Können Dienstleistungsvereinbarungen die DSGVO „umgehen“?

Reaktion auf Irlands Meta-Entscheidungen

Die irische Datenschutzkommission (DPC) hat seit Ende Dezember 2022 Entscheidungen zu drei Meta-Unternehmen erlassen. In jeder Entscheidung wird geprüft, ob Meta seine Nutzungsbedingungen nutzen kann, um seinen Nutzern eine unnötige Datenverarbeitung „aufzuzwingen“.

Diese jüngsten Entscheidungen gehören zu den wichtigsten regulatorischen Entwicklungen seit Inkrafttreten der Allgemeinen Datenschutzverordnung (DSGVO) im Mai 2018. Und sie offenbaren eine grundlegende Kluft zwischen Irland und den anderen EU-Datenschutzbehörden (DPA).

In diesem Artikel werden die Hintergründe dieser Entscheidungen beleuchtet, die beiden wichtigsten Auslegungen der Vorschriften der Datenschutz-Grundverordnung zu Verträgen untersucht und Überlegungen angestellt, wie die für die Verarbeitung Verantwortlichen nach diesen Entscheidungen über die Rechtsgrundlagen für die Verarbeitung nachdenken sollten.

Der Hintergrund

Meta hat mit den persönlichen Daten seiner Nutzer Milliarden verdient. Doch als die EU die Datenschutzgrundverordnung verabschiedete, war nicht klar, ob das Geschäftsmodell des Unternehmens überleben würde.

Bevor die DSGVO am 25. Mai 2018 in Kraft trat, verließ sich Meta (damals einfach „Facebook“ genannt) auf die Zustimmung seiner Nutzer für bestimmte Datenverarbeitungsaktivitäten auf seinen Plattformen, einschließlich Ad-Targeting, Sicherheit und Serviceverbesserung.

Vor der DSGVO wurde davon ausgegangen, dass die Nutzer bei der Einrichtung eines Kontos ihre Zustimmung zu diesen Aktivitäten gaben. Unter der Datenschutzrichtlinie, der Vorgängerin der DSGVO, war Meta der Ansicht, dass dies akzeptabel sei.

Mit der Datenschutz-Grundverordnung wurde jedoch die EU-Definition von „Einwilligung“ geändert. Die für die Verarbeitung Verantwortlichen müssen nun u. a. durch eine „eindeutige“, „klare“ und „bestätigende“ Maßnahme die Zustimmung einholen.

Meta befürchtete, dass ihr Antrag auf Zustimmung nicht dem neuen EU-Standard entsprechen würde. Das Unternehmen wollte auch nicht den neuen Standard der Einwilligung übernehmen, da dies bedeuten würde, dass seine Nutzer eine echte Wahlmöglichkeit hätten, wie ihre Daten verarbeitet werden.

Beratung durch die Regulierungsbehörde

Als die Frist für die Einhaltung der DSGVO näher rückte, bat Meta den irischen Datenschutzbeauftragten um Rat, wie diese neuen Zustimmungsregeln zu handhaben sind.

Die Regulierungsbehörde schlug Meta vor, sich nicht mehr auf die „Zustimmung“ zu verlassen, sondern stattdessen auf den „Vertrag“ umzusteigen. Diese Änderung würde bedeuten, dass diese Praktiken in die Allgemeinen Geschäftsbedingungen aufgenommen werden.

Um Mitternacht des Tages, an dem die DSGVO in Kraft trat, nahm Meta die Änderung vor. Die Nutzer von Facebook, Instagram und WhatsApp wurden aufgefordert, neuen Nutzungsbedingungen zuzustimmen, in denen sie entweder bestimmten Datenverarbeitungsaktivitäten zustimmen oder die Nutzung der Plattform einstellen mussten.

Kurz darauf reichte die Datenschutzkampagnengruppe „noyb“ Beschwerden gegen Facebook, Instagram und WhatsApp ein und argumentierte, dass diese neuen Bedingungen nach der Datenschutz-Grundverordnung illegal seien. Und viereinhalb Jahre später wurden die Beschwerden gegen Meta und zugunsten von noyb entschieden.

Das Nötigste

Was war also falsch an der Empfehlung des irischen Datenschutzbeauftragten?

Die Aufsichtsbehörde beriet Meta auf der Grundlage ihrer Auslegung der Datenschutz-Grundverordnung, insbesondere von Artikel 6 Absatz 1 Buchstabe b, der als Rechtsgrundlage den „Vertrag“ vorsieht:

Die Verarbeitung ist rechtmäßig, (wenn) sie für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist …

Die Schlüsselfrage: Was bedeutet „für die Erfüllung eines Vertrags erforderlich“?

