Nur 5,5 Millionen Euro Strafe für Whatsapp

Die irische Datenschutzbehörde (DPC) bestätigte heute die Entscheidung des Europäische Datenschutzausschusses (EDSA), dass #Meta #Whatsapp Nutzer nicht zwingen kann, der Verwendung ihrer Daten für »Serviceverbesserungen« und »Sicherheit« zuzustimmen.

Die Kernpunkte der Datenverwendung für »verhaltensbezogene #Werbung, für Marketingzwecke sowie für die Bereitstellung von #Statistiken an Dritte und den »Austausch von Daten mit verbundenen Unternehmen«Â wurden von der #Behörde nicht behandelt – trotz einer verbindlichen Entscheidung des EDSA, dass diese Fragen untersucht werden müssen. Statt dessen klagt die irische Datenschutzbehörde nun ihre europäischen Kollegen vor dem EUGH.

Die Entscheidung erging 4,5 Jahre nach den ursprünglichen Beschwerden von Noyb, die sich auf Metas Umgehung der DSGVO durch eine Klausel in den Allgemeinen Geschäftsbedingungen bezogen.

Key Facts

  • Am 25. Mai 2018 reichte Noyb 3 Beschwerden gegen Facebook, Instagram und Whatsapp wegen erzwungener Einwilligung ein.

  • Zwei Beschwerden gegen Facebook und Instragram, die im Namen eines österreichischen und eines belgischen Nutzers eingereicht wurden, wurden in der ersten Januarwocheentschieden und führten zu einer Geldstrafe von insgesamt 390 Millionen Euro.

  • Die dritte Entscheidung gegen Whatsapp im Namen eines deutschen Nutzers wurde heute veröffentlicht.

  • Meta hatte versucht, die in der DSGVO vorgeschriebene Einwilligung zu umgehen, indem es eine Klausel in die Allgemeinen Geschäftsbedingungen für Werbung einfügte.

  • Im Dezember 2022 hob der EDSA einen früheren Entscheidungsentwurf der irischen Datenschutzbehörde auf, der die Umgehung der DSGVO durch Meta für rechtmäßig befand und forderte Änderungen an der Entscheidung zu Whatsapp sowie weitere Untersuchungen zu den Kernverstößen von Whatsapp.

  • Der EDSA hat nun auch in Bezug auf Whatsapp die Entscheidung umgedreht, in großen Teilen hat die irische Behörde aber gar nicht entscheiden. Der EDSA konnte daher nur eine ordentliche Untersuchung anordenen.

  • Die DPC hat nun ihre (beschränkte) Entscheidung angepasst, lehnt aber die Anordnung des EDSA ab, weitere Angelegenheiten zu untersuchen. Stattdessen verklagt sie nun den EDSA.

  • Whatsapp muss nun auf eine Einwilligung wechseln, wenn sie Nutzer:innnedaten weiterhin für Produktverbesserung auswerten wollen. Für die Nutzung aus Sicherheitsgründen scheind die DSGVO andere Möglichkeiten vorzusehen.

Meta wollte die DSGVO »umgehen«. Die DSGVO sieht sechs Rechtsgrundlagen für die Verarbeitung von Daten vor, eine davon ist die Einwilligung gemäß Artikel 6 (1) (a). Meta versuchte, das Erfordernis der Einwilligung für #Tracking und #Online #Werbung zu umgehen, indem es argumentierte, dass Anzeigen ein Teil des »Dienstes« sind, den es den Nutzern vertraglich schuldet. Der angebliche Wechsel der Rechtsgrundlage fand genau am 25. Mai 2018 um Mitternacht statt, als die DSGVO in Kraft trat. Meta vertrat die Ansicht, dass es einfach beliebige Elemente in den Vertrag einfügen könnte (wie zum Beispiel personalisierte Werbung), um eine Ja Nein #Einwilligung für die #Nutzer zu vermeiden.

