Irland: Bus­sen i.S. Face­book (EUR 210M), Insta­gram (EUR 180M) und Whats­App (EUR 5.5M): Fal­sche Rechts­grund­la­ge und Intrans­pa­renz (per­so­na­li­sier­tes Marketing)

Die iri­sche Daten­schutz­auf­sichts­be­hör­de, die Com­mis­si­on, hat am 31. Dezem­ber 2022 sowohl ihre 188-sei­ti­ge Ent­schei­dung i.S. Face­book als auch ihre 196-sei­ti­ge Ent­schei­dung i.S. Insta­gram gefällt (sie­he die Medi­en­mit­tei­lung der Com­mis­si­on). Face­book bzw. Meta wer­den dar­in zu Bus­sen von EUR 210 Mio. (Face­book-Fall) bzw. EUR 180 Mio. (Insta­gram) ver­ur­teilt. Am 12. Janu­ar 2023 kam die 112-sei­ti­ge Ent­schei­dung i.S. Whats­App dazu, mit einer Bus­se von EUR 5.5 Mio. Die Ent­schei­dun­gen sind soweit bekannt nicht rechtskräftig.

In allen Fäl­len ging es vor allem um die Rechts­grund­la­ge für per­so­nen­be­zo­ge­ne Wer­be­ak­ti­vi­tä­ten und um die Infor­ma­ti­on über die anwend­ba­re Rechts­grund­la­ge. Inhalt­lich sind sich die Ent­schei­dun­gen bzw. die dar­in ange­stell­ten Über­le­gun­gen ähn­lich, wes­halb sich die fol­gen­den Anmer­kun­gen auf die Face­book-Ent­schei­dung beschränken.

Vor­an­ge­gan­gen waren jeweils ver­bind­li­che Ent­schei­dung des Euro­päi­schen Daten­schutz­aus­schus­ses (EDSA), auf Basis von Art. 65(1)(a) DSGVO, weil meh­re­re euro­päi­sche Behör­den gegen den Ver­fü­gungs­ent­wurf von Irland vom 6. Okto­ber 2021 Ein­spruch erho­ben hat­ten und eine Eini­gung der Behör­den ein­schliess­lich der iri­schen Behör­de nicht zustan­de­ge­kom­men war. Der Ent­scheid der iri­schen Behör­de bezieht nun – gezwun­ge­ner­ma­ssen – die Ent­schei­dung des EDSA mit ein (die sie jeweils aus­führ­lich zitiert). Der Ver­fah­rens­ver­lauf ist detal­lier­ter in der Ver­fü­gung in Sche­du­le 1 zusammengefasst.

Aus­gangs­punkt des Ver­fah­rens in Bezug auf den Face­book-Ent­scheid war eine Beschwer­de gegen Face­book durch eine von noyb ver­tre­te­ne Per­son, die am 25. Mai 2018 in Öster­reich ein­ge­gan­gen war. noyb hat die Ver­fü­gung der Com­mis­si­on kri­tisch kom­men­tiert und war im Ver­fah­ren über­haupt sehr aggres­siv aufgetreten:

Mini­mal fine for actu­al vio­la­ti­on of user rights? A rather shocking ele­ment con­cerns the ext­ent of the fines. While the EDPB deman­ded a “signi­fi­cant­ly hig­her” fine, the DPC deci­ded on the final num­bers. While the DPC issued a fine of over­all € 150 mil­li­on on Face­book over trans­pa­ren­cy issues, the DPC only fined Meta € 60 mil­li­on for their lack of any legal basis for the pro­ce­s­sing of mil­li­ons of Euro­pean user’s data for about five years.

Max Schrems: “Appar­ent­ly, the DPC is more con­cer­ned with scre­wing users in a trans­pa­rent man­ner, than not scre­wing them at all.”

Auch Face­book hat die Ver­fü­gung kom­men­tiert, aller­dings zurückhaltend.

