Der norwegischen Datenschutzaufsicht ist der Geduldsfaden gerissen. Weil Meta anhaltend EU-Recht verletzt, untersagt die Behörde dem Werbekonzern das Ausspielen personalisierter Werbung – vorerst für drei Monate.
Meta darf auf seinen Online-Diensten Facebook und Instagram vorerst keine personalisierte Werbung für norwegische Nutzer:innen mehr ausspielen. Das gab heute die norwegische Datenschutzbehörde Datatilsynet bekannt. Das Verbot greift ab Anfang August und gilt zunächst für drei Monate. Zwischenzeitlich soll Meta seine Dienste anpassen und weiter anhaltende Rechtsverletzungen abstellen, so die Datenschützer:innen.
„Invasive kommerzielle Überwachung zu Marketingzwecken ist heute eines der größten Risiken für den Datenschutz im Internet“, erklärt die Behörde. Meta halte eine Unmenge an Daten von Norweger:innen vor, darunter auch sensible Daten. Viele Nutzer:innen würden jedoch nicht restlos verstehen, welcher „intrusiven Profilbildung“ sie ausgesetzt seien, wenn sie Metas Angebote nutzten, heißt es in der Anordnung der Behörde. Ihre Rechte müssten geschützt werden.
Meta zunehmend unter Druck
Der norwegische Vorstoß folgt auf eine Reihe von Gerichtsurteilen und Beschlüssen europäischer Datenschützer:innen, die allesamt am Geschäftsmodell von Meta sägen. Zuletzt hatte der Europäische Gerichtshof (EuGH) entschieden, dass Meta mit seiner Auslegung der Datenschutzgrundverordnung (DSGVO) gegen EU-Recht verstoßen hat. Zuvor hatte die irische Datenschutzbehörde, nach einer Intervention des Europäischen Datenschutzausschusses (EDPB), eine satte Millionenstrafe über Meta verhängt, weil das Unternehmen die DSGVO verletzt hat.
Trotz alledem hat Meta seine Praxis seither nicht merklich geändert – so begründet das US-Unternehmen etwa die Verarbeitung personenbezogener Daten neuerdings mit einem „berechtigten Interesse“, anstatt sich rechtskonform eine informierte Einwilligung abzuholen. Offenkundig hat der Konzern mit seiner Verschleppungstaktik die Geduld der norwegischen Datenschützer:innen überstrapaziert. Das anhaltende Ignorieren der irischen Auflagen würde nach „sofortigen Maßnahmen zum Schutz der Rechte und Freiheiten“ betroffener europäischer Bürger:innen verlangen, heißt es in der Anordnung. Norwegen ist zwar nicht EU-Mitglied, die DSGVO gilt für das Land im Europäischen Wirtschaftsraum (EWR) aber dennoch.
Indes verbietet Datatilsynet weder Facebook noch Instagram, genausowenig personalisierte Werbung an sich. So stehe es Meta frei, beispielsweise Informationen wie Geschlecht, Alter oder Wohnsitz für Targeting zu verwenden, die die Nutzer:innen etwa in ihre Biographie auf dem jeweiligen Meta-Dienst eingetragen haben. Auch Tracking von Nutzer:innen und weitergehende Personalisierung der Werbeeinblendungen ist möglich, betont die Behörde – allerdings nur mit einer informierten Einwilligung, die ihren Namen auch verdient.
Meta beklagt Rechtsunsicherheit
Meta macht die aus seiner Sicht undurchschaubare Rechtslage für die ständigen Rechtsverletzungen verantwortlich. „Die Debatte um die Rechtsgrundlagen wird schon seit Längerem geführt, Unternehmen sind in diesem Bereich nach wie vor mit mangelnder Rechtssicherheit konfrontiert“, schreibt eine Unternehmenssprecherin auf Anfrage. Man arbeite konstruktiv mit der irischen Datenschutzbehörde zusammen. Die Entscheidung der norwegischen Aufsicht werde nun geprüft, unmittelbare Auswirkungen auf Metas Dienste habe sie nicht, so die Sprecherin.
Grundsätzlich ist die irische Datenschutzbehörde für die Aufsicht von Meta zuständig, da das Unternehmen dort seinen europäischen Sitz unterhält. Allerdings können nationale Behörden wie jene in Norwegen in Notfällen temporär eigene Maßnahmen ergreifen. Datatilsynet sieht die Bedingungen dazu erfüllt: „Wenn wir jetzt nicht eingreifen, würden die Datenschutzrechte der Mehrheit der Norweger:innen auf unbestimmte Zeit verletzt“, argumentiert die Behörde.
Die auf Datenschutz spezialisierte Nichtregierungsorganisation NOYB (None Of Your Business) hält die Entscheidung der norwegischen Datenschutzbehörde für „spannend“. „Sie scheint ein klarer Versuch zu sein, die irische Datenschutzbehörde zu umgehen“, heißt es in einer ersten Reaktion der NGO. Fünf Jahre nach der Beschwerde von NOYB, die als Ausgangspunkt der Auseinandersetzung gilt, habe die irische Datenschutzbehörde ihre eigene Entscheidung gegen Meta immer noch nicht durchgesetzt, so der NOYB-Programmdirektor Romain Robert.
Nach dem Sommer könnte die Angelegenheit dem Europäischen Datenschutzausschuss vorgelegt werden, kündigt Datatilsynet an. Der Ausschuss, in dem die europäischen Datenschutzbehörden versammelt sind, könnte das personalisierte Werbeverbot nach Ablauf der drei Monate verlängern. Zudem drohen die norwegischen Datenschützer:innen dem Meta-Konzern eine Geldbuße von bis zu einer Million Kronen (knapp 89.000 Euro) täglich an, sollte sich das Unternehmen nicht an die Vorgaben halten. Meta kann sich gegen die Entscheidung vor einem Bezirksgericht in Oslo wehren.
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires