![\"\"](\"https:\/\/www.ubiscore.com\/wp-content\/uploads\/2023\/02\/can-terms-of-service-agreements-bypass-the-gdpr-1024x538.png\")
<\/p>\n<\/p>\n
Die irische Datenschutzkommission (DPC) hat seit Ende Dezember 2022 Entscheidungen zu drei Meta-Unternehmen erlassen. In jeder Entscheidung wird gepr\u00fcft, ob Meta seine Nutzungsbedingungen nutzen kann, um seinen Nutzern eine unn\u00f6tige Datenverarbeitung „aufzuzwingen“.<\/span><\/p>\n Diese j\u00fcngsten Entscheidungen geh\u00f6ren zu den wichtigsten regulatorischen Entwicklungen seit Inkrafttreten der Allgemeinen Datenschutzverordnung (DSGVO) im Mai 2018. Und sie offenbaren eine grundlegende Kluft zwischen Irland und den anderen EU-Datenschutzbeh\u00f6rden (DPA).<\/span><\/p>\n In diesem Artikel werden die Hintergr\u00fcnde dieser Entscheidungen beleuchtet, die beiden wichtigsten Auslegungen der Vorschriften der Datenschutz-Grundverordnung zu Vertr\u00e4gen untersucht und \u00dcberlegungen angestellt, wie die f\u00fcr die Verarbeitung Verantwortlichen nach diesen Entscheidungen \u00fcber die Rechtsgrundlagen f\u00fcr die Verarbeitung nachdenken sollten.<\/span><\/p>\n Meta hat mit den pers\u00f6nlichen Daten seiner Nutzer Milliarden verdient. Doch als die EU die Datenschutzgrundverordnung verabschiedete, war nicht klar, ob das Gesch\u00e4ftsmodell des Unternehmens \u00fcberleben w\u00fcrde.<\/span><\/p>\n Bevor die DSGVO am 25. Mai 2018 in Kraft trat, verlie\u00df sich Meta (damals einfach „Facebook“ genannt) auf die Zustimmung seiner Nutzer f\u00fcr bestimmte Datenverarbeitungsaktivit\u00e4ten auf seinen Plattformen, einschlie\u00dflich Ad-Targeting, Sicherheit und Serviceverbesserung.<\/span><\/p>\n Vor der DSGVO wurde davon ausgegangen, dass die Nutzer bei der Einrichtung eines Kontos ihre Zustimmung zu diesen Aktivit\u00e4ten gaben. Unter der Datenschutzrichtlinie, der Vorg\u00e4ngerin der DSGVO, war Meta der Ansicht, dass dies akzeptabel sei.<\/span><\/p>\n Mit der Datenschutz-Grundverordnung wurde jedoch die EU-Definition von „Einwilligung“ ge\u00e4ndert. Die f\u00fcr die Verarbeitung Verantwortlichen m\u00fcssen nun u. a. durch eine „eindeutige“, „klare“ und „best\u00e4tigende“ Ma\u00dfnahme die Zustimmung einholen.<\/span><\/p>\n Meta bef\u00fcrchtete, dass ihr Antrag auf Zustimmung nicht dem neuen EU-Standard entsprechen w\u00fcrde. Das Unternehmen wollte auch nicht den neuen Standard der Einwilligung \u00fcbernehmen, da dies bedeuten w\u00fcrde, dass seine Nutzer eine echte Wahlm\u00f6glichkeit h\u00e4tten, wie ihre Daten verarbeitet werden. <\/span><\/p>\n Als die Frist f\u00fcr die Einhaltung der DSGVO n\u00e4her r\u00fcckte, bat Meta den irischen Datenschutzbeauftragten um Rat, wie diese neuen Zustimmungsregeln zu handhaben sind.<\/span><\/p>\n Die Regulierungsbeh\u00f6rde schlug Meta vor, sich nicht mehr auf die „Zustimmung“ zu verlassen, sondern stattdessen auf den „Vertrag“ umzusteigen. Diese \u00c4nderung w\u00fcrde bedeuten, dass diese Praktiken in die Allgemeinen Gesch\u00e4ftsbedingungen aufgenommen werden. <\/span><\/p>\n Um Mitternacht des Tages, an dem die DSGVO in Kraft trat, nahm Meta die \u00c4nderung vor. Die Nutzer von Facebook, Instagram und WhatsApp wurden aufgefordert, neuen Nutzungsbedingungen zuzustimmen, in denen sie entweder bestimmten Datenverarbeitungsaktivit\u00e4ten zustimmen oder die Nutzung der Plattform einstellen mussten.<\/span><\/p>\n Kurz darauf reichte die Datenschutzkampagnengruppe „noyb“ Beschwerden gegen Facebook, Instagram und WhatsApp ein und argumentierte, dass diese neuen Bedingungen nach der Datenschutz-Grundverordnung illegal seien. Und viereinhalb Jahre sp\u00e4ter wurden die Beschwerden gegen Meta und zugunsten von noyb entschieden.<\/span><\/p>\n Was war also falsch an der Empfehlung des irischen Datenschutzbeauftragten?<\/span><\/p>\n Die Aufsichtsbeh\u00f6rde beriet Meta auf der Grundlage ihrer Auslegung der Datenschutz-Grundverordnung, insbesondere von Artikel 6 Absatz 1 Buchstabe b, der als Rechtsgrundlage den „Vertrag“ vorsieht:<\/span><\/p>\n „<\/span>Die Verarbeitung ist rechtm\u00e4\u00dfig, (wenn) sie f\u00fcr die Erf\u00fcllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist …<\/span><\/i>„<\/span><\/p>\n Die Schl\u00fcsselfrage: Was bedeutet „f\u00fcr die Erf\u00fcllung eines Vertrags erforderlich“?<\/span><\/p>\n Hier ist ein einfaches Beispiel. Wenn Sie ein Hemd in einem Online-Shop kaufen, ben\u00f6tigt der Online-Shop einige Ihrer pers\u00f6nlichen Daten (z. B. Ihre Adresse), um Ihnen das Hemd zu schicken. Das Gesch\u00e4ft ben\u00f6tigt die Daten, um seine vertraglichen Verpflichtungen zu erf\u00fcllen.<\/span><\/p>\n Der irische Datenschutzbeauftragte nahm eine umfassendere Auslegung vor. Die Regulierungsbeh\u00f6rde argumentierte, dass „notwendig“ auch bedeuten kann, dass das Gesch\u00e4ftsmodell eines Kontrolleurs unterst\u00fctzt werden muss. Dies soll bei Meta der Fall sein, das von der Monetarisierung der Daten seiner Nutzer und der gezielten Schaltung von Werbung profitiert.<\/span><\/p>\n Einige waren mit der Auslegung des irischen Datenschutzbeauftragten nicht einverstanden, vor allem die irischen Datenschutzbeauftragten im Europ\u00e4ischen Datenschutzausschuss (EDPB).<\/span><\/p>\n Die Debatte zwischen Irland und anderen EU-L\u00e4ndern wird in einem<\/span>Dokument vom Oktober 2018 <\/span><\/a>wieder, in dem die Mitglieder des EDPB einige k\u00fcnftige Leitlinien f\u00fcr die Bereitstellung von Online-Diensten auf der Grundlage von Vertr\u00e4gen diskutieren.<\/span><\/p>\n Die anderen Regulierungsbeh\u00f6rden behaupteten, die Auslegung des Begriffs „Vertrag“ durch den DPC sei „zu sehr auf die Interessen der Unternehmen ausgerichtet“ und stehe „im Widerspruch zu allem, woran sie glauben“.<\/span><\/p>\n Wenn die<\/span> endg\u00fcltigen Leitlinien <\/span><\/a>ein Jahr sp\u00e4ter ver\u00f6ffentlicht wurden, war klar, dass Irland die Debatte verloren hatte. In den Leitlinien hei\u00dft es, dass „notwendig“ bedeutet „notwendig f\u00fcr die von der betroffenen Person erbrachten individuellen Dienstleistungen“ – nicht „notwendig f\u00fcr das allgemeine Gesch\u00e4ftsmodell des f\u00fcr die Verarbeitung Verantwortlichen“.<\/span><\/p>\n Der irische Datenschutzbeauftragte war von den EDPB-Leitlinien jedoch immer noch nicht \u00fcberzeugt.<\/span><\/p>\n Wenden wir uns nun den drei Entscheidungen zu, die die Datenschutzbeh\u00f6rde k\u00fcrzlich gegen<\/span> Facebook, Instagram <\/span><\/a>und <\/span>WhatsApp<\/span><\/a>.<\/span><\/p>\n Aus den Entscheidungen k\u00f6nnen wir viel dar\u00fcber lernen, wann sich f\u00fcr die Verarbeitung Verantwortliche bei der Verarbeitung personenbezogener Daten auf einen „Vertrag“ berufen k\u00f6nnen – mit anderen Worten, welche Arten von T\u00e4tigkeiten in die „Nutzungsbedingungen“ eines f\u00fcr die Verarbeitung Verantwortlichen aufgenommen werden k\u00f6nnen.