Die Datenschutzkommission (DPC) hat heute den Abschluss von zwei Untersuchungen zu den Datenverarbeitungsvorgängen von Meta Platforms Ireland Limited („Meta Ireland“) im Zusammenhang mit der Bereitstellung seiner Facebook- und Instagram-Dienste bekannt gegeben. (Meta Ireland war früher als Facebook Ireland Limited bekannt).
Das DPC hat nun endgültige Entscheidungen getroffen und Meta Ireland mit einer Geldstrafe von 210 Millionen Euro (wegen Verstößen gegen die DSGVO im Zusammenhang mit seinem Facebook-Dienst) und 180 Millionen Euro (wegen Verstößen im Zusammenhang mit seinem Instagram-Dienst) belegt.
Meta Ireland wurde außerdem angewiesen, seine Datenverarbeitungsvorgänge innerhalb einer Frist von drei Monaten in Einklang zu bringen.
Die Anfragen betrafen zwei Beschwerden über die Dienste Facebook und Instagram, die jeweils die gleichen grundlegenden Probleme aufwarfen. Eine Beschwerde wurde von einer österreichischen betroffenen Person (in Bezug auf Facebook) eingereicht; die andere wurde von einer belgischen betroffenen Person erstellt (in Bezug auf Instagram).
Die Beschwerden wurden am 25. Mai 2018 eingereicht, dem Tag, an dem die DSGVO in Kraft trat.
Vor dem 25. Mai 2018 hatte Meta Ireland die Nutzungsbedingungen für seine Facebook- und Instagram-Dienste geändert. Es wies auch darauf hin, dass es die Rechtsgrundlage ändere, auf die es sich zur Legitimierung der Verarbeitung personenbezogener Daten der Nutzer stütze. (Nach Art. 6 DSGVO ist eine Datenverarbeitung nur rechtmäßig, wenn und soweit sie einer der sechs genannten Rechtsgrundlagen entspricht.) Nachdem sich Meta Ireland bisher auf die Einwilligung der Nutzer zur Verarbeitung ihrer personenbezogenen Daten im Zusammenhang mit der Bereitstellung der Dienste von Facebook und Instagram (einschließlich verhaltensbezogener Werbung) verlassen hatte, versuchte Meta Ireland nun, sich für die meisten (aber) auf die Rechtsgrundlage „Vertrag“ zu berufen nicht alle) seiner Verarbeitungsvorgänge.
Wenn sie nach der Einführung der DSGVO weiterhin Zugriff auf die Facebook- und Instagram-Dienste haben wollten, wurden bestehende (und neue) Benutzer gebeten, auf „Ich akzeptiere“ zu klicken, um ihr Einverständnis mit den aktualisierten Nutzungsbedingungen zu erklären. (Die Dienste wären nicht zugänglich, wenn Benutzer dies verweigern würden).
Meta Ireland war der Ansicht, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag zwischen Meta Ireland und dem Benutzer geschlossen wurde. Sie vertrat außerdem den Standpunkt, dass die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste für die Erfüllung dieses Vertrags erforderlich sei, einschließlich der Bereitstellung personalisierter Dienste und verhaltensbezogener Werbung, sodass solche Verarbeitungsvorgänge rechtmäßig seien unter Bezugnahme auf Artikel 6 Absatz 1 Buchstabe b der DSGVO (die Rechtsgrundlage „Vertrag“ für die Verarbeitung).
Die Beschwerdeführer machten geltend, dass Meta Ireland im Gegensatz zur erklärten Position von Meta Ireland tatsächlich immer noch darauf bedacht sei, sich auf die Einwilligung zu berufen, um eine rechtmäßige Grundlage für die Verarbeitung der Benutzerdaten zu schaffen. Sie argumentierten, dass Meta Ireland sie tatsächlich „zwang“, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen, indem sie die Zugänglichkeit seiner Dienste davon abhängig machte, dass Benutzer die aktualisierten Nutzungsbedingungen akzeptieren. Die Beschwerdeführer argumentierten, dass dies einen Verstoß gegen die DSGVO darstelle.