In der Sache ging es vor allem um zwei Punk­te, die Rechts­grund­la­ge für die Ver­ar­bei­tungs­tä­tig­kei­ten von Face­book bzw. Meta, und ob Face­book über die anwend­ba­re Rechts­grund­la­ge kor­rekt infor­miert hatte.

Zur Rechts­grund­la­ge

Mit Wir­kung auf den 25. Mai 2018 – das Inkraft­tre­ten der DSGVO in der EU – hat­te Face­book die Nut­zungs­be­stim­mun­gen für ihre euro­päi­schen Nut­zer ange­passt. Die Nut­zungs­be­stim­mun­gen muss­ten für die wei­te­re Ver­wen­dung von Face­book akzep­tiert wer­den, und für bestimm­te Ver­ar­bei­tun­gen wur­den zudem Ein­wil­li­gun­gen ein­ge­holt. Strit­tig war in die­sem Zusam­men­hang vor allem, ob die Rechts­grund­la­ge der Ver­trags­not­wen­dig­keit (Art. 6 Abs. 1 lit. b DSGVO) anwend­bar war oder eine Ein­wil­li­gung erfor­der­lich gewe­sen wäre.

Die Hal­tung der Behörde

Die iri­sche Behör­de geht davon aus, dass sich Face­book nicht auf eine Ein­wil­li­gung beru­fen hat­te und das auch nicht muss­te, weil die Ein­wil­li­gung kei­ne Rechts­grund­la­ge höhe­rer Ord­nung ist, son­dern der Ver­ant­wort­li­che frei wäh­len kann, auf wel­che Grund­la­ge er sei­ne Ver­ar­bei­tung stüt­zen will:

[…] it is important to empha­sise that GDPR does not set out any form of hier­ar­chy of lawful bases that can be used for pro­ce­s­sing per­so­nal data

Man kann auch nicht behaup­ten, dass die Zustim­mung zu einem Ver­trag stets eine Ein­wil­li­gung (in die damit ver­bun­de­nen Ver­ar­bei­tun­gen) sei, und dass die Ver­trags­be­din­gun­gen auf eine Daten­schutz­er­klä­rung ver­wie­sen, führ­te auch nicht dazu, dass die­se Ver­trags­be­stand­teil wurde:

In my view, the accep­tance in que­sti­on is not an act of con­sent but, on its terms, con­sti­tu­ted accep­tance of, or agree­ment to, a con­tract i.e. the Terms of Service.

Zu prü­fen war vor­lie­gend also, ob sich Face­book auf Art. 6 Abs. 1 lit. b DSGVO beru­fen konn­te (Ver­trags­not­wen­dig­keit). Zunächst hielt sich die iri­sche Behör­de nicht für befugt, die Wirk­sam­keit des Ver­trags zu beur­tei­len:

Whe­re the GDPR refers to a con­tract, the Com­mis­si­on can­not deter­mi­ne the inter­pre­ta­ti­on and vali­di­ty of such a con­tract for the pur­po­ses of the law more gene­ral­ly. The Com­mis­si­on is no more empowered to do this by law than it would be to decla­re pro­ce­s­sing based on com­pli­ance with a legal obli­ga­ti­on under Artic­le 6(1)(c) GDPR to be unlawful sim­ply becau­se a com­plainant would argue that the legal obli­ga­ti­on being reli­ed on was uncon­sti­tu­tio­nal in their country.

Frag­lich war in der Sache vor allem, ob Gegen­stand des Ver­trags auch per­so­na­li­sier­te Dienst­lei­stun­gen waren und die damit ver­bun­de­nen Ver­ar­bei­tun­gen ent­spre­chend legi­ti­miert. Der EDSA hat sich zu Art. 6 Abs. 1 lit. b DSGVO in ent­spre­chen­den Leit­li­ni­en geäu­ssert (“Gui­de­lines 2/2019 on the pro­ce­s­sing of per­so­nal data under Artic­le 6(1)(b) GDPR in the con­text of the pro­vi­si­on of online ser­vices to data sub­jects”).