Hier ist ein einfaches Beispiel. Wenn Sie ein Hemd in einem Online-Shop kaufen, benötigt der Online-Shop einige Ihrer persönlichen Daten (z. B. Ihre Adresse), um Ihnen das Hemd zu schicken. Das Geschäft benötigt die Daten, um seine vertraglichen Verpflichtungen zu erfüllen.

Der irische Datenschutzbeauftragte nahm eine umfassendere Auslegung vor. Die Regulierungsbehörde argumentierte, dass „notwendig“ auch bedeuten kann, dass das Geschäftsmodell eines Kontrolleurs unterstützt werden muss. Dies soll bei Meta der Fall sein, das von der Monetarisierung der Daten seiner Nutzer und der gezielten Schaltung von Werbung profitiert.

Die DPA-Debatte

Einige waren mit der Auslegung des irischen Datenschutzbeauftragten nicht einverstanden, vor allem die irischen Datenschutzbeauftragten im Europäischen Datenschutzausschuss (EDPB).

Die Debatte zwischen Irland und anderen EU-Ländern wird in einemDokument vom Oktober 2018 wieder, in dem die Mitglieder des EDPB einige künftige Leitlinien für die Bereitstellung von Online-Diensten auf der Grundlage von Verträgen diskutieren.

Die anderen Regulierungsbehörden behaupteten, die Auslegung des Begriffs „Vertrag“ durch den DPC sei „zu sehr auf die Interessen der Unternehmen ausgerichtet“ und stehe „im Widerspruch zu allem, woran sie glauben“.

Wenn die endgültigen Leitlinien ein Jahr später veröffentlicht wurden, war klar, dass Irland die Debatte verloren hatte. In den Leitlinien heißt es, dass „notwendig“ bedeutet „notwendig für die von der betroffenen Person erbrachten individuellen Dienstleistungen“ – nicht „notwendig für das allgemeine Geschäftsmodell des für die Verarbeitung Verantwortlichen“.

Der irische Datenschutzbeauftragte war von den EDPB-Leitlinien jedoch immer noch nicht überzeugt.

Die Meta-Entscheidungen

Wenden wir uns nun den drei Entscheidungen zu, die die Datenschutzbehörde kürzlich gegen Facebook, Instagram und WhatsApp.

Aus den Entscheidungen können wir viel darüber lernen, wann sich für die Verarbeitung Verantwortliche bei der Verarbeitung personenbezogener Daten auf einen „Vertrag“ berufen können – mit anderen Worten, welche Arten von Tätigkeiten in die „Nutzungsbedingungen“ eines für die Verarbeitung Verantwortlichen aufgenommen werden können.

In den Entscheidungen zu Facebook und Instagram stützte sich Meta auf einen „Vertrag“ für das Ad-Targeting. Bei der WhatsApp-Entscheidung ging es um „Serviceverbesserungen“ und „Sicherheit“. In allen drei Entscheidungen wies die irische Regulierungsbehörde Meta an, eine neue Rechtsgrundlage für diese Tätigkeiten zu finden.

Die Datenschutzbehörde war jedoch sehr zurückhaltend, diese Anordnung gegen Meta zu erlassen, und hielt sich zunächst an ihre eigene Auslegung der Datenschutzgrundverordnung. Die irische Aufsichtsbehörde hätte Meta erlaubt, die Nutzer weiterhin zu zwingen, dieser Art der Datenverarbeitung in den Nutzungsbedingungen zuzustimmen.

Der Europäische Datenschutzbeauftragte intervenierte. Nachdem mehrere andere Regulierungsbehörden Einwände gegen den Standpunkt der DPC erhoben hatten, erließ der EDPB drei „verbindliche Entscheidungen“, um die irische Regulierungsbehörde zu zwingen, ihre Entscheidung zu ändern.

Deshalb hat der DPC schließlich Meta angewiesen, sich nicht mehr auf den „Vertrag“ zu verlassen.

Wann gilt der Begriff „Vertrag“?

Welche Tätigkeiten sind für die Ausführung eines Auftrags „erforderlich“?

In seinen Leitlinien untersucht der EDSB einige Datenverarbeitungstätigkeiten und prüft, ob sie für die Erfüllung eines Vertrags im Zusammenhang mit der Erbringung von Online-Diensten „erforderlich“ sein könnten.

Hier finden Sie eine Zusammenfassung dieses Abschnitts der Leitlinien:

Verarbeitungstätigkeit Ist die Berufung auf den „Vertrag“ gültig? Mögliche alternative Rechtsgrundlage
Verbesserung der Dienstleistungen Im Allgemeinen nein Berechtigte Interessen oder Zustimmung
Betrugsprävention Im Allgemeinen nein Berechtigte Interessen
Verhaltensbasierte Werbung Im Allgemeinen nein Zustimmung
Personalisierung von Inhalten Möglicherweise ja, wenn sie Bestandteil des Dienstes sind

 

Alle diese Beispiele sind kontextabhängig. Die Datenschutz-Grundverordnung überlässt es den für die Verarbeitung Verantwortlichen im Allgemeinen, zu entscheiden, welche Rechtsgrundlage in einer bestimmten Situation angemessen ist.