<\/span><\/p>\n In den Entscheidungen zu Facebook und Instagram st\u00fctzte sich Meta auf einen „Vertrag“ f\u00fcr das Ad-Targeting. Bei der WhatsApp-Entscheidung ging es um „Serviceverbesserungen“ und „Sicherheit“. In allen drei Entscheidungen wies die irische Regulierungsbeh\u00f6rde Meta an, eine neue Rechtsgrundlage f\u00fcr diese T\u00e4tigkeiten zu finden.<\/span><\/p>\n Die Datenschutzbeh\u00f6rde war jedoch sehr zur\u00fcckhaltend, diese Anordnung gegen Meta zu erlassen, und hielt sich zun\u00e4chst an ihre eigene Auslegung der Datenschutzgrundverordnung. Die irische Aufsichtsbeh\u00f6rde h\u00e4tte Meta erlaubt, die Nutzer weiterhin zu zwingen, dieser Art der Datenverarbeitung in den Nutzungsbedingungen zuzustimmen.<\/span><\/p>\n Der Europ\u00e4ische Datenschutzbeauftragte intervenierte. Nachdem mehrere andere Regulierungsbeh\u00f6rden Einw\u00e4nde gegen den Standpunkt der DPC erhoben hatten, erlie\u00df der EDPB drei „verbindliche Entscheidungen“, um die irische Regulierungsbeh\u00f6rde zu zwingen, ihre Entscheidung zu \u00e4ndern.<\/span><\/p>\n Deshalb hat der DPC schlie\u00dflich Meta angewiesen, sich nicht mehr auf den „Vertrag“ zu verlassen.<\/span><\/p>\n Welche T\u00e4tigkeiten sind f\u00fcr die Ausf\u00fchrung eines Auftrags „erforderlich“?<\/span><\/p>\n In seinen Leitlinien untersucht der EDSB einige Datenverarbeitungst\u00e4tigkeiten und pr\u00fcft, ob sie f\u00fcr die Erf\u00fcllung eines Vertrags im Zusammenhang mit der Erbringung von Online-Diensten „erforderlich“ sein k\u00f6nnten.<\/span><\/p>\n Hier finden Sie eine Zusammenfassung dieses Abschnitts der Leitlinien:<\/span><\/p>\n <\/p>\n Alle diese Beispiele sind kontextabh\u00e4ngig. Die Datenschutz-Grundverordnung \u00fcberl\u00e4sst es den f\u00fcr die Verarbeitung Verantwortlichen im Allgemeinen, zu entscheiden, welche Rechtsgrundlage in einer bestimmten Situation angemessen ist.<\/span><\/p>\n Wenn Sie \u00fcberlegen, ob „Vertrag“ die richtige Rechtsgrundlage f\u00fcr eine bestimmte T\u00e4tigkeit ist, \u00fcberlegen Sie, ob die T\u00e4tigkeit zu Ihren „Kernfunktionen“ geh\u00f6rt. Mit anderen Worten: Ist es das, wof\u00fcr sich Ihre Nutzer anmelden?<\/span><\/p>\n Die Facebook-Bedingungen erlauben Meta zum Beispiel Folgendes: <\/span><\/p>\n <\/p>\n Ist es das, was die Menschen vern\u00fcnftigerweise erwarten, wenn sie sich bei Facebook anmelden? Der EDSB argumentiert, dass dies nicht der Fall ist. Dies deutet darauf hin, dass solche Aktivit\u00e4ten keine „Kernfunktion“ der Plattform sind.<\/span><\/p>\n W\u00e4re es m\u00f6glich, die „Kernfunktionen“ von Facebook zu erf\u00fcllen, ohne die personenbezogenen Daten der Menschen auf diese Weise zu nutzen (unabh\u00e4ngig davon, ob es rentabel w\u00e4re, dies zu tun)? Der EDSB argumentiert, dass dies der Fall w\u00e4re. Dies deutet darauf hin, dass die T\u00e4tigkeiten f\u00fcr die Ausf\u00fchrung des Auftrags nicht „notwendig“ sind.<\/span><\/p>\n Alles in allem ist die angemessenere Grundlage f\u00fcr diese Art von Aktivit\u00e4ten wahrscheinlich die Zustimmung: Fragen Sie die Menschen, ob sie gezielte Werbung akzeptieren oder ablehnen, und lassen Sie sie ihre Meinung \u00e4ndern.