Strit­tig war hier – und auf Basis die­ser restrik­ti­ven Leit­li­ni­en –, was als Ver­trags­lei­stung über­haupt in Fra­ge kommt, hier bezo­gen auf die Per­so­na­li­sie­rung von Dienst­lei­stun­gen. Face­book berief sich hier u.a. auf die Ver­trags­frei­heit, der Beschwer­de­füh­rer dage­gen auf die Mei­nung, ver­trags­not­wen­dig sei nur eine sehr ein­ge­schränk­te Verarbeitung.

Die Auf­sichts­be­hör­de mein­te hier zum einen, dass nicht alles, was in einem Ver­trag steht, auch ver­trags­not­wen­dig ist, dass es zugleich aber auf eine Prü­fung des kon­kre­ten Ver­trags geht und nicht eine abstrak­te Beur­tei­lung der Notwendigkeit:

In accordance with the EDPB Gui­de­lines, the pro­ce­s­sing in que­sti­on must be more than sim­ply the pro­ce­s­sing of per­so­nal data which is refe­ren­ced in the terms of the con­tract. Rather, it must be neces­sa­ry in order to ful­fil the cle­ar­ly sta­ted and under­s­tood objec­ti­ves or “core” of the con­tract. The “core func­tions” can­not, howe­ver, be con­side­red in iso­la­ti­on from the mea­ning of “per­for­mance”, the mea­ning of “neces­si­ty” as set out abo­ve, and the con­tent of the spe­ci­fic con­tract in que­sti­on. The que­sti­on is the­r­e­fo­re not what is neces­sa­ry to ful­fil the objec­ti­ves of “a social net­work” in a gene­ral sen­se, but what is neces­sa­ry to ful­fil the core func­tions of the par­ti­cu­lar con­tract bet­ween Face­book and Face­book users. In order to car­ry out this assess­ment, it is the­r­e­fo­re neces­sa­ry to con­sider the con­tract itself.

Auf Basis die­ses kon­kre­ten Ver­trags ist sodann zu bestim­men, was der Haupt­zweck (“the core func­tion”) ist. Hier aner­kennt die iri­sche Behör­de, dass per­so­na­li­sier­te Wer­bung Kern des Ver­trags und sei­ner kom­mer­zi­el­len Grund­la­ge ist, was für die Nut­zer klar sein musste:

Appling the prin­ci­ples set out abo­ve to the par­ti­cu­lar cir­cum­stances of this case, it seems to me that the core of the Face­book model, par­ti­cu­lar­ly in cir­cum­stances whe­re users do not pay for the ser­vice, is an adver­ti­sing model. The EDPB has, of cour­se, set out that pro­ce­s­sing can­not be ren­de­red lawful by Artic­le 6(1)(b) GDPR “sim­ply becau­se pro­ce­s­sing is neces­sa­ry for the controller’s wider busi­ness model”. The core of the ser­vice, howe­ver, as set out in the spe­ci­fic con­tract with the data sub­ject in this case, cle­ar­ly inclu­des (and inde­ed appears to be pre­mi­sed upon) the pro­vi­si­on of per­so­na­li­sed adver­ti­sing. […] […] this adver­ti­sing the­r­e­fo­re appears to be part of the sub­stance and fun­da­men­tal object of the con­tract. It is, in fact, the core ele­ment of the com­mer­cial tran­sac­tion as bet­ween Face­book and Face­book users. It fol­lows that this is a com­mer­ci­al­ly essen­ti­al ele­ment of the contract.

