„Per­so­na­li­sier­te Werbung auf Insta­gram und Face­book nur nach vor­he­ri­ger Einwilligung“

Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) hat ent­schie­den, dass per­so­na­li­sier­te Werbung auf Face­book und Insta­gram („Meta“) nur mehr auf Basis einer Ein­wil­li­gung der betrof­fe­nen Nutzer:innen erfol­gen darf. Meta hatte bislang damit argu­men­tiert, per­so­na­li­sier­te Werbung auf Basis der Nut­zungs­be­din­gun­gen anzei­gen zu dürfen. Dagegen hatte sich die Non-Profit Orga­ni­sa­ti­on NOYB – Euro­pean Center for Digital Rights bei der iri­schen Daten­schutz­be­hör­de beschwert.

Was ist das Problem?
Per­so­na­li­sier­te Werbung basiert auf der Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten der Nutzer:innen. Per­so­nen­be­zo­ge­ne Daten und weitere Infor­ma­tio­nen über die Nutzer:innen werden aus­ge­wer­tet um diesen für sie rele­van­te Werbung auf Basis ihrer Inter­es­sen indi­vi­du­ell anzei­gen zu können. Diese Ver­ar­bei­tung muss eine daten­schutz­recht­li­che Grund­la­ge haben. Meta hat bislang argu­men­tiert, dass diese auf­grund der Zustim­mung zu den Nut­zungs­be­din­gun­gen vor­liegt. Der EDSA hat dem aber eine Absage erteilt.
Per­so­na­li­siert ist Werbung bereits dann, wenn etwa beim Bewer­ben eines Beitrag oder beim Erstel­len einer Anzeige im Meta Ad Center eine Ziel­grup­pen­de­fi­ni­ti­on vor­ge­nom­men wird. Wird etwa die Ziel­grup­pe auf „Styria“ ein­schränkt, liegt bereits per­so­na­li­sier­te Werbung vor.

Wie geht es weiter?
Der Euro­päi­sche Daten­schutz­aus­schuss (EDSA) ist nicht die letzte Daten­schutz-Instanz, das letzte Wort hat immer noch der Euro­päi­sche Gerichts­hof (EuGH). Dennoch kann bei Aus­le­gungs­fra­gen der DSGVO der EDSA für die ein­heit­li­che Aus­le­gung durch ver­schie­de­ne Daten­schutz-Auf­sichts­be­hör­den in den Mit­glied­staa­ten zustän­dig sein. Seine Ent­schei­dung muss nun von der iri­schen Auf­sichts­be­hör­de umge­setzt werden. Es ist recht sicher, dass Meta dagegen vor­ge­hen wird (es sind außer­dem auch noch zwei ähn­li­che Ver­fah­ren beim EuGH offen). Mit einer end­gül­ti­gen Klärung ist daher noch nicht so schnell zu rechnen.

Emp­feh­lun­gen?
Meta ist ein welt­weit agie­ren­der Konzern, dessen Kern­ge­schäft die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten ist. Es gibt daher im Moment auch einige daten­schutz­recht­li­che Bau­stel­len, die bei den Behör­den und Gerich­ten in der EU anhän­gig sind. Ein Problem, das noch nicht gelöst ist, ist z. B. auch der Daten­trans­fer aus der EU in die USA. Jedes Unter­neh­men, das auf Face­book oder Insta­gram Accounts („Fan­pages“) anlegt und/oder per­so­na­li­sier­te Werbung schal­tet, muss sich bewusst sein, dass daten­schutz­recht­li­che Pro­ble­me bestehen und man mit dem Konzern mit­ver­ant­wort­lich ist. Es sollte daher unbe­dingt eine infor­mier­te, ganz­heit­li­che, betriebs­wirt­schaft­li­che Ent­schei­dung getrof­fen werden, ob man daran fest­hal­ten möchte oder nicht (z. B. gene­rie­re ich wirk­lich Klicks und Kontakt über die Platt­for­men oder habe ich den Auf­tritt nur, damit er da ist?).

Was kann passieren?
Wie unter „Wie geht es weiter?“ beschrie­ben, gibt es noch keine end­gül­ti­ge Ent­schei­dung. Dennoch gibt es akute Pro­blem­fel­der. Es ist einer­seits möglich, dass eine „Abmah­nung“ erfolgt, d.h. Mitbewerber:innen, Kund:innen oder andere Orga­ni­sa­tio­nen schi­cken (kos­ten­pflich­ti­ge) Schrei­ben aus. Ande­rer­seits könnten Ver­fah­ren bei der Daten­schutz­be­hör­de (Geld­stra­fen) oder den Zivil­ge­rich­ten (Scha­den­er­satz­for­de­run­gen) drohen. Es ist aus der­zei­ti­ger Sicht wahr­schein­lich, dass der Meinung des EDSA gefolgt wird.

Was gilt für Agen­tu­ren und IT-Dienst­leis­ter?
Werden Fan­pages für Kund:innen erstellt und betreut, emp­feh­len wir auf diese Pro­ble­ma­tik hin­zu­wei­sen. Eine Haftung von Berater:innen, welche die Seiten bereits erstellt haben und betreu­en, liegt unserer Meinung nach noch nicht vor. Es handelt sich um das erste Ver­fah­ren in dieser Sache, das noch nicht rechts­kräf­tig ist, d.h. Berater:innen konnten noch nichts von einer all­fäl­li­gen Daten­schutz­ver­let­zung wissen. Infor­mie­ren die Berater:innen ihre Kund:innen jetzt über die Situa­ti­on, sind die Kund:innen in der Lage, infor­mier­te Ent­schei­dun­gen zu treffen. Wichtig: Ob die Werbung/die Seite wei­ter­hin betrie­ben wird, ist die Ent­schei­dung der Kund:innen.

Weitere Infos:

• EDSA: https://edpb.europa.eu/news/news/2022/edpb-adopts-art-65-dispute-resolution-binding-decisions-regarding-facebook-instagram_de und
• NOYB: https://noyb.eu/de/noyb-erfolg-personalisierte-werbung-auf-facebook-instagram-und-whatsapp-fuer-illegal-erklaert
• Pres­se­ar­ti­kel: zB FM4 und Stan­dard

Für Rück­fra­gen steht unsere Daten­schutz­ex­per­tin, Frau Mag. Ursula Illi­bau­er, Wirt­schafts­kam­mer Öster­reich, Bun­des­spar­te Infor­ma­ti­on und Con­sul­ting, unter der Tel.-Nr.:  05 90 900‑3151 oder per E‑Mail  mailto:ic@wko.at gerne zur Verfügung.