<\/span><\/p>\n Aber was ist mit den Aktivit\u00e4ten, die im Fall von WhatsApp in Betracht gezogen werden, wie „Sicherheit“ und „Serviceverbesserungen“? Auch hier handelt es sich dem EDPB zufolge nicht um „Kernfunktionen“.<\/span><\/p>\n Das bedeutet aber nicht, dass Sie personenbezogene Daten nicht f\u00fcr die Verbesserung von Dienstleistungen oder f\u00fcr Sicherheitszwecke verwenden k\u00f6nnen. M\u00f6glicherweise brauchen Sie f\u00fcr diese Aktivit\u00e4ten nicht einmal die Zustimmung der Betroffenen, wenn Sie feststellen, dass sie in Ihrem berechtigten Interesse liegen.<\/span><\/p>\n Datenschutz und Schutz der Privatsph\u00e4re sind Grundrechte in der EU. Die Rechte auf Datenschutz und Privatsph\u00e4re sind nicht absolut, aber ein f\u00fcr die Verarbeitung Verantwortlicher muss sehr vorsichtig sein, bevor er die Rechte von Personen verletzt.<\/span><\/p>\n Diese Achtung der Rechte und Freiheiten ist das Kernst\u00fcck der Datenschutz-Grundverordnung.<\/span><\/p>\n Beispielsweise k\u00f6nnen die f\u00fcr die Verarbeitung Verantwortlichen auf der Rechtsgrundlage der „berechtigten Interessen“ personenbezogene Daten ohne Genehmigung verarbeiten. Dazu muss der f\u00fcr die Verarbeitung Verantwortliche jedoch das Risiko absch\u00e4tzen, dass die Verarbeitung einen Schaden verursachen k\u00f6nnte, und die Einw\u00e4nde der Betroffenen sorgf\u00e4ltig pr\u00fcfen.<\/span><\/p>\n Im Rahmen der „Einwilligung“ k\u00f6nnen Einzelpersonen in voller Kenntnis der Sachlage frei entscheiden, ob ihre personenbezogenen Daten in einer Weise verarbeitet werden sollen, die ihnen nicht in erster Linie zugute kommt. Und sie k\u00f6nnen ihre Meinung jederzeit \u00e4ndern, ohne dass ihnen dadurch ein Nachteil entsteht.<\/span><\/p>\n Das Problem, das sich ergibt, wenn unn\u00f6tige Datenverarbeitungsaktivit\u00e4ten unter einen „Terms of Service“-Vertrag fallen, ist, dass diese sorgf\u00e4ltigen \u00dcberlegungen und Schutzma\u00dfnahmen nicht gelten. Der Einzelne muss sich einfach der Datenverarbeitung unterwerfen, sonst kann er den Dienst nicht nutzen.<\/span><\/p>\n Dies widerspricht der Vision der Datenschutz-Grundverordnung. Zumindest sieht das der EDPB so. Meta hat Berufung eingelegt, und der Gerichtshof der Europ\u00e4ischen Union (EuGH) wird das letzte Wort haben.<\/span><\/p>\n <\/p>\nDer Hintergrund<\/span><\/h2>\n
<\/h2>\n
Beratung durch die Regulierungsbeh\u00f6rde<\/span><\/h2>\n
<\/h2>\n
Das N\u00f6tigste<\/span><\/h2>\n
<\/h2>\n
Die DPA-Debatte<\/span><\/h2>\n
<\/h2>\n
Die Meta-Entscheidungen<\/span><\/h2>\n
<\/h2>\n
Wann gilt der Begriff „Vertrag“?<\/span><\/h2>\n
\n\n
\n Verarbeitungst\u00e4tigkeit<\/span><\/b><\/td>\n Ist die Berufung auf den „Vertrag“ g\u00fcltig?<\/span><\/b><\/td>\n M\u00f6gliche alternative Rechtsgrundlage<\/span><\/b><\/td>\n<\/tr>\n \n Verbesserung der Dienstleistungen<\/span><\/td>\n Im Allgemeinen nein<\/span><\/td>\n Berechtigte Interessen oder Zustimmung<\/span><\/td>\n<\/tr>\n \n Betrugspr\u00e4vention<\/span><\/td>\n Im Allgemeinen nein<\/span><\/td>\n Berechtigte Interessen<\/span><\/td>\n<\/tr>\n \n Verhaltensbasierte Werbung<\/span><\/td>\n Im Allgemeinen nein<\/span><\/td>\n Zustimmung<\/span><\/td>\n<\/tr>\n \n Personalisierung von Inhalten<\/span><\/td>\n M\u00f6glicherweise ja, wenn sie Bestandteil des Dienstes sind<\/span><\/td>\n <\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n <\/h2>\n
Kernfunktionen<\/span><\/h2>\n
\n
<\/h2>\n
Eine Frage der Grundrechte<\/span><\/h2>\n