Nachdem Metas Tracking-Anzeigengeschäft in Europa Anfang dieses Jahres endlich von großen Datenschutzmaßnahmen getroffen wurde, hat der Technologieriese dies getan bestätigt es wird die gesetzliche Grundlage ändern, die es für Microtargeting-Benutzer in der Region beansprucht.
Es wird die Leute immer noch nicht um ihre Zustimmung zu seiner datengestützten verhaltensbasierten Werbung bitten. Aber es muss Benutzern in der Europäischen Union ein Opt-out anbieten, wenn sie sich entscheiden, ihr Widerspruchsrecht auszuüben – was eine Premiere ist.
Bereits im Januar wurde Meta mit einer Geldstrafe von rund 410 Millionen US-Dollar belegt, nachdem festgestellt wurde, dass es gegen die Datenschutz-Grundverordnung (DSGVO) der EU verstoßen hatte, weil es keine gültige Rechtsgrundlage für verhaltensbezogene Werbung gab und gegen die Transparenz- und Fairnessgrundsätze der Verordnung verstieß – und drei Monate Zeit bekam, um diese zu erhalten Haus in Ordnung.
Jetzt, in einem Update zu seinem früheren Blogeintrag Über die Durchsetzung schreibt Meta, dass es – ab dem 5. April – eine Grundlage für „berechtigte Interessen“ (LI) für die Verarbeitung von Informationen von EU-Bürgern beanspruchen wird, um sie mit Werbung anzusprechen.
Berechtigte Interessen sind eine von sechs möglichen Rechtsgrundlagen für die Verarbeitung personenbezogener Daten nach der EU-DSGVO. Obwohl mindestens die Hälfte der verfügbaren Rechtsgrundlagen einfach nicht relevant sind – angesichts der Natur des Handelsimperiums von Meta, das nicht im Geschäft ist, lebensrettende, auf öffentlichem Interesse basierende oder gesetzlich vorgeschriebene Dienstleistungen anzubieten.
Der Technologieriese hatte einen weiteren der sechs beansprucht um auf Tracking und Profiling basierende verhaltensbasierte Werbung zu betreiben — vertragliche Notwendigkeit — aber Die EU-Aufsichtsbehörden hielten das für rechtswidrig.
Meta bestreitet diese Feststellung – und legt Berufung gegen die Durchsetzung ein –, aber Anfang nächsten Monats droht eine von der Regulierungsbehörde auferlegte dreimonatige Frist zur Behebung der DSGVO-Konformität, sodass das Unternehmen in der Zwischenzeit, dh während seiner Armee, etwas tun muss, um seinen Anspruch auf Einhaltung zurückzusetzen der Anwälte versuchen herauszufinden, wie man Wasser bergauf drückt.
In seinem Blog-Update über den bevorstehenden Wechsel schrieb Meta:
Im Dezember stellte die irische Datenschutzkommission fest, dass Facebook und Instagram ihre Herangehensweise an die Rechtsgrundlage gemäß DSGVO ändern müssen, um verhaltensbasierte Werbung in Europa zu schalten. Um dies zu erfüllen, ändern wir ab Mittwoch, dem 5. April, die Rechtsgrundlage, die wir verwenden, um bestimmte Erstanbieterdaten in Europa zu verarbeiten, von „Vertragliche Notwendigkeit“ zu „Berechtigte Interessen“. Die DSGVO besagt eindeutig, dass es keine Hierarchie zwischen Rechtsgrundlagen gibt und keine als gültiger angesehen werden sollte als andere.
Es ist wichtig zu beachten, dass diese gesetzliche Änderung personalisierte Werbung auf unserer Plattform nicht verhindert und sich auch nicht darauf auswirkt, wie Werbetreibende, Unternehmen oder Benutzer unsere Produkte erleben. Werbetreibende können unsere Plattformen weiterhin nutzen, um potenzielle Kunden zu erreichen und ihr Geschäft auszubauen. Relevante Benutzer werden auch über diese Änderung benachrichtigt, wodurch sie zusätzliche Optionen erhalten, wie wir bestimmte Informationen verarbeiten, um verhaltensbezogene Werbung zu schalten. Diese Rechtsgrundlage wird von ähnlichen Plattformen und unserer verwendet EU-Datenschutzrichtlinie Und Nutzungsbedingungen wird aktualisiert, um diese Änderung widerzuspiegeln.
