Die irische Datenschutzaufsichtsbehörde, die Commission, hat am 31. Dezember 2022 sowohl ihre 188-seitige Entscheidung i.S. Facebook als auch ihre 196-seitige Entscheidung i.S. Instagram gefällt (siehe die Medienmitteilung der Commission). Facebook bzw. Meta werden darin zu Bussen von EUR 210 Mio. (Facebook-Fall) bzw. EUR 180 Mio. (Instagram) verurteilt. Am 12. Januar 2023 kam die 112-seitige Entscheidung i.S. WhatsApp dazu, mit einer Busse von EUR 5.5 Mio. Die Entscheidungen sind soweit bekannt nicht rechtskräftig.
In allen Fällen ging es vor allem um die Rechtsgrundlage für personenbezogene Werbeaktivitäten und um die Information über die anwendbare Rechtsgrundlage. Inhaltlich sind sich die Entscheidungen bzw. die darin angestellten Überlegungen ähnlich, weshalb sich die folgenden Anmerkungen auf die Facebook-Entscheidung beschränken.
Vorangegangen waren jeweils verbindliche Entscheidung des Europäischen Datenschutzausschusses (EDSA), auf Basis von Art. 65(1)(a) DSGVO, weil mehrere europäische Behörden gegen den Verfügungsentwurf von Irland vom 6. Oktober 2021 Einspruch erhoben hatten und eine Einigung der Behörden einschliesslich der irischen Behörde nicht zustandegekommen war. Der Entscheid der irischen Behörde bezieht nun – gezwungenermassen – die Entscheidung des EDSA mit ein (die sie jeweils ausführlich zitiert). Der Verfahrensverlauf ist detallierter in der Verfügung in Schedule 1 zusammengefasst.
Ausgangspunkt des Verfahrens in Bezug auf den Facebook-Entscheid war eine Beschwerde gegen Facebook durch eine von noyb vertretene Person, die am 25. Mai 2018 in Österreich eingegangen war. noyb hat die Verfügung der Commission kritisch kommentiert und war im Verfahren überhaupt sehr aggressiv aufgetreten:
Minimal fine for actual violation of user rights? A rather shocking element concerns the extent of the fines. While the EDPB demanded a “significantly higher” fine, the DPC decided on the final numbers. While the DPC issued a fine of overall € 150 million on Facebook over transparency issues, the DPC only fined Meta € 60 million for their lack of any legal basis for the processing of millions of European user’s data for about five years.
Max Schrems: “Apparently, the DPC is more concerned with screwing users in a transparent manner, than not screwing them at all.”
Auch Facebook hat die Verfügung kommentiert, allerdings zurückhaltend.
In der Sache ging es vor allem um zwei Punkte, die Rechtsgrundlage für die Verarbeitungstätigkeiten von Facebook bzw. Meta, und ob Facebook über die anwendbare Rechtsgrundlage korrekt informiert hatte.
Zur Rechtsgrundlage
Mit Wirkung auf den 25. Mai 2018 – das Inkrafttreten der DSGVO in der EU – hatte Facebook die Nutzungsbestimmungen für ihre europäischen Nutzer angepasst. Die Nutzungsbestimmungen mussten für die weitere Verwendung von Facebook akzeptiert werden, und für bestimmte Verarbeitungen wurden zudem Einwilligungen eingeholt. Strittig war in diesem Zusammenhang vor allem, ob die Rechtsgrundlage der Vertragsnotwendigkeit (Art. 6 Abs. 1 lit. b DSGVO) anwendbar war oder eine Einwilligung erforderlich gewesen wäre.
Die Haltung der Behörde
Die irische Behörde geht davon aus, dass sich Facebook nicht auf eine Einwilligung berufen hatte und das auch nicht musste, weil die Einwilligung keine Rechtsgrundlage höherer Ordnung ist, sondern der Verantwortliche frei wählen kann, auf welche Grundlage er seine Verarbeitung stützen will:
[…] it is important to emphasise that GDPR does not set out any form of hierarchy of lawful bases that can be used for processing personal data
Man kann auch nicht behaupten, dass die Zustimmung zu einem Vertrag stets eine Einwilligung (in die damit verbundenen Verarbeitungen) sei, und dass die Vertragsbedingungen auf eine Datenschutzerklärung verwiesen, führte auch nicht dazu, dass diese Vertragsbestandteil wurde:
In my view, the acceptance in question is not an act of consent but, on its terms, constituted acceptance of, or agreement to, a contract i.e. the Terms of Service.