Die abwei­chen­de Hal­tung des EDSA

Die obi­gen Aus­füh­run­gen hat­te die iri­sche Behör­de im Ver­fü­gungs­ent­wurf ver­tre­ten. Der EDSA sah dies – wenig über­ra­schend – nicht gleich:

  • Die Auf­sichts­be­hör­den haben eine impli­zi­te Befug­nis, vor­fra­ge­wei­se die Wirk­sam­keit eines Ver­trags zu prü­fen;
  • die Not­wen­dig­keit einer Ver­ar­bei­tung für einen Ver­trag ist ein auto­nom aus­zu­le­gen­der Betriff der DSGVO, der den Schutz der DSGVO und der EU-Char­ta nicht unter­lau­fen kann;
  • per­so­na­li­sier­te Wer­bung ist nicht not­wen­dig für die Ver­ein­ba­rung zwi­schen Face­book und den Nut­zern. Das sei u.a. dar­an zu erken­ne, dass der Nut­zer kei­nen ver­trag­li­chen Anspruch auf sol­che Wer­bung erhal­te. Zudem wider­sprä­che es dem Wider­spruchs­recht gegen Pro­fil­ing nach Art. 21(2) DSGVO;
  • es wider­spre­che auch den Nut­zer­er­war­tun­gen:

    the EDPB finds it extre­me­ly dif­fi­cult to argue that an avera­ge user can ful­ly grasp it, be awa­re of its con­se­quen­ces and impact on their rights to pri­va­cy and data pro­tec­tion, and rea­son­ab­ly expect it sole­ly based on the Face­book Terms of Service

  • zu berück­sich­ti­gen sei auch die Markt­macht von Facebook:

    the EDPB con­siders that the domi­nant posi­ti­on of Face­book also plays an important role in the assess­ment of Meta IE’s reli­ance on Artic­le 6(1)(b) GDPR for its Face­book ser­vice and its risks to data sub­jects, espe­ci­al­ly con­side­ring how defi­ci­ent­ly Meta IE informs the Face­book users of the data it strict­ly needs to pro­cess to deli­ver the service.

  • wür­de man hier eine Beru­fung auf Art. 6 Abs. 1 lit. a DSGVO zulas­sen, wäre dies eine slip­pery slo­pe:

    This pre­ce­dent could encou­ra­ge other eco­no­mic ope­ra­tors to use the con­trac­tu­al per­for­mance legal basis of Artic­le 6(1)(b) GDPR for all their pro­ce­s­sing of per­so­nal data

    Im Ergeb­nis kön­ne sich Face­book für per­so­na­li­sier­te Wer­bung nicht auf die Rechts­grund­la­ge der Ver­trags­not­wen­dig­keit berufen:

the EDPB deci­des that Meta IE has inap­pro­pria­te­ly reli­ed on Artic­le 6(1)(b) GDPR to pro­cess the Complainant’s per­so­nal data in the con­text of the Face­book Terms of Ser­vice and the­r­e­fo­re lacks a legal basis to pro­cess the­se data for the pur­po­se of beha­viou­ral advertising.

Damit blieb der iri­schen Behör­de nichts anders übrig, als in ihrer Ver­fü­gung das­sel­be festzustellen:

I find that Face­book was not entit­led to rely on Artic­le 6(1)(b) GDPR to pro­cess the Complainant’s per­so­nal data for the pur­po­se of beha­viou­ral adver­ti­sing in the con­text of the Face­book Terms of Service.

Zur Infor­ma­ti­on u.a. über die anwend­ba­re Rechtsgrundlage

Frag­lich war hier u.a., wie weit die Infor­ma­ti­ons­pflicht in die­sem Punkt geht und ins­be­son­de­re, ob der Ver­ant­wort­li­che infor­mie­ren muss, wel­che Daten für wel­che Zwecke auf wel­cher Rechts­grund­la­ge bear­bei­tet wer­den oder ob eine sol­che Ver­knüp­fung nicht zwin­gend ist.

