Die Datenverwertung des Konzerns Meta verstößt gegen EU-Recht

Ende der Schonzeit

Mit dem neuerlichen hohen Bußgeld der irischen Datenschutzbehörde hat Meta in Europa binnen eineinhalb Jahren eine Milliarde Euro an Strafzahlungen auferlegt bekommen. Schwerer dürfte für den Konzern allerdings wiegen, dass sein Geschäftsmodell in Frage steht.
Von

Die irische Datenschutzbehörde (DPC) hat erneut ein Bußgeld gegen Meta verhängt. Der Social-Media-Konzern, der seinen europäischen Sitz in Irland hat, muss 210 Millionen Euro für Facebook und weitere 180 Millionen Euro für Instagram bezahlen. Eine weitere Entscheidung für den Instant-Messaging-Dienst Whatsapp, der ebenfalls zu Meta gehört, steht noch aus. Grund für die Bußgelder war ein Verstoß gegen die europäische Datenschutz-Grundverordnung (DSGVO). Sie verpflichtet Unternehmen, ihre Kunden um Erlaubnis zu bitten, bevor sie personenbezogene Daten sammeln und verwerten. Diese Erlaubnis muss allerdings nicht eingeholt werden, wenn die Daten für die Erfüllung eines Vertrags gebraucht werden. So muss ein Online-Shop die Anschrift seiner Kunden kennen und an Paketdienste ­weitergeben, um eine Bestellung abwickeln zu können.

Meta macht den weitaus größten Teil seines Umsatzes mit personalisierter Online-Werbung. Die funktioniert nur, wenn dafür die personenbezogenen Daten der Nutzenden gesammelt und ausgewertet werden. Und Meta findet, das sei etwas Ähnliches wie als Online-Versender die Anschrift kennen zu müssen. Das sahen die EU-Datenschutzbehörden anders und verdonnerten Meta dazu, die entsprechende Einwilligung einzuholen, was ernste Konsequenzen für den Social-Media-Konzern haben dürfte.

Erfahrungen mit anderen Plattformen zeigen, dass nur etwa 20 Prozent der Nutzenden diese Einwilligung freiwillig erteilen, wenn sie gefragt werden. Wer ablehnt, kann gemäß DSGVO nicht einfach von den Plattformen ausgeschlossen werden. Meta könnte sich also darauf beschränken, solchen Nutzenden nichtpersonalisierte Massenwerbung anzeigen, oder Geld für die werbefreie Nutzung von Facebook und Instagram verlangen. Beide Varianten dürfte auf Umsatzeinbußen auf dem wichtigen EU-Markt hinauslaufen. Hier nahm der Konzern in den letzten vier Quartalen (bis Ende September vorigen Jahres) 26 Milliarden Euro ein, das sind rund 23 Prozent des weltweiten Umsatzes.

Die Geschichte der Datenschutzverstöße von Meta beziehungsweise Facebook ist lang. Bereits voriges Jahr wurden 265 Millionen Euro Bußgeld für ein Datenleck fällig, das dazu geführt hatte, dass die persönlichen Daten einer halben Milliarde Facebook-Nutzender auf dem Schwarzmarkt landeten. Außerdem wurde eine Strafzahlung von 405 Millionen Euro verhängt, weil Instagram die personenbezogenen Daten von Minderjährigen nicht ausreichend geschützt hatte. Mittlerweile summieren sich die in nach europäischem Recht verhängten Bußgelder also auf mehr als eine Milliarde Euro.

Diese Strafzahlungen fallen in eine Zeit, in der Meta ohnehin schon unter Druck steht. So droht der Konkurrent Tiktok, Facebook und Instagram in ­Sachen Beliebtheit abzuhängen. Ebenfalls geschadet hat, dass iPhones ihre Nutzenden seit einiger Zeit um Erlaubnis fragen, bevor eine App sie zu Werbezwecken überwachen kann. Zudem erweisen sich die blumigen Pläne für eine virtual reality unter dem Namen »Metaverse« immer mehr als Luftschloss, die Anleger konnte Meta bislang nicht überzeugen. So sank der Aktienkurs des Konzerns innerhalb eines Jahr um mehr als 50 Prozent.
Die hohen Bußgelder gegen Meta markieren auch einen Wandel bei der Durchsetzung von Datenschutz: Das »irische Modell« scheint der Vergangenheit anzugehören. Viele IT-Konzerne wie Google, Apple und Microsoft haben ihren europäischen Sitz nicht nur deswegen in Irland, weil dort die Unternehmenssteuern niedrig sind; die irische Datenschutzbehörde DPC steht auch in dem Ruf, ausgesprochen wohlwollend mit ihnen umzugehen. Die DPC selbst beklagt, chronisch unter­besetzt und unterfinanziert zu sein, aber Insider werfen ihr seit Jahren vor, Verfahren zu verschleppen, ausgesprochen milde Bußgelder zu verhängen oder Datenschutzverstöße gar nicht zu ahnden.

Das ließ sich auch beim jüngsten Verfahren gegen Meta beobachten: Es dauerte vier Jahre und sollte zunächst ohne Bußgeld und Konsequenzen ­enden. Später plante die DPC lediglich eine Strafzahlung von 30 Millionen Euro. Doch mit der europäischen Datenschutz-Grundverordnung wurde 2018 auch ein neues Gremium eingeführt: der Europäische Datenschutz­ausschuss (EDPB), in dem die Datenschutzbehörden der Mitgliedsländer vertreten sind. Dieser Ausschuss soll eine einheitliche Anwendung des EU-Rechts sicherstellen und kann für zu lasch befundene Urteile nationaler Datenschutzbehörden korrigieren. Das ist auch in diesem Fall geschehen.

Meta zeigte sich in einem Blogpost »enttäuscht« und kündigte an, Widerspruch gegen die Verpflichtung zum Einholen einer Erlaubnis zum Sammeln personenbezogener Daten einzulegen. Wahrscheinlich landet das Verfahren vor dem Europäischen Gerichtshof. Ein Urteil wäre dann in einigen Jahren zu erwarten.
Facebook
Artikel zum Thema
Elon Musk
Der Traum vom Hightech-Mittelalter
Lars Quadfasel Linke Intellektuelle fürchten den kommenden Techno-Feudalismus
Anzeige für das Computerspielsystem »Virtuality« mit 3D-Brille von 1994
Konkurrenzkampf ums Metaverse
Enno Park Internetkonzerne wollen im sogenannten Metaverse neue Social-Media-­Plattformen etablieren