Zu prüfen war vorliegend also, ob sich Facebook auf Art. 6 Abs. 1 lit. b DSGVO berufen konnte (Vertragsnotwendigkeit). Zunächst hielt sich die irische Behörde nicht für befugt, die Wirksamkeit des Vertrags zu beurteilen:
Where the GDPR refers to a contract, the Commission cannot determine the interpretation and validity of such a contract for the purposes of the law more generally. The Commission is no more empowered to do this by law than it would be to declare processing based on compliance with a legal obligation under Article 6(1)(c) GDPR to be unlawful simply because a complainant would argue that the legal obligation being relied on was unconstitutional in their country.
Fraglich war in der Sache vor allem, ob Gegenstand des Vertrags auch personalisierte Dienstleistungen waren und die damit verbundenen Verarbeitungen entsprechend legitimiert. Der EDSA hat sich zu Art. 6 Abs. 1 lit. b DSGVO in entsprechenden Leitlinien geäussert (“Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects”).
Strittig war hier – und auf Basis dieser restriktiven Leitlinien –, was als Vertragsleistung überhaupt in Frage kommt, hier bezogen auf die Personalisierung von Dienstleistungen. Facebook berief sich hier u.a. auf die Vertragsfreiheit, der Beschwerdeführer dagegen auf die Meinung, vertragsnotwendig sei nur eine sehr eingeschränkte Verarbeitung.
Die Aufsichtsbehörde meinte hier zum einen, dass nicht alles, was in einem Vertrag steht, auch vertragsnotwendig ist, dass es zugleich aber auf eine Prüfung des konkreten Vertrags geht und nicht eine abstrakte Beurteilung der Notwendigkeit:
In accordance with the EDPB Guidelines, the processing in question must be more than simply the processing of personal data which is referenced in the terms of the contract. Rather, it must be necessary in order to fulfil the clearly stated and understood objectives or “core” of the contract. The “core functions” cannot, however, be considered in isolation from the meaning of “performance”, the meaning of “necessity” as set out above, and the content of the specific contract in question. The question is therefore not what is necessary to fulfil the objectives of “a social network” in a general sense, but what is necessary to fulfil the core functions of the particular contract between Facebook and Facebook users. In order to carry out this assessment, it is therefore necessary to consider the contract itself.
Auf Basis dieses konkreten Vertrags ist sodann zu bestimmen, was der Hauptzweck (“the core function”) ist. Hier anerkennt die irische Behörde, dass personalisierte Werbung Kern des Vertrags und seiner kommerziellen Grundlage ist, was für die Nutzer klar sein musste:
Appling the principles set out above to the particular circumstances of this case, it seems to me that the core of the Facebook model, particularly in circumstances where users do not pay for the service, is an advertising model. The EDPB has, of course, set out that processing cannot be rendered lawful by Article 6(1)(b) GDPR “simply because processing is necessary for the controller’s wider business model”. The core of the service, however, as set out in the specific contract with the data subject in this case, clearly includes (and indeed appears to be premised upon) the provision of personalised advertising. […] […] this advertising therefore appears to be part of the substance and fundamental object of the contract. It is, in fact, the core element of the commercial transaction as between Facebook and Facebook users. It follows that this is a commercially essential element of the contract.