Die Behör­de bejaht dies:

Howe­ver, what Artic­le 13 does cle­ar­ly requi­re is that the pur­po­ses and legal bases must be spe­ci­fi­ed in respect of the inten­ded pro­ce­s­sing. Pur­po­ses and legal bases can­not sim­ply be cited in the abstract and detached from the per­so­nal data pro­ce­s­sing they concern.
[…] First­ly, the absence of any level of spe­ci­fi­ci­ty as to what the data con­trol­ler is doing with the data, and more fun­da­men­tal­ly what data they are pro­ce­s­sing at all, would ren­der infor­ma­ti­on on the pur­po­ses of this unspe­ci­fi­ed pro­ce­s­sing almost use­l­ess to a data subject.
[…] the­re should be a clear link bet­ween the spe­ci­fi­ed category/categories of data, the purpose(s) of the spe­ci­fi­ed operation(s), and the legal basis being reli­ed on to sup­port the spe­ci­fi­ed operation(s).

Face­book infor­mier­te die Nut­zer zum mass­geb­li­chen Zeit­punkt über eine all­ge­mei­ne Aus­sa­ge in der Daten­schutz­er­klä­rung, die in meh­re­ren Stu­fen auf wei­te­re Anga­ben ver­link­te – im Ergeb­nis auf eine Wei­se, die für den Nut­zer nicht ver­ständ­lich war:

If the user wis­hes to learn more, they must view the Terms of Ser­vice and also review the sec­tions of the Data Poli­cy to which they are direc­ted. When all of the available infor­ma­ti­on has been acce­s­sed, it beco­mes appa­rent that the texts pro­vi­ded are varia­ti­ons of each other, in that they re-ite­ra­te the goals and objec­ti­ves of Face­book in car­ry­ing out data pro­ce­s­sing (for exam­p­le, per­so­na­li­sa­ti­on, com­mu­ni­ca­ti­on, ana­ly­tics, pro­duct impro­ve­ment, etc.) rather than ela­bo­ra­ting on this or pro­vi­ding infor­ma­ti­on con­cer­ning pro­ce­s­sing ope­ra­ti­ons. This approach lacks cla­ri­ty and con­cis­i­on, and makes it dif­fi­cult for the user to access meaningful infor­ma­ti­on as to the pro­ce­s­sing ope­ra­ti­ons that will be groun­ded on Artic­le 6(1)(b) GDPR or on other legal bases.

Im Ergeb­nis habe Face­book nicht aus­rei­chend infor­miert. Das Pro­blem war vor allem, dass eine Ver­knüp­fung fehl­te zwi­schen den Dienst­lei­stun­gen und Zie­len und den Verarbeitungsvorgängen:

It is not that the pre­sence of varia­ti­ons of the same infor­ma­ti­on in seve­ral docu­ments is of its­elf non-com­pli­ant, but rather that it is not com­pli­ant when it amounts, in prac­ti­ce, to state­ments about ser­vices and objec­ti­ves that are not lin­ked to spe­ci­fi­ed pro­ce­s­sing ope­ra­ti­ons and which do not pro­vi­de meaningful infor­ma­ti­on to the data sub­ject on the core issues iden­ti­fi­ed in Artic­le 13 GDPR.
[…] Put sim­ply, it impos­si­ble to iden­ti­fy what pro­ce­s­sing ope­ra­ti­ons will be car­ri­ed out in order to ful­fil the objec­ti­ves that are repea­ted throug­hout the docu­ments and the legal basis for such ope­ra­ti­ons. In the absence of such infor­ma­ti­on, the user is left to guess as to what pro­ce­s­sing is car­ri­ed out on what data, on foot of the spe­ci­fi­ed lawful bases, in order to ful­fil the­se objec­ti­ves. For the rea­sons set out abo­ve in rela­ti­on to the cor­rect inter­pre­ta­ti­on of Artic­le 13(1)(c) GDPR, this is insuf­fi­ci­ent information.

