Meta muss wegen Datenschutzverstößen 390 Millionen Euro Strafe zahlen

Der Facebook-Mutterkonzern Meta soll in Irland für Datenschutzverstöße 390 Millionen Euro Strafe zahlen. Der Grund: Meta habe NutzerInnen quasi gezwungen, personalisierter Werbung zuzustimmen, teilte die irische Datenschutzbehörde DPC   in der vergangenen Woche mit. 210 Millionen Euro der Strafe sollen für die Verletzung von EU-Richtlinien bei Facebook fällig werden, die übrigen 180 Millionen Euro für Verstöße bei Instagram.

Die Entscheidung geht auf drei Beschwerden der Datenschutzorganisation Noyb   aus dem Mai 2018 zurück, als die EU-Datenschutzrichtlinie DSGVO in Kraft trat. Davor war Meta auf die Zustimmung von NutzerInnen angewiesen, um deren persönliche Daten für personalisierte oder verhaltensbezogene Werbung nutzen zu können. Nach Inkrafttreten der Richtlinie versuchte Meta, die in der DSGVO geforderte Einwilligung zu umgehen, indem es eine Klausel in die Allgemeinen Geschäftsbedingungen (AGB) eingefügt hat, die NutzerInnen praktisch zwang, ihre Daten freizugeben.

Die DPC hatte Meta zunächst Recht gegeben, änderte ihre Haltung aber letztlich nach mehrfachen Einsprüchen von EU-Datenschutzbehörden. Die Folge: Um personalisierte Werbung anbieten zu können, muss Meta die "Opt-in"Zustimmung der NutzerInnen einholen und muss ihnen eine "Ja/Nein"-Option anbieten. Andere Formen der Werbung, wie kontextbezogene Werbung, werden durch die Entscheidung nicht untersagt. Meta verwies auf frühere Absprachen mit der DPC und kündigte an, in Berufung zu gehen.

Datenschützer Max Schrems von Noyb kommentiert: "Das ist ein schwerer Schlag für die Gewinne von Meta in der EU. Jeder muss jetzt diese Apps auch ohne personalisierter Werbung nutzen können. Die Entscheidung sorgt auch für gleiche Wettbewerbsbedingungen mit anderen Werbetreibenden, die ebenfalls die Zustimmung der Nutzer einholen müssen."

Immer wieder Verstöße gegen Datenschutzregeln

Laut Noyb wurde Meta 2022 schon mit mehr als 900 Millionen Euro an DSGVO-Bußgeldern belegt. Erst im November hatte die DPC eine Strafe in Höhe von 265 Millionen Euro verhängt. Namen und teilweise auch andere Daten wie Telefonnummern und E-Mail-Adressen von bis zu 533 Millionen NutzerInnen aus mehr als 100 Ländern waren im April 2021 in einem Hacker-Forum angeboten worden. Im September 2022 hatte Meta zudem eine Rekordstrafe von 405 Millionen Euro erhalten - wegen schwerer Verstöße gegen Datenschutzregeln für Kinder auf Instagram.