Die abweichende Haltung des EDSA
Die obigen Ausführungen hatte die irische Behörde im Verfügungsentwurf vertreten. Der EDSA sah dies – wenig überraschend – nicht gleich:
- Die Aufsichtsbehörden haben eine implizite Befugnis, vorfrageweise die Wirksamkeit eines Vertrags zu prüfen;
- die Notwendigkeit einer Verarbeitung für einen Vertrag ist ein autonom auszulegender Betriff der DSGVO, der den Schutz der DSGVO und der EU-Charta nicht unterlaufen kann;
- personalisierte Werbung ist nicht notwendig für die Vereinbarung zwischen Facebook und den Nutzern. Das sei u.a. daran zu erkenne, dass der Nutzer keinen vertraglichen Anspruch auf solche Werbung erhalte. Zudem widerspräche es dem Widerspruchsrecht gegen Profiling nach Art. 21(2) DSGVO;
- es widerspreche auch den Nutzererwartungen:
the EDPB finds it extremely difficult to argue that an average user can fully grasp it, be aware of its consequences and impact on their rights to privacy and data protection, and reasonably expect it solely based on the Facebook Terms of Service
- zu berücksichtigen sei auch die Marktmacht von Facebook:
the EDPB considers that the dominant position of Facebook also plays an important role in the assessment of Meta IE’s reliance on Article 6(1)(b) GDPR for its Facebook service and its risks to data subjects, especially considering how deficiently Meta IE informs the Facebook users of the data it strictly needs to process to deliver the service.
- würde man hier eine Berufung auf Art. 6 Abs. 1 lit. a DSGVO zulassen, wäre dies eine slippery slope:
This precedent could encourage other economic operators to use the contractual performance legal basis of Article 6(1)(b) GDPR for all their processing of personal data
Im Ergebnis könne sich Facebook für personalisierte Werbung nicht auf die Rechtsgrundlage der Vertragsnotwendigkeit berufen:
the EDPB decides that Meta IE has inappropriately relied on Article 6(1)(b) GDPR to process the Complainant’s personal data in the context of the Facebook Terms of Service and therefore lacks a legal basis to process these data for the purpose of behavioural advertising.
Damit blieb der irischen Behörde nichts anders übrig, als in ihrer Verfügung dasselbe festzustellen:
I find that Facebook was not entitled to rely on Article 6(1)(b) GDPR to process the Complainant’s personal data for the purpose of behavioural advertising in the context of the Facebook Terms of Service.
Zur Information u.a. über die anwendbare Rechtsgrundlage
Fraglich war hier u.a., wie weit die Informationspflicht in diesem Punkt geht und insbesondere, ob der Verantwortliche informieren muss, welche Daten für welche Zwecke auf welcher Rechtsgrundlage bearbeitet werden oder ob eine solche Verknüpfung nicht zwingend ist.
Die Behörde bejaht dies:
However, what Article 13 does clearly require is that the purposes and legal bases must be specified in respect of the intended processing. Purposes and legal bases cannot simply be cited in the abstract and detached from the personal data processing they concern.
[…] Firstly, the absence of any level of specificity as to what the data controller is doing with the data, and more fundamentally what data they are processing at all, would render information on the purposes of this unspecified processing almost useless to a data subject.
[…] there should be a clear link between the specified category/categories of data, the purpose(s) of the specified operation(s), and the legal basis being relied on to support the specified operation(s).
Facebook informierte die Nutzer zum massgeblichen Zeitpunkt über eine allgemeine Aussage in der Datenschutzerklärung, die in mehreren Stufen auf weitere Angaben verlinkte – im Ergebnis auf eine Weise, die für den Nutzer nicht verständlich war:
If the user wishes to learn more, they must view the Terms of Service and also review the sections of the Data Policy to which they are directed. When all of the available information has been accessed, it becomes apparent that the texts provided are variations of each other, in that they re-iterate the goals and objectives of Facebook in carrying out data processing (for example, personalisation, communication, analytics, product improvement, etc.) rather than elaborating on this or providing information concerning processing operations. This approach lacks clarity and concision, and makes it difficult for the user to access meaningful information as to the processing operations that will be grounded on Article 6(1)(b) GDPR or on other legal bases.
Im Ergebnis habe Facebook nicht ausreichend informiert. Das Problem war vor allem, dass eine Verknüpfung fehlte zwischen den Dienstleistungen und Zielen und den Verarbeitungsvorgängen:
It is not that the presence of variations of the same information in several documents is of itself non-compliant, but rather that it is not compliant when it amounts, in practice, to statements about services and objectives that are not linked to specified processing operations and which do not provide meaningful information to the data subject on the core issues identified in Article 13 GDPR.