Die Wie­der­ho­lung von Infor­ma­tio­nen ist für sich genom­men nicht unzu­läs­sig, aber sie kann Risi­ken bergen:

The way in which the infor­ma­ti­on has been spread out on mul­ti­ple sub­sec­tions and has been draf­ted in simi­lar­ly worded (and hyper­lin­ked) text means that a user could easi­ly over­look any new ele­ments available within the lin­ked text.

Zum Grund­satz der Fairness

Der EDSA hat­te in sei­ner ver­bind­li­chen Ent­schei­dung u.a. und in deut­li­chen Wor­ten die Mei­nung ver­tre­ten, Face­book habe auch den Grund­satz der Fair­ness (Art. 5 Abs. 1 lit. a DSGVO) verletzt:

The EDPB notes that in this par­ti­cu­lar case the breach of Meta IE’s trans­pa­ren­cy obli­ga­ti­ons is of such gra­vi­ty that it cle­ar­ly impacts the rea­sonable expec­ta­ti­ons of the Face­book users by con­fu­sing them on whe­ther clicking the “Accept” but­ton results in giving their con­sent to the pro­ce­s­sing of their per­so­nal data. The EDPB notes in this regard that one of the ele­ments of com­pli­ance with the prin­ci­ple of fair­ness is avo­i­ding decep­ti­on i.e. pro­vi­ding infor­ma­ti­on “in an objec­ti­ve and neu­tral way, avo­i­ding any decep­ti­ve or mani­pu­la­ti­ve lan­guage or design”
[…] The com­bi­na­ti­on of fac­tors, such as the asym­me­try of the infor­ma­ti­on crea­ted by Meta IE with regard to Face­book ser­vice users, com­bi­ned with the “take it or lea­ve it” situa­ti­on that they are faced with due to the lack of alter­na­ti­ve ser­vices in the mar­ket and the lack of opti­ons allo­wing them to adjust or opt out from a par­ti­cu­lar pro­ce­s­sing under the con­tract with Meta IE, syste­ma­ti­cal­ly dis­ad­van­ta­ges Face­book ser­vice users, limits their con­trol over the pro­ce­s­sing of their per­so­nal data and under­mi­nes the exer­cise of their rights under Chap­ter III of the GDPR.

Die iri­sche Behör­de konn­te dies – da die Ent­schei­dung des EDSA ver­bind­lich ist – nur noch bestä­ti­gen, man hat den Ein­druck, cont­re coeur.

Ent­schei­dung und Bussenhöhe

Behe­bung der Män­gel und Frist

Im Ergeb­nis ord­ne­te die Behör­de an, dass Face­book die Män­gel behebt, und zwar mit einer Frist von drei Mona­ten, die Face­book als zu nied­rig bezeich­net hat­te. Mass­ge­bend war dabei u.a. auch, dass Face­book ein Gross­kon­zern ist – dies führ­te nicht zu mehr, son­dern zu weni­ger Zeit:

Face­book is a lar­ge mul­ti­na­tio­nal orga­ni­sa­ti­on with signi­fi­cant finan­cial, tech­no­lo­gi­cal and human resour­ces at its dis­po­sal. Moreo­ver, the inte­rim peri­od, pri­or to any such rec­ti­fi­ca­ti­on to the cur­rent lack of infor­ma­ti­on being pro­vi­ded to data sub­jects, will invol­ve a serious ongo­ing depri­va­ti­on of their rights (as arti­cu­la­ted in Sec­tion 9 below). Moreo­ver, the Com­mis­si­on has pro­vi­ded spe­ci­fic ana­ly­sis to Face­book in rela­ti­on to the cor­rect inter­pre­ta­ti­on of the pro­vi­si­ons in que­sti­on and the requi­si­te infor­ma­ti­on that is absent from the rele­vant user-facing docu­ments. This spe­ci­fi­ci­ty should nega­te any need for exten­si­ve enga­ge­ment with the Com­mis­si­on during the peri­od of imple­men­ta­ti­on, and pro­vi­des cla­ri­ty for Face­book as to what objec­ti­ve its very signi­fi­cant resour­ces should be direc­ted towards in order to com­ply with this order. As such, I am not satis­fied that it would be impos­si­ble or inde­ed dis­pro­por­tio­na­te to make an order in the­se terms, having regard to the importance of the data sub­ject rights invol­ved, the spe­ci­fi­ci­ty of the order and Facebook’s resources.

