Reaktion auf Einführung von Nutzerrechten

Als in der Nacht zum 26. Mai 2018 die DSGVO in ganz Europa wirksam wurde, informierten Medien, Behörden und Verbraucherschützer ausführlich über die Konsequenzen. Dass zum exakt gleichen Zeitpunkt der Facebook-Konzern seine Spielregeln änderte, fand dagegen wenig Beachtung. Der Zusammenhang allerdings ist auch im Nachhinein offensichtlich. Denn mit der DSGVO erhielten Verbraucher besondere Rechte. Die sollen sicherstellen, dass große Konzerne die sensiblen Daten ihrer Nutzer nicht gegen deren Willen sammeln. Auf der Verarbeitung dieser Daten aber beruht das Geschäftsmodell von Facebook: Durch die Auswertung des Nutzerverhaltens kann Werbung genau auf die Interessen jedes einzelnen zugeschnitten werden. Ein Traum für Anzeigenkunden.

Datennutzung ohne ausdrückliche Zustimmung

Nach Einführung der DSGVO hätten voraussichtlich viele Account-Besitzer der Verarbeitung sensibler Informationen widersprochen. Also griff man bei Facebook zu einem einfachen Trick. Die Einwilligung wurde vollständig in die AGB verschoben, denen potenzielle Nutzer zustimmen müssen. Die strengen Anforderungen der DSGVO an eine wirksame Zustimmung werden dadurch umschifft: dass die Zustimmung nämlich freiwillig, informiert und durch aktives Handeln gegeben wird und jederzeit widerrufen werden kann. Gleichgültig, ob es um Online-Tracking, personifizierte Werbung oder anderen Formen der Verarbeitung geht – die Einwilligung des „Vertragspartners“ wird von Facebook als gegeben vorausgesetzt. Die Verbraucherrechte der DSGVO sind so praktisch ausgehebelt. Eine Methode, die nicht nur Facebook, sondern auch vielen anderen Unternehmen gefallen könnte.

Verfahrensdauer über drei Jahre

Dem österreichischen Juristen und Datenschutz-Aktivisten Max Schrems entgingen Facebooks Änderungen nicht. Er reichte noch am selben Tag Beschwerde bei der zuständigen Aufsichtsbehörde ein, der irischen Data Protection Commission (kurz: DPC). Die hat nun, mehr als drei Jahre später, eine vorläufige Entscheidung getroffen, die Schrems vorliegt. In dem Entwurf ist zwar ein Bußgeld in Höhe von 28 bis 36 Millionen Euro vorgesehen. Doch an seiner Zustimmungspraxis soll das soziale Netzwerk festhalten dürfen.

36 Millionen Bußgeld wegen Intransparenz

Lediglich ein Aspekt stieß bei der DPC auf Kritik. Facebook habe auf die Verschiebung der Einwilligung zur Datennutzung in die AGB nicht transparent hingewiesen. Aus diesem Grund soll ein Bußgeld in Höhe von 28 bis 36 Millionen Euro verhängt werden. Eine Summe, die den Zuckerberg-Konzern mit einem geschätzten Jahresumsatz von 85 Milliarden US-Dollar nicht weiter beunruhigen dürfte. Erst recht nicht, wenn er laut DPC weiterhin die Zustimmung der Nutzer zur Datenverarbeitung als gegeben voraussetzen kann.

Kritik von Datenschützern

Dass Beschwerdeführer Max Schrems mit der Einschätzung der DPC unzufrieden ist, erläutert er mit einem anschaulichen Vergleich. Ein Drogendealer könne zwar behaupten, dass er statt Kokain nun nur noch weißes Pulver verkaufe. Eine solche Umetikettierung mache sein Vorgehen aber nicht legal. Dasselbe gelte für ein Unternehmen, das den Begriff „Einwilligung“ durch „Vertrag“ ersetze, um damit die juristischen Anforderungen an eine Einwilligung zu umgehen.

Fazit

Noch ist das letzte Wort nicht gesprochen. Die vorläufige Entscheidung der DPC kann nun von anderen europäischen Datenschutz-Behörden kommentiert werden. Das dürfte auf eine Vorlage im gemeinsamen Europäischen Datenschutz-Ausschuss (kurz: EDSA) herauslaufen, in dem dann eine Mehrheitsentscheidung getroffen wird. Schon einmal musste die irische DPC hier eine Schlappe einstecken. Damals ging es um den intransparenten Umgang mit Nutzerdaten durch die Facebook-Tochter WhatsApp. Die von der DPC geplante Strafe von 50 Millionen wurde als viel zu niedrig eingestuft. Die irische Behörde erhöhte daraufhin auf 225 Millionen Euro.