Kernfunktionen

Wenn Sie überlegen, ob „Vertrag“ die richtige Rechtsgrundlage für eine bestimmte Tätigkeit ist, überlegen Sie, ob die Tätigkeit zu Ihren „Kernfunktionen“ gehört. Mit anderen Worten: Ist es das, wofür sich Ihre Nutzer anmelden?

Die Facebook-Bedingungen erlauben Meta zum Beispiel Folgendes:

  • Sammlung personenbezogener Daten über einen Nutzer von anderen Diensten, Websites von Drittanbietern, Apps, Cookies und anderen Technologien, die auf dem Gerät des Nutzers platziert wurden.
  • Verknüpfen Sie diese Daten mit dem Facebook-Konto des Nutzers.
  • Nutzung der Daten, um Dritten die Möglichkeit zu geben, gezielt Werbung für den Nutzer zu schalten.

 

Ist es das, was die Menschen vernünftigerweise erwarten, wenn sie sich bei Facebook anmelden? Der EDSB argumentiert, dass dies nicht der Fall ist. Dies deutet darauf hin, dass solche Aktivitäten keine „Kernfunktion“ der Plattform sind.

Wäre es möglich, die „Kernfunktionen“ von Facebook zu erfüllen, ohne die personenbezogenen Daten der Menschen auf diese Weise zu nutzen (unabhängig davon, ob es rentabel wäre, dies zu tun)? Der EDSB argumentiert, dass dies der Fall wäre. Dies deutet darauf hin, dass die Tätigkeiten für die Ausführung des Auftrags nicht „notwendig“ sind.

Alles in allem ist die angemessenere Grundlage für diese Art von Aktivitäten wahrscheinlich die Zustimmung: Fragen Sie die Menschen, ob sie gezielte Werbung akzeptieren oder ablehnen, und lassen Sie sie ihre Meinung ändern.

Aber was ist mit den Aktivitäten, die im Fall von WhatsApp in Betracht gezogen werden, wie „Sicherheit“ und „Serviceverbesserungen“? Auch hier handelt es sich dem EDPB zufolge nicht um „Kernfunktionen“.

Das bedeutet aber nicht, dass Sie personenbezogene Daten nicht für die Verbesserung von Dienstleistungen oder für Sicherheitszwecke verwenden können. Möglicherweise brauchen Sie für diese Aktivitäten nicht einmal die Zustimmung der Betroffenen, wenn Sie feststellen, dass sie in Ihrem berechtigten Interesse liegen.

Eine Frage der Grundrechte

Datenschutz und Schutz der Privatsphäre sind Grundrechte in der EU. Die Rechte auf Datenschutz und Privatsphäre sind nicht absolut, aber ein für die Verarbeitung Verantwortlicher muss sehr vorsichtig sein, bevor er die Rechte von Personen verletzt.

Diese Achtung der Rechte und Freiheiten ist das Kernstück der Datenschutz-Grundverordnung.

Beispielsweise können die für die Verarbeitung Verantwortlichen auf der Rechtsgrundlage der „berechtigten Interessen“ personenbezogene Daten ohne Genehmigung verarbeiten. Dazu muss der für die Verarbeitung Verantwortliche jedoch das Risiko abschätzen, dass die Verarbeitung einen Schaden verursachen könnte, und die Einwände der Betroffenen sorgfältig prüfen.

Im Rahmen der „Einwilligung“ können Einzelpersonen in voller Kenntnis der Sachlage frei entscheiden, ob ihre personenbezogenen Daten in einer Weise verarbeitet werden sollen, die ihnen nicht in erster Linie zugute kommt. Und sie können ihre Meinung jederzeit ändern, ohne dass ihnen dadurch ein Nachteil entsteht.

Das Problem, das sich ergibt, wenn unnötige Datenverarbeitungsaktivitäten unter einen „Terms of Service“-Vertrag fallen, ist, dass diese sorgfältigen Überlegungen und Schutzmaßnahmen nicht gelten. Der Einzelne muss sich einfach der Datenverarbeitung unterwerfen, sonst kann er den Dienst nicht nutzen.

Dies widerspricht der Vision der Datenschutz-Grundverordnung. Zumindest sieht das der EDPB so. Meta hat Berufung eingelegt, und der Gerichtshof der Europäischen Union (EuGH) wird das letzte Wort haben.

 

Wenn Sie wissen möchten, wie Ihr Unternehmen im Vergleich zu den Branchen-Benchmarks beim Datenschutz abschneidet, testen Sie die Datenschutzpraktiken Ihres Unternehmens, HIER KLICKEN und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!