Ein wei­te­rer Punkt war auch, dass Face­book auf­grund des Ver­fü­gungs­ent­wurfs mit einem sol­chen Ergeb­nis zu rech­nen hatte.

Bus­se

Die Behör­de hat­te im Ver­fü­gungs­ent­wurf eine Bus­se von total EUR 28 – 36 Mio. vor­ge­schla­gen. Die Bus­se setz­te die Behör­de nun auf EUR 210 Mio. an.

Der EDSA hat­te dabei fol­gen­de Fak­to­ren vor­ge­ge­ben, wobei die DSGVO aus­drück­lich kei­nen nume­rus clau­sus rele­van­ter Fak­to­ren vorgebe:

  • den Gesamt­um­satz der Gesamt­grup­pe, sowohl als obe­re Gren­ze der Bus­se (Cap) als auch als Bemessungsfaktor:

    the EDPB ins­tructs the IE SA to take into con­side­ra­ti­on the total tur­no­ver of all the enti­ties com­po­sing the sin­gle under­ta­king, i.e. the con­so­li­da­ted tur­no­ver of the group of com­pa­nies hea­ded by Meta Plat­forms, Inc.

  • die Anzahl betrof­fe­ner Per­so­nen;
  • den mit den Ver­let­zun­gen erziel­ten Gewinn (den der EDSA nicht bestim­men konnte);
  • die Unter­neh­mens­grö­sse all­ge­mein, weil die Bus­se effek­tiv abschreckend sein müs­se, und zwar nicht nur für Meta, son­dern auch allgemein;
  • die abschrecken­de Wir­kung der Bus­se, die die Wahr­schein­lich­keit einer Wie­der­ho­lung effek­tiv sen­ken müs­se, und vor­lie­gend auch mit Blick auf die Tat­sa­che, dass die per­so­na­li­sier­te Wer­bung zum Kern des Geschäfts­mo­dells von Face­book gehört:

    By bea­ring the cost the admi­ni­stra­ti­ve fine, the under­ta­king can avo­id bea­ring the cost of adju­sting their busi­ness model to one that is com­pli­ant as well as any future los­ses that would fol­low from the adjustment.

  • gene­rell die Schwe­re der Ver­let­zung, wobei hier auch rele­vant ist, dass die Recht­mä­ssig­keit der Ver­ar­bei­tung eine Grund­an­for­de­rung ist. Zudem:

    The EDPB con­siders that the­se gene­ral descrip­ti­ons signal by them­sel­ves the com­ple­xi­ty, mas­si­ve sca­le and intru­si­ve­ness of the beha­viou­ral adver­ti­sing prac­ti­ce that Meta IE con­ducts through the Face­book ser­vice. The­se are rele­vant facts to con­sider to assess the appro­pria­ten­ess of Artic­le 6(1)(b) GDPR as a legal basis for beha­viou­ral adver­ti­sing and to what ext­ent rea­sonable users may under­stand and expect beha­viou­ral adver­ti­sing when they accept the Face­book Terms of Ser­vice and per­cei­ve it as neces­sa­ry for Meta IE to deli­ver its services.