Wir sind der Ansicht, dass unser bisheriger Ansatz DSGVO-konform war, und wir setzen unsere Berufung sowohl in Bezug auf die Inhalte der Urteile als auch auf die Bußgelder fort. Diese Änderung stellt jedoch sicher, dass wir der Entscheidung des DPC nachkommen.
Als Antwort auf Fragen zum geplanten Wechsel zu LI sagte Meta-Sprecher Al Tolan gegenüber TechCrunch: „Die neue EU-Datenschutzrichtlinie wird nächste Woche live gehen und die Änderung der Rechtsgrundlage widerspiegeln. Ich kann auch bestätigen, dass wir eine Bewertung der berechtigten Interessen durchgeführt haben.“
Tolan lehnte es ab, eine Kopie der aktualisierten Datenschutzrichtlinie oder des LI-Bewertungsberichts bereitzustellen, als wir darum baten, diese einzusehen – behauptete jedoch, „wir haben alle regulatorischen Richtlinien eingehalten, die erforderlich sind, um sich auf LI zu verlassen“.
Viele EU-Datenschutzexperten sind jedoch der Ansicht, dass Meta sich bei der Nachverfolgung und Profilerstellung, die sein Geschäft mit verhaltensbasierten Anzeigen untermauert, nicht auf LI verlassen kann – und letztendlich die Benutzer um Zustimmung bitten muss, um den EU-Datenschutz einzuhalten Gesetze (zu denen die ältere ePrivacy-Richtlinie sowie die DSGVO gehören).
Ein Problem bei dem Versuch von Meta, sich auf LI für ein Geschäft mit verhaltensbasierter Massenüberwachung zu verlassen, besteht darin, dass diese Rechtsgrundlage für die Verarbeitung verwendet werden soll, die unbedingt erforderlich ist (dh sie kann nicht auf weniger aufdringliche Weise erfolgen, wie z. B. — kontextbezogenes Ad-Targeting anstelle von aus personenbezogenen Daten abgeleitetem Mikrotargeting).
Datenverarbeiter müssen auch die Rechte und Interessen von Einzelpersonen in Abwägungstests abwägen (in diesem Fall Datenschutz und Nicht-Verfolgung). Und jeder LI-Balancing-Test für Metas Überwachungsanzeigengeschäft müsste ernsthafte Gymnastik machen, um zu versuchen zu behaupten, dass das massenhafte Eindringen in die Privatsphäre durch sein kommerzielles Mikrotargeting das Grundrecht der EU-Bürger auf Privatsphäre überwiegt.
Während die ePrivacy-Richtlinie die Verwendung von LI für die Anzeigenverfolgung nicht zulässt; Sofern die Cookies nicht „unbedingt erforderlich“ sind, ist der erforderliche Standard die Zustimmung.
Also tDas „Etwas“, zu dem Meta hier gezwungen wird, sieht nicht so aus, als würde es das rechtliche Kernproblem lösen, mit dem es endlich in der EU konfrontiert ist, jetzt, wo die Durchsetzung des Datenschutzes zu beißen beginnt.
Nach den ersten Berichten über Metas geplanten Wechsel zu LI, der von der gemeldet wurde WSJnoyb, die Kampagnengruppe für Datenschutzrechte, die bereits im Mai 2018 hinter den ursprünglichen DSGVO-Beschwerden der „erzwungenen Zustimmung“ gegen Facebook, Instagram und WhatsApp stand, warnte, dass sie „immanente“ Maßnahmen als Reaktion auf das ergreifen werde, was sie als neue „ illegale Praxis“ des Technologieriesen.
noyb gibt nicht genau an, welche Art von Maßnahmen es ergreifen wird. Aber in einer Erklärung sagte ihr Gründer und Vorsitzender Max Schrems: „Meta tauscht eine illegale Praxis gegen eine andere illegale Praxis aus. noyb wird umgehend rechtliche Schritte einleiten, um diese Scharade zu stoppen, da klar ist, dass die irische Regulierungsbehörde von Meta erneut untätig sein wird. Das ist ein absurdes Spiel und wir werden es so schnell wie möglich stoppen. Wie jedes andere Unternehmen muss Meta eine klare Ja/Nein-Option für Benutzer haben, bei der sie aktiv Ja sagen müssen, wenn sie ihre Grundrechte aufgeben wollen.“
„Während einige immer noch argumentieren, dass Werbung die Grundrechte der Nutzer außer Kraft setzen würde, ist dies eine Minderheitsansicht. Uns ist niemand bekannt, der argumentiert, dass Profiling und Tracking auf der Ebene von Meta, nur um einige Anzeigenklicks zu erhalten, diesen Test erfüllen würden. Diese Systematik der Nutzung des berechtigten Interesses ermöglicht zumindest ein Opt-out, was für die Nutzer eine leichte Verbesserung darstellt“, so Schrems weiter.
