Datenschutzverstöße bei Facebook & Instagram

390 Millionen Euro Bußgeld für Meta

Der Facebook-Konzern Meta wurde aufgrund von Datenschutzverstößen bei Facebook und Instagram zur Zahlung eines Bußgeldes von 390 Millionen Euro aufgefordert. Der Konzern versuchte die Regelungen der DSGVO bezüglich der Datenspeicherung und Datenverarbeitung personenbezogener Informationen zu umgehen.

Veröffentlicht am: 13.01.2023

Von: Thomas Repka

Qualifikation: Fachanwalt für IT-Recht in Hamburg

Lesedauer:

Der ehemalige Facebook-Konzern macht regelmäßig Schlagzeilen mit fragwürdigem Datenschutz. Dieses Mal stand Meta aufgrund mehrerer Verstöße gegen die EU-Datenschutzrichtlinien in Verdacht. Nachdem der Europäische Datenschutzausschuss die irische Datenschutzbehörde DPC dazu aufforderte, nach mehreren Beschwerden von Nutzern und Datenschutzaktivisten gegen Meta vorzugehen, wurden Datenschutzverstöße sowohl bei Instagram als auch bei Facebook nachgewiesen.

In beiden Fällen wurden persönliche Daten von Nutzern gesammelt und für personalisierte Werbung verarbeitet. Grundsätzlich kann das erlaubt sein – aber auch, wenn die Nutzer dieser Vorgehensweise gar nicht explizit zugestimmt haben?

Datenschutzgrundverordnung & personalisierte Werbung

Seit 2018 regelt die Datenschutzgrundverordnung, unter welchen Bedingungen Internetportale personenbezogene Daten ihrer Kunden und User nutzen dürfen. Grundsätzlich muss dazu die Einwilligung der Nutzer eingeholt werden. Es dürfen also generell nicht automatisch personenbezogene Daten eines Users ungefragt einbezogen und verarbeitet werden.

ABER: Es gibt dennoch Ausnahmefälle, in denen auf eine explizite Zustimmung des Kunden verzichtet werden darf. Das ist regelmäßig dann der Fall, wenn die Nutzung der personenbezogenen Daten zwingend erforderlich ist, um die angebotene Leistung auszuführen. Ein klassisches Beispiel dafür wäre das Übermitteln der Kontaktadresse des Kunden vom Online-Shop an das Logistikunternehmen, welches die Ware ausliefert.

Personenbezogene Daten für personalisierte Werbung ohne Zustimmung?

Die Entscheidung der irischen Datenschutzbehörde DPC fällt eindeutig aus. Der Meta-Konzern habe sowohl mit Facebook als auch Instagram gegen die EU-Datenschutzgrundverordnung verstoßen. Denn um die Regelung der DSGVO, die grundsätzlich notwendige Zustimmung des Nutzers zur Verarbeitung personenbezogener Daten, zu umgehen, hat Facebook personalisierte Werbung einfach in seine Allgemeinen Geschäftsbedingungen (AGB) aufgenommen.

Mit der Akzeptierung der AGB durch Kunden, hat Facebook das Ausspielen von persönlich zugeschnittener Werbung zum Teil des Dienstes erklärt, für den keine eigene Zustimmung notwendig sei. Kunden konnten folglich der Datenspeicherung und -verarbeitung gar nicht in der DSGVO-konformen Weise explizit zustimmen. Denn die Nutzungsbestimmungen von Facebook enthielten lediglich folgenden Satz:

„Wir helfen dir, Inhalte, Produkte und Dienste zu entdecken, die dich möglicherweise interessieren: Wir zeigen dir personalisierte Werbeanzeigen, Angebote und sonstige gesponserte oder kommerzielle Inhalte, um dir dabei zu helfen, Inhalte, Produkte und Dienste zu entdecken.“

Facebook und Instagram AGB verstoßen gegen DSGVO

Durch diese AGB würden Nutzer dazu gedrängt, bestimmte Bedingungen zu akzeptieren, da die Dienste des Internetriesen für sie andernfalls nicht mehr nutzbar gewesen wären.

Das Ende vom Lied: Meta darf in Zukunft keine personenbezogenen Daten seiner Nutzer mehr ohne deren Zustimmung für die Personalisierung von Werbung verwenden. Die irische Datenschutzbehörde verhängte ein Bußgeld in Höhe von satten 390 Millionen EUR. Dabei entfallen 210 Millionen EUR davon auf den Facebook-Datenschutzverstoß und 180 Millionen EUR auf den Instagram-Datenschutzverstoß.

Der Entscheidung der irischen Datenschutzbehörde zufolge muss Meta seinen Nutzern innerhalb von drei Monaten eine Möglichkeit zur Verfügung stellen, die Social-Media-Plattform nutzen zu können, ohne dass personalisierte Werbung erscheint, es sei denn, der Nutzer hat der Datenverarbeitung explizit zugestimmt.

390 Millionen Euro Bußgeld wegen illegaler AGB

Meta argumentierte, dass Unternehmen in der (spätestens jetzt beantworteten) Frage mit einer unklaren Rechtslage konfrontiert gewesen seien. Der Konzern sehe sich weiterhin im Recht und vor allem im Einklang mit der Europäischen Datenschutzgrundverordnung, da personalisierte Werbung schließlich eine für Facebook durch die AGB verpflichtete Leistung sei und nicht ohne Verarbeitung personenbezogener Daten erbracht werden könne, weshalb die Einholung einer Zustimmung des Nutzers ausnahmsweise nicht erforderlich sei.

Die 390 Millionen EUR Strafe will der US-Konzern daher nicht auf sich sitzen lassen und gegen die Entscheidung und das Bußgeld in Berufung gehen.

Cookie	Beschreibung
_gcl_au	This cookie is used by Google Analytics to understand user interaction with the website.
_ga	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the wbsite is doing. The data collected including the number visitors, the source where they have come from, and the pages viisted in an anonymous form.
_gat	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.
_gat_UA-4305110-1	This is a pattern type cookie set by Google Analytics, where the pattern element on the name contains the unique identity number of the account or website it relates to. It appears to be a variation of the _gat cookie which is used to limit the amount of data recorded by Google on high traffic volume websites.
_fbp	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
fr	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.