[…] Put simply, it impossible to identify what processing operations will be carried out in order to fulfil the objectives that are repeated throughout the documents and the legal basis for such operations. In the absence of such information, the user is left to guess as to what processing is carried out on what data, on foot of the specified lawful bases, in order to fulfil these objectives. For the reasons set out above in relation to the correct interpretation of Article 13(1)(c) GDPR, this is insufficient information.
Die Wiederholung von Informationen ist für sich genommen nicht unzulässig, aber sie kann Risiken bergen:
The way in which the information has been spread out on multiple subsections and has been drafted in similarly worded (and hyperlinked) text means that a user could easily overlook any new elements available within the linked text.
Zum Grundsatz der Fairness
Der EDSA hatte in seiner verbindlichen Entscheidung u.a. und in deutlichen Worten die Meinung vertreten, Facebook habe auch den Grundsatz der Fairness (Art. 5 Abs. 1 lit. a DSGVO) verletzt:
The EDPB notes that in this particular case the breach of Meta IE’s transparency obligations is of such gravity that it clearly impacts the reasonable expectations of the Facebook users by confusing them on whether clicking the “Accept” button results in giving their consent to the processing of their personal data. The EDPB notes in this regard that one of the elements of compliance with the principle of fairness is avoiding deception i.e. providing information “in an objective and neutral way, avoiding any deceptive or manipulative language or design”
[…] The combination of factors, such as the asymmetry of the information created by Meta IE with regard to Facebook service users, combined with the “take it or leave it” situation that they are faced with due to the lack of alternative services in the market and the lack of options allowing them to adjust or opt out from a particular processing under the contract with Meta IE, systematically disadvantages Facebook service users, limits their control over the processing of their personal data and undermines the exercise of their rights under Chapter III of the GDPR.
Die irische Behörde konnte dies – da die Entscheidung des EDSA verbindlich ist – nur noch bestätigen, man hat den Eindruck, contre coeur.
Entscheidung und Bussenhöhe
Behebung der Mängel und Frist
Im Ergebnis ordnete die Behörde an, dass Facebook die Mängel behebt, und zwar mit einer Frist von drei Monaten, die Facebook als zu niedrig bezeichnet hatte. Massgebend war dabei u.a. auch, dass Facebook ein Grosskonzern ist – dies führte nicht zu mehr, sondern zu weniger Zeit:
Facebook is a large multinational organisation with significant financial, technological and human resources at its disposal. Moreover, the interim period, prior to any such rectification to the current lack of information being provided to data subjects, will involve a serious ongoing deprivation of their rights (as articulated in Section 9 below). Moreover, the Commission has provided specific analysis to Facebook in relation to the correct interpretation of the provisions in question and the requisite information that is absent from the relevant user-facing documents. This specificity should negate any need for extensive engagement with the Commission during the period of implementation, and provides clarity for Facebook as to what objective its very significant resources should be directed towards in order to comply with this order. As such, I am not satisfied that it would be impossible or indeed disproportionate to make an order in these terms, having regard to the importance of the data subject rights involved, the specificity of the order and Facebook’s resources.
Ein weiterer Punkt war auch, dass Facebook aufgrund des Verfügungsentwurfs mit einem solchen Ergebnis zu rechnen hatte.
Busse
Die Behörde hatte im Verfügungsentwurf eine Busse von total EUR 28 – 36 Mio. vorgeschlagen. Die Busse setzte die Behörde nun auf EUR 210 Mio. an.
Der EDSA hatte dabei folgende Faktoren vorgegeben, wobei die DSGVO ausdrücklich keinen numerus clausus relevanter Faktoren vorgebe:
- den Gesamtumsatz der Gesamtgruppe, sowohl als obere Grenze der Busse (Cap) als auch als Bemessungsfaktor:
the EDPB instructs the IE SA to take into consideration the total turnover of all the entities composing the single undertaking, i.e. the consolidated turnover of the group of companies headed by Meta Platforms, Inc.