Eine wichtige Überlegung ist hier die Zeit zwischen den ersten DSGVO-Beschwerden, die über Facebooks gruselige Anzeigen eingereicht wurden, und den endgültigen Entscheidungen der führenden EU-Datenschutzbehörde, die irische Datenschutzkommission (DPC) – die nahm mehr als vier Jahre – während dieser Zeit konnte Facebook/Meta das lukrative (aber ungesetzliche) Geschäft der Verfolgung, Profilierung und Monetarisierung der Augäpfel der Europäer fortsetzen und weitaus mehr Gewinne einfahren, die es in Form von Geldstrafen abgeben muss.
Das bedeutet – wenn man Moral und Ethik aufgibt – einfache Mathematik begünstigt den Gesetzesbruch. Und dieser kaufmännischen Logik folgend, Metas „Compliance-Strategie“, wenn wir es so nennen können, scheint davon abzuhängen, von einem zweifelhaften Compliance-Anspruch zum nächsten zu springen, um sich ein weiteres Jahr zu kaufen, damit es weiter Geld verdienen kann, indem es die Privatsphäre der Menschen ausbeutet, während die EU-Regulierungsbehörden es versuchen Schritt halten und/oder untereinander streiten.
Das war bis heute das übliche Spiel des regulatorischen „Whack-a-Mole“. Es gibt jedoch Grund zu der Annahme, dass dieser Ansatz auf der Strecke bleibt.
Zunächst einmal sieht sich Meta mit anderen DSGVO-Beschwerden und -Durchsetzungen konfrontiert – wie beispielsweise einer wichtigen Entscheidung über die Aussetzung des Datenverkehrs zwischen der EU und den USA. Und je mehr dieser Entscheidungen landen und Präzedenzfälle schaffen, desto kleiner wird der Spielraum, Wege zu finden, um die Datenschutzanforderungen zu umgehen. Die Regeln werden immer mehr eingebaut.
Zweitens versuchte TikTok erst kürzlich, einen Wechsel von der Zustimmung zu LI zu vollziehen – und wurde fast sofort von einer Reihe von EU-Regulierungsbehörden angesprungen, die warnten, dass der Schritt nicht konform sein würde, was schnell dazu führte, dass der Plan fallen gelassen wurde.
Während also Meta versucht, von einer (falschen) Behauptung der vertraglichen Notwendigkeit zu einer (bestenfalls zweifelhaften) Behauptung von LI zu springen – vor der es sich anscheinend auch auf eine falsche Behauptung der Zustimmung stützte, da es den Benutzern nicht wirklich eine freie Wahl über die Nachverfolgung, die die DSGVO für die Einwilligung als gültige Grundlage erfordert – es ist schwer vorstellbar, wie sie etwas tun kann.
Und an der DSGVO-Front, wenn sich die irische Datenschutzbehörde trotz ihrer früheren Zusammenarbeit mit TikTok wegen eines ähnlichen Schritts dafür entscheidet, bei diesem Compliance-Wechsel wegzuschauen, riskiert sie den Anschein, als würde sie Meta unfair gegenüber Konkurrenten bevorzugen, die sie beaufsichtigt – was einen neuen Host einladen könnte von rechtlichen Problemen für eine Regulierungsbehörde, die bereits mit vielen davon belastet ist.
(Wir haben uns mit Fragen zu Metas geplantem Wechsel zu LI an das DPC gewandt, aber der stellvertretende Kommissar Graham Doyle sagte uns, dass es sich derzeit nicht öffentlich äußert – und sagte, Meta habe bis nächste Woche Zeit, seinen Compliance-Bericht gemäß der von ihm herausgegebenen Entscheidung zu senden im Januar.)
Drittens verfügt die Datenschutzrichtlinie für elektronische Kommunikation im Gegensatz zur DSGVO nicht über einen zentralisierten Durchsetzungsmechanismus, was bedeutet, dass Regulierungsbehörden in der gesamten EU befugt sind, in ihren eigenen Märkten einzugreifen, wenn sie Verstöße vermuten. (Letzten Sommer warnte beispielsweise die italienische Datenschutzbehörde TikTok vor der Verwendung von LI – unter Berufung auf die ePrivacy-Richtlinie; eine Intervention, die wirksam schien, um den Plan von TikTok im Keim zu ersticken.)
