17.01.2023 - Die irische Datenschutzbehörde DPC hat am 4. Januar 2023 entschieden, dass der US-amerikanische Technologiekonzern Meta in der EU künftig keine personenbezogenen Daten mehr verwenden darf, ohne vorher die eindeutige Zustimmung der User eingeholt zu haben.
Die Entscheidung der DPC beendet ein jahrelanges Tauziehen: In einem Beschlussentwurf vom Oktober 2021 hatte die DPC zunächst eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer:innen nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.
Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC indes nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne. An diese Entscheidung der EDSA war die DPC nun gebunden und verhängte eine Strafe in Höhe von 390 Millionen Euro. Meta hat drei Monate Zeit, die Datenverarbeitung rechtskonform zu gestalten, kündigte jedoch an, sowohl die Strafzahlung als auch den Inhalt des Urteils anzufechten.
Bisher hat Meta sich einer Umgehungsstrategie bedient, die ein „Nein“ zu personalisierter Werbung unmöglich machte. Der Konzern hatte die Einwilligungsklausel in den Allgemeinen Geschäftsbedingungen platziert – ein rechtswidriger Schritt laut DPC. Ab sofort muss Meta die ausdrückliche Zustimmung der User für personalisierte Werbung einholen und dafür eine Ja-Nein-Option anbieten.
Die DPC muss sich mit einem weiteren möglichen Verstoß gegen die DSGVO auseinandersetzen – diesmal geht es um WhatsApp, das zum META-Konzern gehört. Eine Entscheidung wird in den kommenden Wochen erwartet. Auch gegen den TikTok-Mutterkonzern ByteDance ermittelt die DPC wegen möglicher Verletzungen des EU-Datenschutzrechts.