- die Anzahl betroffener Personen;
- den mit den Verletzungen erzielten Gewinn (den der EDSA nicht bestimmen konnte);
- die Unternehmensgrösse allgemein, weil die Busse effektiv abschreckend sein müsse, und zwar nicht nur für Meta, sondern auch allgemein;
- die abschreckende Wirkung der Busse, die die Wahrscheinlichkeit einer Wiederholung effektiv senken müsse, und vorliegend auch mit Blick auf die Tatsache, dass die personalisierte Werbung zum Kern des Geschäftsmodells von Facebook gehört:
By bearing the cost the administrative fine, the undertaking can avoid bearing the cost of adjusting their business model to one that is compliant as well as any future losses that would follow from the adjustment.
- generell die Schwere der Verletzung, wobei hier auch relevant ist, dass die Rechtmässigkeit der Verarbeitung eine Grundanforderung ist. Zudem:
The EDPB considers that these general descriptions signal by themselves the complexity, massive scale and intrusiveness of the behavioural advertising practice that Meta IE conducts through the Facebook service. These are relevant facts to consider to assess the appropriateness of Article 6(1)(b) GDPR as a legal basis for behavioural advertising and to what extent reasonable users may understand and expect behavioural advertising when they accept the Facebook Terms of Service and perceive it as necessary for Meta IE to deliver its services.
- die Schwere des Verschuldens. Dazu führt der EDSA u.a. an, dass es immer schon Anzeichen gab, dass Art. 6 Abs. 1 lit. b DSGVO nicht einschlägig und der Verstoss also wissentlich geschah, aber nicht erstellt war, dass er auch willentlich begangen wurde, dass aber sicher von grober Fahrlässigkeit ausgehen war;
- die Schwere der Folgen für die Betroffenen:
The data processing in question – behavioural advertising – entails decisions about information that data subjects are exposed to or excluded from receiving. The EDPB recalls that non-material damage is explicitly regarded as relevant in Recital 75 and that such damage may result from situations “where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data”. Given the nature and gravity of the infringement of Article 6(1) GDPR, a risk of damage caused to data subjects is, in such circumstances, consubstantial with the finding of the infringement itself.”
- Reputationsschäden, die zu einer Reduktion der Busse führen können (wenn auch nicht im vorliegenden Fall):
On principle, the EDPB agrees that reputation costs could be taken into consideration to some extent, if credible arguments are be put forward about the grave detriment that would ensue.
- dass auch der Grundsatz der Fairness verletzt worden sei, d.h. auch den rechtlich breiteren Gegenstand der Verletzung;
- ggf. einen Vorteil im Wettbewerb aus der Verletzung:
On principle, the EDPB agrees that a competitive advantage could be an aggravating factor if the case provides objective information that this was obtained as a result of the infringement of the GDPR. In the present case, the EDPB considers that it does not have sufficiently precise information to evaluate the existence of a competitive advantage resulting from the infringemet.
Nicht zu berücksichtigen seien dagegen vorliegend (nicht grundsätzlich) mitigierende Massnahmen von Facebook – die Wiederherstellung der Compliance zählt nicht als mindernder Umstand.
Auf dieser Basis – und gestützt auf weitere Faktoren wie z.B. die Dauer der Verletzung – verhängt die Commission eine Busse von EUR 210 Mio. Die Verletzung sei schwerwiegend, auch das Verschulden wiege schwer, und die Verarbeitung betraf eine breite Datenbasis:
Having taken account of the Final Submissions, I remain of the view that the infringement of Article 6(1) GDPR falls within the upper range of the scale, in terms of seriousness, for the purpose of the assessment of the Article 83(2)(a) criterion.
[…] 6 As set out above, the EDPB determined the Article 6(1) infringement to be “seriously negligent” in character. In the circumstances, I proposed to treat this factor as an aggravating factor of significant weight.
[…] Given the nature of behavioural advertising, it appears to be beyond dispute that the processing of a broad range of personal data is required to be carried out to achieve the objectives of behavioural advertising. In the circumstances, I proposed to consider to consider this to be an aggravating factor of moderately significant weight.