Nach umfassenden Untersuchungen erstellte das DPC Entscheidungsentwürfe, in denen es eine Reihe von Feststellungen gegen Meta Ireland traf. Insbesondere wurde Folgendes festgestellt:
- 1. Unter Verstoß gegen seine Transparenzpflichten wurden die Informationen über die von Meta Ireland angeführte Rechtsgrundlage den Nutzern nicht klar dargelegt, so dass die Nutzer keine klare Vorstellung davon hatten, welche Verarbeitungsvorgänge auf ihnen durchgeführt wurden personenbezogene Daten, zu welchem Zweck und unter Bezugnahme auf welche der sechs in Artikel 6 der DSGVO genannten Rechtsgrundlagen. Der DPC war der Ansicht, dass ein Mangel an Transparenz in solchen grundlegenden Angelegenheiten einen Verstoß gegen Artikel 12 und 13 Absatz 1 Buchstabe c der DSGVO darstelle. Es stellte außerdem einen Verstoß gegen Artikel 5 Absatz 1 Buchstabe a dar, in dem der Grundsatz verankert ist, dass die personenbezogenen Daten der Nutzer rechtmäßig, fair und auf transparente Weise verarbeitet werden müssen. Das DPC schlug sehr hohe Bußgelder gegen Meta Ireland im Zusammenhang mit dem Verstoß gegen diese Bestimmungen vor und wies das Unternehmen an, seine Verarbeitungsvorgänge innerhalb einer festgelegten und kurzen Frist in Einklang zu bringen.
- 2. In Fällen, in denen festgestellt wurde, dass Meta Ireland sich tatsächlich nicht auf die Einwilligung der Nutzer als rechtmäßige Grundlage für die Verarbeitung ihrer personenbezogenen Daten stützte, konnte der Aspekt der „erzwungenen Einwilligung“ der Beschwerden nicht aufrechterhalten werden. Daraufhin ging das DPC davon aus, dass Meta Ireland sich auf „Verträge“ als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer im Zusammenhang mit der Bereitstellung seiner personalisierten Dienste (einschließlich personalisierter Werbung) stützt. Hier stellte das DPC fest, dass Meta Ireland nicht verpflichtet sei, sich auf eine Einwilligung zu verlassen; Grundsätzlich hinderte die DSGVO Meta Ireland nicht daran, sich auf die vertragliche Rechtsgrundlage zu berufen.
Im Rahmen eines von der DSGVO vorgeschriebenen Verfahrens wurden die vom DPC ausgearbeiteten Entscheidungsentwürfe den entsprechenden Regulierungsbehörden in der EU/EWR, auch bekannt als betroffene Aufsichtsbehörden („CSAs“), vorgelegt.
Auf die Frage, ob Meta Ireland gegen seine Transparenzpflichten verstoßen habe, stimmten die CSAs den Entscheidungen des DPC zu, waren jedoch der Ansicht, dass die vom DPC vorgeschlagenen Geldbußen erhöht werden sollten.
Zehn der 47 CSAs erhoben Einwände gegen andere Elemente der Entscheidungsentwürfe (von denen einer später im Fall des Entscheidungsentwurfs zum Facebook-Dienst zurückgezogen wurde). Diese Untergruppe von CSAs vertrat insbesondere die Auffassung, dass es Meta Ireland nicht gestattet sein sollte, sich auf die vertragliche Rechtsgrundlage mit der Begründung zu berufen, dass die Bereitstellung personalisierter Werbung (als Teil der breiteren Palette personalisierter Dienste, die im Rahmen von Facebook und Facebook angeboten werden). Es kann nicht gesagt werden, dass die Nutzung von Instagram-Diensten notwendig ist, um die Kernelemente einer angeblich viel eingeschränkteren Vertragsform zu erfüllen.
Der DPC war anderer Meinung und brachte seine Ansicht zum Ausdruck, dass die Facebook- und Instagram-Dienste die Bereitstellung eines personalisierten Dienstes, der personalisierte oder verhaltensbezogene Werbung umfasst, beinhalten und tatsächlich darauf basieren zu scheinen. Dabei handelt es sich faktisch um personalisierte Dienste, die auch personalisierte Werbung beinhalten. Nach Ansicht des DPC ist diese Realität von zentraler Bedeutung für die Vereinbarung zwischen Benutzern und dem von ihnen gewählten Dienstanbieter und bildet einen Teil des Vertrags, der zu dem Zeitpunkt geschlossen wird, an dem Benutzer die Nutzungsbedingungen akzeptieren.