  • die Schwe­re des Ver­schul­dens. Dazu führt der EDSA u.a. an, dass es immer schon Anzei­chen gab, dass Art. 6 Abs. 1 lit. b DSGVO nicht ein­schlä­gig und der Ver­stoss also wis­sent­lich geschah, aber nicht erstellt war, dass er auch wil­lent­lich began­gen wur­de, dass aber sicher von gro­ber Fahr­läs­sig­keit aus­ge­hen war;
  • die Schwe­re der Fol­gen für die Betroffenen:

    The data pro­ce­s­sing in que­sti­on – beha­viou­ral adver­ti­sing – ent­ails decis­i­ons about infor­ma­ti­on that data sub­jects are expo­sed to or exclu­ded from recei­ving. The EDPB recalls that non-mate­ri­al dama­ge is expli­ci­t­ly regard­ed as rele­vant in Reci­tal 75 and that such dama­ge may result from situa­tions “whe­re data sub­jects might be depri­ved of their rights and free­doms or pre­ven­ted from exer­cis­ing con­trol over their per­so­nal data”. Given the natu­re and gra­vi­ty of the inf­rin­ge­ment of Artic­le 6(1) GDPR, a risk of dama­ge cau­sed to data sub­jects is, in such cir­cum­stances, con­sub­stan­ti­al with the fin­ding of the inf­rin­ge­ment itself.”

  • Repu­ta­ti­ons­schä­den, die zu einer Reduk­ti­on der Bus­se füh­ren kön­nen (wenn auch nicht im vor­lie­gen­den Fall):

    On prin­ci­ple, the EDPB agrees that repu­ta­ti­on costs could be taken into con­side­ra­ti­on to some ext­ent, if cre­di­ble argu­ments are be put for­ward about the gra­ve detri­ment that would ensue.

  • dass auch der Grund­satz der Fair­ness ver­letzt wor­den sei, d.h. auch den recht­lich brei­te­ren Gegen­stand der Ver­let­zung;
  • ggf. einen Vor­teil im Wett­be­werb aus der Ver­let­zung:

    On prin­ci­ple, the EDPB agrees that a com­pe­ti­ti­ve advan­ta­ge could be an aggravating fac­tor if the case pro­vi­des objec­ti­ve infor­ma­ti­on that this was obtai­ned as a result of the inf­rin­ge­ment of the GDPR. In the pre­sent case, the EDPB con­siders that it does not have suf­fi­ci­ent­ly pre­cise infor­ma­ti­on to eva­lua­te the exi­stence of a com­pe­ti­ti­ve advan­ta­ge resul­ting from the infringemet.

Nicht zu berück­sich­ti­gen sei­en dage­gen vor­lie­gend (nicht grund­sätz­lich) miti­gie­ren­de Mass­nah­men von Face­book – die Wie­der­her­stel­lung der Com­pli­ance zählt nicht als min­dern­der Umstand.

Auf die­ser Basis – und gestützt auf wei­te­re Fak­to­ren wie z.B. die Dau­er der Ver­let­zung – ver­hängt die Com­mis­si­on eine Bus­se von EUR 210 Mio. Die Ver­let­zung sei schwer­wie­gend, auch das Ver­schul­den wie­ge schwer, und die Ver­ar­bei­tung betraf eine brei­te Datenbasis:

Having taken account of the Final Sub­mis­si­ons, I remain of the view that the inf­rin­ge­ment of Artic­le 6(1) GDPR falls within the upper ran­ge of the sca­le, in terms of serious­ness, for the pur­po­se of the assess­ment of the Artic­le 83(2)(a) criterion.
[…] 6 As set out abo­ve, the EDPB deter­mi­ned the Artic­le 6(1) inf­rin­ge­ment to be “serious­ly negli­gent” in cha­rac­ter. In the cir­cum­stances, I pro­po­sed to tre­at this fac­tor as an aggravating fac­tor of signi­fi­cant weight.
[…] Given the natu­re of beha­viou­ral adver­ti­sing, it appears to be bey­ond dis­pu­te that the pro­ce­s­sing of a broad ran­ge of per­so­nal data is requi­red to be car­ri­ed out to achie­ve the objec­ti­ves of beha­viou­ral adver­ti­sing. In the cir­cum­stances, I pro­po­sed to con­sider to con­sider this to be an aggravating fac­tor of modera­te­ly signi­fi­cant weight.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter