Aus für personalisierte Meta-Werbung

Der Europäische Datenschutzausschuss (EDSA) hat entschieden, dass personalisierte Werbung auf Facebook und Instagram („Meta“) nur mehr auf Basis einer Einwilligung der betroffenen Nutzer:innen erfolgen darf. Meta hatte bislang damit argumentiert, personalisierte Werbung auf Basis der Nutzungsbedingungen anzeigen zu dürfen. Dagegen hatte sich die Non-Profit Organisation NOYB – European Center for Digital Rights bei der irischen Datenschutzbehörde beschwert.

Was ist das Problem?
Personalisierte Werbung basiert auf der Verarbeitung von personenbezogenen Daten der Nutzer:innen. Personenbezogene Daten und weitere Informationen über die Nutzer:innen werden ausgewertet um diesen für sie relevante Werbung auf Basis ihrer Interessen individuell anzeigen zu können. Diese Verarbeitung muss eine datenschutzrechtliche Grundlage haben. Meta hat bislang argumentiert, dass diese aufgrund der Zustimmung zu den Nutzungsbedingungen vorliegt. Der EDSA hat dem aber eine Absage erteilt.

Wie geht es weiter?
Der Europäische Datenschutzausschuss (EDSA) ist nicht die letzte Datenschutz-Instanz, das letzte Wort hat immer noch der Europäische Gerichtshof (EuGH). Dennoch kann bei Auslegungsfragen der DSGVO der EDSA für die einheitliche Auslegung durch verschiedene Datenschutz-Aufsichtsbehörden in den Mitgliedstaaten zuständig sein. Seine Entscheidung muss nun von der irischen Aufsichtsbehörde umgesetzt werden. Es ist recht sicher, dass Meta dagegen vorgehen wird (es sind außerdem auch noch zwei ähnliche Verfahren beim EuGH offen). Mit einer endgültigen Klärung ist daher noch nicht so schnell zu rechnen.

Empfehlungen?
Meta ist ein weltweit agierender Konzern, dessen Kerngeschäft die Verarbeitung personenbezogener Daten ist. Es gibt daher im Moment auch einige datenschutzrechtliche Baustellen, die bei den Behörden und Gerichten in der EU anhängig sind. Ein Problem, das noch nicht gelöst ist, ist zB auch der Datentransfer aus der EU in die USA. Jedes Unternehmen, das auf Facebook oder Instagram Accounts („Fanpages“) anlegt und/ oder personalisierte Werbung schaltet, muss sich bewusst sein, dass datenschutzrechtliche Probleme bestehen und man mit dem Konzern mitverantwortlich ist. Es sollte daher unbedingt eine informierte, ganzheitliche, betriebswirtschaftliche Entscheidung getroffen werden, ob man daran festhalten möchte oder nicht (zB generiere ich wirklich Klicks und Kontakt über die Plattformen oder habe ich den Auftritt nur, damit er da ist?).

Was kann passieren?
Wie unter „Wie geht es weiter?“ beschrieben, gibt es noch keine endgültige Entscheidung. Dennoch gibt es akute Problemfelder. Es ist einerseits möglich, dass eine „Abmahnung“ erfolgt, d.h. Mitbewerber:innen, Kund:innen oder andere Organisationen schicken (kostenpflichtige) Schreiben aus. Andererseits könnten Verfahren bei der Datenschutzbehörde (Geldstrafen) oder den Zivilgerichten (Schadenersatzforderungen) drohen. Es ist aus derzeitiger Sicht wahrscheinlich, dass der Meinung des EDSA gefolgt wird.

Was gilt für Agenturen und IT-Dienstleister?
Werden Fanpages für Kund:innen erstellt und betreut, empfehlen wir auf diese Problematik hinzuweisen. Eine Haftung von Berater:innen, welche die Seiten bereits erstellt haben und betreuen, liegt unserer Meinung nach noch nicht vor. Es handelt sich um das erste Verfahren in dieser Sache, das noch nicht rechtskräftig ist, d.h. Berater:innen konnten noch nichts von einer allfälligen Datenschutzverletzung wissen. Informieren die Berater:innen ihre Kund:innen jetzt über die Situation, sind die Kund:innen in der Lage, informierte Entscheidungen zu treffen. Wichtig: Ob die Werbung / die Seite weiterhin betrieben wird, ist die Entscheidung der Kund:innen.

Weitere Infos