DPC beschränkt Fall auf »Sicherheit« und »Verbesserung der Dienste«. Die Datenschutzbehörde hat das 4,5 Jahre dauernde Verfahren nun offenbar auf Randthemen wie die Rechtsgrundlage für die Verwendung von Daten zu Sicherheitszwecken und zur Verbesserung von Diensten beschränkt, während sie die zentralen Fragen zum Datenaustausch mit anderen Unternehmen von Meta (Facebook und Instagram) zu Werbezwecken ignoriert. Während die Nutzer:innen um die Verwendung ihrer Daten zur Produktverbesserung mittels Opt-in gebeten werden müssen, bleibt die Verwendung von Daten zu Sicherheitszwecken unter der DSGVO legal, auch wenn dies nicht mehr in einem Vertrag enthalten ist.

Max Schrems: »Wir sind erstaunt, wie die Datenschutzbeauftragte nach einem 4,5 jährigen Verfahren den Kern des Falles einfach nicht entscheidet. Auch der verbindliche Beschluss des EDSA wird von DPC ganz offensichtlich ignoriert. E scheint die DPC kappt endgültig alle Verbindungen zu den  anderen EU-Behörden und zu den Anforderungen des eropäischen und irischen Rechts.«

Whatsapp »Metadaten« weiter für personalisierte Werbung genutzt? Whatsapp bietet zwar keine personalisierte Werbung an, liefert aber sogenannte »Metadaten« an #Facebook und #Instagram, die wiederum dort für personalisierte Werbung verwendet werden. Diese Metadaten geben viele Informationen über das Kommunikationsverhalten der Nutzer:innen preis: wer mit wem wann kommuniziert, wer die App wann, wie lange und wie oft nutzt. Während die Kommunikation selbst verschlüsselt ist, werden die Telefonnummern und die zugehörigen Facebook oder Instagram Konten der Personen gesammelt. Diese Informationen können dann verwendet werden, um Anzeigen für Nutzer:innen auf anderen Meta-Plattformen wie Facebook und Instagram zu personalisieren. Die Datenschutzbehörde hat sich offenbar geweigert, diesen Kernpunkt der Beschwerde zu untersuchen.

Max Schrems: »Whatsapp sagt, es sei verschlüsselt, aber das gilt nur für den Inhalt von Chats – nicht für die Metadaten. Whatsapp weiß immer noch, mit wem man am meisten und zu welcher Zeit gechattet hat. Diese Information ermöglicht Meta einen sehr genauen Einblick in das soziale Gefüge um eine Person. Meta nutzt diese Informationen, um zum Beispiel gezielt Werbung zu schalten, für die sich bereits Freunde interessiert haben. Die DPC scheint sich einfach geweigert zu haben, in dieser Angelegenheit zu entscheiden – trotz 4,5 Jahre dauernder Untersuchungen«

DPC und Meta kooperierten und wurden vom EDSA überstimmt. Im Laufe des Verfahrens hat sich Meta auf 10 vertrauliche Sitzungen mit der irischen DPC gestützt, in denen die DPC Meta erlaubt hat, diese »Umgehung« zu nutzen. Wie sich später herausstellte, hat die DPC sogar versucht, die einschlägigen EDSB-Leitlinien im Interesse von Meta zu beeinflussen. Die anderen europäischen Datenschutzbehörden lehnten diese Auffassung der DPC intern bereits 2018, 2019 in den Leitlinien und nun erneut in der endgültigen EDSA-Entscheidung im Dezember 2022 ab. Der Fall zog sich über 4,5 Jahre hin und umfasste Hunderte von Seiten an Berichten und Eingaben, obwohl es sich um eine recht einfache Rechtsfrage handelte.

Max Schrems: »In diesem Fall geht es um eine einfache Rechtsfrage. Meta behauptet, die Umgehung der DSGVO sei mit dem Segen der DPC erfolgt. Jahrelang hat die Datenschutzbeauftragte das Verfahren in die Länge gezogen und Meta ermöglicht, die DSGVO zu umgehen, wurde nun aber von den anderen EU-Behörden überstimmt. Es ist insgesamt das 4. Mal in Folge, dass die irische #Datenschutzbeauftragte überstimmt wurde.«

Noyb – Europäisches Zentrum für Digitale Rechte

Der Verein Noyb.eu [Aussprache] treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher rund 800 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie Google, Apple, Facebook und Amazon. Mehr als 5.000 Fördermitglieder ermöglichen die Arbeit von Noyb.