Nach einem Konsultationsprozess wurde klar, dass kein Konsens erzielt werden konnte. Im Einklang mit seinen Verpflichtungen aus der DSGVO verwies das DPC die strittigen Punkte anschließend an den Europäischen Datenschutzausschuss („EDPB“).
Der EDSA hat seine Feststellungen am 5. Dezember 2022 veröffentlicht.
Die Entscheidungen des EDSA wies viele der von den CSAs vorgebrachten Einwände zurück. Sie bestätigten auch die Position des DPC in Bezug auf den Verstoß von Meta Ireland gegen seine Transparenzpflichten, vorbehaltlich der Einfügung eines weiteren Verstoßes (des „Fairness“-Grundsatzes) und der Anweisung, dass das DPC die Höhe der von ihm vorgeschlagenen Geldbußen erhöht auferlegen.
Der EDSA vertrat in der Frage der „Rechtsgrundlage“ eine andere Meinung und stellte fest, dass Meta Ireland grundsätzlich nicht berechtigt sei, sich auf die „Vertrags“-Rechtsgrundlage als rechtmäßige Grundlage für die Verarbeitung personenbezogener Daten zu berufen Zweck der verhaltensbezogenen Werbung.
Die vom DPC am 31. Dezember 2022 angenommenen endgültigen Entscheidungen spiegeln die oben dargelegten verbindlichen Feststellungen des EDSA wider. Dementsprechend enthalten die Entscheidungen des DPC Feststellungen, dass Meta Ireland nicht berechtigt ist, sich im Zusammenhang mit der Bereitstellung verhaltensbezogener Werbung im Rahmen seiner Facebook- und Instagram-Dienste auf die Rechtsgrundlage „Vertrag“ zu berufen, und dass die bisherige Verarbeitung von Nutzerdaten, unter angeblicher Berufung auf die Rechtsgrundlage „Vertrag“ stellt einen Verstoß gegen Artikel 6 der DSGVO dar.
Im Hinblick auf die Sanktionen und angesichts dieses weiteren Verstoßes gegen die DSGVO hat die DPC die Höhe der gegen Meta Ireland verhängten Verwaltungsstrafen auf 210 Millionen Euro (im Fall von Facebook) und 180 Millionen Euro im Fall von Instagram erhöht . (Die geänderten Bußgeldhöhen spiegeln auch die Ansichten des EDSA in Bezug auf die Verstöße von Meta Ireland gegen seine Verpflichtungen in Bezug auf die faire und transparente Verarbeitung personenbezogener Daten der Nutzer wider.)
Die bestehende Anforderung des DPC, dass Meta Ireland seine Verarbeitungsvorgänge innerhalb einer Frist von drei Monaten in Übereinstimmung mit der DSGVO bringen muss, wurde beibehalten.
Unabhängig davon hat der EDSA auch angeblich die DPC angewiesen, eine neue Untersuchung durchzuführen, die alle Datenverarbeitungsvorgänge von Facebook und Instagram umfassen und spezielle Kategorien personenbezogener Daten untersuchen würde, die im Zusammenhang mit diesen Vorgängen verarbeitet werden dürfen oder nicht. Die Entscheidungen des DPC enthalten selbstverständlich keinen Verweis auf neue Untersuchungen sämtlicher Facebook- und Instagram-Datenverarbeitungsvorgänge, die der EDSA in seinen verbindlichen Entscheidungen angeordnet hat. Der EDSA hat keine allgemeine Aufsichtsfunktion wie nationale Gerichte in Bezug auf nationale unabhängige Behörden und es steht dem EDSA nicht zu, eine Behörde anzuweisen und anzuweisen, offene und spekulative Untersuchungen durchzuführen. Die Ausrichtung ist dann gerichtlich problematisch und scheint nicht im Einklang mit der Struktur der in der DSGVO vorgesehenen Kooperations- und Kohärenzregelungen zu stehen. In dem Maße, in dem die Weisung zu einer Überschreitung seitens des EDSA führen könnte, hält es die DPC für angemessen, eine Nichtigkeitsklage beim Gerichtshof der Europäischen Union einzureichen, um die Aufhebung der Weisungen des EDSA zu beantragen.