Bedeutung für die Abmachung zwischen den Nutzern und dem von ihnen gewählten Dienstanbieter und ist Teil des Vertrags, der zu dem Zeitpunkt geschlossen wird, an dem die Nutzer die Nutzungsbedingungen akzeptieren.
Nach einem Konsultationsverfahren wurde deutlich, dass kein Konsens erzielt werden konnte. Im Einklang mit seinen Verpflichtungen gemäß der Datenschutz-Grundverordnung verwies der DSB die strittigen Punkte an den Europäischen Datenschutzausschuss („EDSB“).
Der EDSB veröffentlichte seine Feststellungen am 5. Dezember 2022.
In den Feststellungen des EDSB wurden viele der von den CSAs vorgebrachten Einwände zurückgewiesen. Sie bestätigten auch den Standpunkt des EDSB in Bezug auf den Verstoß von Meta Ireland gegen seine Transparenzverpflichtungen, wobei lediglich ein zusätzlicher Verstoß (gegen den Grundsatz der Fairness) hinzugefügt und der EDSB angewiesen wurde, die Höhe der von ihm vorgeschlagenen Geldbußen zu erhöhen.
Der EDSB vertrat in der Frage der „Rechtsgrundlage“ eine andere Auffassung und kam zu dem Schluss, dass Meta Ireland grundsätzlich nicht berechtigt war, sich auf die Rechtsgrundlage „Vertrag“ zu berufen, die eine rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten zum Zweck der verhaltensorientierten Werbung darstellt.
Die vom DPC am 31. Dezember 2022 angenommenen endgültigen Entscheidungen spiegeln die oben dargelegten verbindlichen Feststellungen des EDPB wider. Dementsprechend enthalten die Entscheidungen des EDSB Feststellungen, dass Meta Ireland nicht berechtigt ist, sich auf die Rechtsgrundlage „Vertrag“ in Verbindung mit der Bereitstellung von verhaltensbezogener Werbung als Teil seiner Facebook- und Instagram-Dienste zu berufen, und dass seine bisherige Verarbeitung von Nutzerdaten im vermeintlichen Vertrauen auf die Rechtsgrundlage „Vertrag“ einen Verstoß gegen Artikel 6 der DSGVO darstellt.
Angesichts dieses zusätzlichen Verstoßes gegen die Datenschutz-Grundverordnung hat die Datenschutzbehörde die Höhe der gegen Meta Ireland verhängten Geldbußen auf 210 Mio. EUR (im Falle von Facebook) und 180 Mio. EUR (im Falle von Instagram) erhöht. (Die geänderte Höhe dieser Geldbußen spiegelt auch die Auffassung des EDSB in Bezug auf die Verstöße von Meta Ireland gegen seine Verpflichtungen in Bezug auf eine faire und transparente Verarbeitung der personenbezogenen Daten der Nutzer wider).
Die bestehende Auflage des EDSB, dass Meta Ireland seine Verarbeitungsvorgänge innerhalb von drei Monaten in Einklang mit der DSGVO bringen muss, wurde beibehalten.
Unabhängig davon hat der EDPB die Datenschutzbehörde angewiesen, eine neue Untersuchung durchzuführen, die sich auf alle Datenverarbeitungsvorgänge von Facebook und Instagram erstreckt und besondere Kategorien personenbezogener Daten untersucht, die im Rahmen dieser Vorgänge verarbeitet werden können oder auch nicht. Die Entscheidungen des Datenschutzbeauftragten enthalten natürlich keinen Hinweis auf neue Untersuchungen aller Datenverarbeitungsvorgänge von Facebook und Instagram, die vom EDSB in seinen verbindlichen Entscheidungen angeordnet wurden. Der EDSB hat keine allgemeine Aufsichtsfunktion, wie sie nationale Gerichte gegenüber unabhängigen nationalen Behörden haben, und es steht dem EDSB nicht zu, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen. Die Anweisung ist daher in Bezug auf die Rechtsprechung problematisch und scheint nicht mit der Struktur der in der Datenschutz-Grundverordnung festgelegten Kooperations- und Kohärenzregelungen vereinbar zu sein. In dem Maße, in dem die Anweisung eine Überschreitung seitens des EDSB beinhalten könnte, hält es der DPC für angemessen, eine Nichtigkeitsklage beim Gerichtshof der EU einzureichen, um die Aufhebung der Anweisung des EDSB zu erreichen.