Wenn Meta diesen Schritt macht, muss man also nicht (lange) warten, um zu sehen, ob die irische Datenschutzbehörde etwas dagegen unternehmen wird – Datenschutzbehörden in EU-Mitgliedstaaten wie Italien und Frankreich können unter ePrivacy so schnell handeln, wie sie möchten gibt ihnen die Befugnis, abschreckende Bußgelder für alle von ihnen festgestellten Verstöße zu verhängen. (Und Frankreich war an dieser Front beschäftigt, wenn es um Cookie-Verletzungen geht – einschließlich der jüngsten Bußgelder für dunkle Facebook-Muster.)
Während es abzuwarten bleibt, ob sich Meta mehr Jahre kaufen wird, um zu vermeiden, dass EU-Benutzer im Voraus ein Mitspracherecht darüber haben, ob es ihre Datenschutzrechte verletzen kann oder nicht, ist der Wechsel zu LI mit einer harten unmittelbaren Anforderung verbunden: Es wird EU-Nutzern eine Möglichkeit bieten müssen, der Verarbeitung zu widersprechen. Das bedeutet also, dass es für EU-Nutzer endlich eine Möglichkeit geben wird, sich von der Nachverfolgung und Profilerstellung abzumelden – was an und für sich schon ein großer Gewinn ist. Wenn nicht immer noch das volle Paket, für das Datenschützer gekämpft haben.
In seinem Blogbeitrag spielt Meta nur vage auf dieses Opt-out an und schreibt: „Relevante Benutzer werden auch über diese Änderung benachrichtigt, was ihnen zusätzliche Optionen dazu gibt, wie wir bestimmte Informationen verarbeiten, um verhaltensbasierte Werbung zu schalten.“
Laut dem WSJ, das mit Metas Planung vertraute Personen zitiert, wird der Technologieriese den Benutzern im Block die Möglichkeit bieten, „bestimmte hochgradig personalisierte Anzeigen“ abzulehnen – sie können eine Version seiner Dienste auswählen, die sie mit Anzeigen auf der Grundlage dessen ansprechen Die Berichterstattung nennt „breite Kategorien, wie ihre Altersgruppe und ihren allgemeinen Standort“ – also vermutlich eine Form von Kontext-Targeting – ohne Tracking-Daten zu verwenden, wie z. B. welche Videos sie sich ansehen oder welche Inhalte sie in ihren Apps anklicken.
Meta wird das Opt-out für verhaltensbasierte Werbung nur Nutzern in der EU anbieten – so wird Nutzern in den USA laut Zeitung weiterhin keine Wahl geboten.
Das WSJ berichtet, dass Benutzer, die sich von Metas Tracking- und profilbasierter verhaltensbasierter Werbung abmelden möchten, ein Formular einreichen müssen, um der Verwendung ihrer In-App-Aktivitäten für Anzeigen zu widersprechen – das das Unternehmen vor der Implementierung auswerten wird.
Wenn das stimmt, sieht dieses Detail auch interessant aus, da – unter der DSGVO – das Recht, Direktmarketing zu widersprechen, absolut ist und, wie die ICO-Leitlinien„Sie müssen die Verarbeitung stoppen, wenn jemand widerspricht“, daher ist nicht klar, was genau dort zu bewerten wäre. (NB: Meta sieht sich in Großbritannien wegen genau diesem Punkt auch einer Sammelklage im Stil einer Sammelklage gegenüber.)
Da der Technologieriese endlich dazu gezwungen werden wird, EU-Benutzern ein bare-bone Opt-out von seinem Tracking zu geben, wird es interessant sein zu sehen, wie viele Benutzer vorgehen und ihre Privatsphäre zurückfordern.
Wo Menschen Privatsphäre angeboten wird, nutzt sie normalerweise eine Mehrheit – wie zum Beispiel iOS-Benutzer, die die Verfolgung durch Dritte verweigern, nachdem Apple es vorgeschrieben hat, dass Apps auf seiner Plattform die Erlaubnis der Menschen einholen, sie zu verfolgen. Obwohl viel davon abhängen kann, wie Meta das Opt-out darstellt – angesichts seiner Vorliebe für dunkles Musterdesign.
Dennoch kommt die Entscheidung, den Missbrauch der Privatsphäre zu leugnen. Und für einen Überwachungsgiganten wie Meta scheint es keinen Weg zurück von diesem Wendepunkt zu geben – abgesehen von einer vollständigen Reform des Geschäftsmodells.
