Eher widerwillig hat die irische Datenschutzbehörde (Irish Data Protection Commission (DPC)) am Mittwoch nach Darstellung der unter anderem von Max Schrems gegründeten NGO noybeine 390 Millionen Euro Strafe gegen Meta wegen Umgehung der DSGVO im Zusammenhang mit der Einwilligung zu personalisierter Werbung verhängt. Die hohe Strafe gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) kam erst auf Druck des Europäischen Datenschutzausschusses (EDSA) - European Data Protection Board (EDPB)- zustande.

Die DPC wollte Meta ursprünglich nach Darstellung von noyb mit einer Strafe von 28 bis 26 Millionen Euro davonkommen lassen. Zudem unterstellt die NGO der Datenschutzbehörde eine Mauschelei mit Meta, denn es habe angeblich zehn vertrauliche Treffen zwischen der DPC und Meta gegeben, in denen die Behörde Metas "Umgehung" der DSGVO gebilligt habe.

Metas Werbemodell in der EU illegal

Stein des Anstoßes war beziehungsweise ist die Art und Weise, in der sich Meta respektive Facebook und Instagramm von den Nutzerinnen und Nutzern in seinen Geschäftsbedingungen die Einwilligung zur Ausspielung personalisierter Werbung einholt. Hier gegen hatte noyb-Gründer Schrems, der bereits das Safe-Harbor-Abkommen und den EU-US Privacy Shieldzu Fall brachte, 2018 mit Verabschiedung der DSGVO drei Beschwerden eingereicht. Statt wie in der DSGVO gefordert eine klare Ja/Nein-Option für personalisierte Werbung anzubieten, habe Meta die Einwilligung in den allgemeinen Geschäftsbedingungen versteckt und damit die DSGVO umgangen, so Schrems. Für den Datenschutzaktivisten ist das "eindeutig illegal. Uns ist kein anderes Unternehmen bekannt, das versucht hat, die Datenschutzgrundverordnung auf so arrogante Weise zu ignorieren."

Verzögerte die DPC absichtlich?

Obwohl die Beschwerden schon 2018 eingereicht wurden, ließ sich die DPC mit einer Entscheidung Zeit. Erst im Oktober 2021 hatte die DPC dann einen ersten Entscheidungsentwurf präsentiert. Allerdings deckte sich die Auffassung der DPC nicht mit den Einschätzung der anderen europäischen Datenschutzbehörden, was wohl hinter den Kulissen zu einem umfangreichen Schriftwechsel führte. Zumal die DPC zudem wohl versuchte, die Leitlinien der EDSA im Sinne von Meta zu beeinflussen.

EDSA überstimmt DPC

Im Dezember 2022 überstimmte der EDSA dann den Entscheidungsentwurf der DPC und stufte Metas Verhalten als illegal ein. Dabei ist die DPC an die EDSA-Entscheidung gebunden. Zudem verpflichtete der Ausschuss die Behörde dazu, innerhalb eines Monats eine endgültige Entscheidung zu treffen, was jetzt mit der Veröffentlichung am Mittwoch geschah. Die EDSA-Entscheidung schreibt unter anderem vor, dass Meta personenbezogene Daten nur mit Einwilligung für Werbung verwenden darf. Die Nutzer müssen also eine Ja/Nein-Option haben. Darüber hinaus habe der EDSA, wie unsere Schwesterpublikation Computerworld berichtet, die DPC angewiesen, neue Untersuchungen zur Datenverarbeitung bei Facebook und Co. durchzuführen.

Weitere Klagen drohen

Gegen diese Anweisung will die DPC nun vor dem Europäischen Gerichtshof Beschwerde einlegen. In den Augen der DPC überschreitet der EDSA mit der Anordnung seine Befugnisse. Während noyb die Entscheidung als "schweren Schlag für das Geschäftsmodell von Meta in Europa" begrüßte, drückte Meta in einer öffentlichen Erklärung seine Enttäuschung "über die Entscheidungen aus und erklärte, dass man sowohl gegen den Inhalt der Entscheidungen als auch gegen die Geldbußen" klagen werde.