Twitter und Facebook missachten die Zweckbindung der DSGVO

Überraschung: Twitter und Facebook zweckentfremden Daten, die man Ihnen anvertraut. Beide nutzen Handynummern und E-Mail-Adressen, die man zur Verwaltung seines Kontos angibt (bzw. angeben muss), auch dafür, Nutzern personalisierte Werbung zu zeigen.

In einem Vergleich hat Twitter sich mit US-Datenschutzbehörden nun auf eine Strafzahlung in Höhe von 150 Millionen US-Dollar geeinigt. Twitter hatte ursprünglich um die Telefonnummern und E-Mail-Adressen der Nutzer gebeten, damit man ihre Accounts mit Zwei-Faktor-Authentifizierung besser absichern könne, z.B. zur Anmeldung auf neuen Geräten, bei vergessenen Passwörtern oder um gesperrte Profile wieder freizuschalten. Zwischen Mai 2013 und September 2019 hätten laut Anklage so mehr als 140 Millionen Nutzer ihre Telefonnummern oder E-Mail-Adressen mit Twitter geteilt. Schon 2011 hatte sich Twitter u.a. zu Transparenz beim Datenschutz verpflichtet. Die US-Behörden stuften sie daher als Wiederholungstäter ein und verhängten eine relativ hohe Strafe aufgrund des Datenmissbrauchs. Die Strafe ist mit weiteren Auflagen verbunden, u.a. einer externen Datenschutzprüfung, einer 30-Tage-Meldepflicht für Zwischenfälle und der Ermöglichung einer sicheren Anmeldung ohne Telefonnummer.

Twitter dementierte die Anschuldigungen nicht bzw. nur halbherzig und räumte vielmehr ein, dass „einige“ der bereitgestellten Daten „versehentlich“ für Werbezwecke verwendet worden seien. Bereits 2019 erklärte Twitter vage, „möglicherweise“ Marketingdaten von Werbekunden mit Telefonnummern und E-Mail-Adressen der Nutzer „abgeglichen“ zu haben. Allerdings fiel Twitters Strafe bei weitem nicht so hoch aus wie bei Meta 2019: Damals noch unter dem Namen Facebook musste der Konzern satte fünf Milliarden Dolla `()!r zahlen und ebenfalls einer strikteren Datenschutz-Aufsicht zustimmen.

Datenschutz auf Umwegen wird derzeit vor dem EuGH verhandelt, nämlich über das Kartellrecht. Die Sicht des Bundeskartellamts ist dabei nachvollziehbar: Persönliche Daten sind die Währung der sozialen Netzwerke und haben daher eine wirtschaftliche Bedeutung auf dem Markt, vor allem wenn mit ihnen persönliche Profile gestaltet werden (können). Der Umgang mit Daten ist daher auch für einen funktionierenden Wettbewerb relevant, so das Bundeskartellamt. Deswegen hat es den Meta-Konzern kürzlich als Unternehmen mit „überragender marktübergreifender Bedeutung für den Wettbewerb“ eingestuft und damit einer strengeren Wettbewerbskontrolle unterworfen.

Nach einem Ritt durch die deutschen Instanzen soll nun der EuGH final klären, ob das Kartellamt überhaupt zuständig ist – und wenn ja, ob ein Verstoß gegen das Wettbewerbsrecht vorliegt: Denn über Facebook, Instagram, WhatsApp sowie den auf Drittseiten integrierten „Like“-Buttons usw. würden etwa 95% der User in Deutschland täglich mit Meta in Kontakt kommen. Damit hätte es eine derart marktbeherrschende Stellung, dass eine Verknüpfung der aus allen Quellen gewonnenen Daten – ohne dass die Nutzer dem widersprechen könnten – einen entsprechenden Verstoß darstellen würde.

Der BGH gab dem Kartellamt recht, das OLG Düsseldorf fand, dass die Behörde ihre Kompetenzen überschritten hat. Der Bundesgerichtshof hatte damit zum ersten Mal die wirtschaftliche Bedeutung von Daten auf dem Markt für soziale Netzwerke hervorgehoben. Das OLG will vom EuGH die grundsätzliche Zuständigkeit von Kartellbehörden geklärt wissen. (Die eigentlich federführende irische Datenschutzbehörde wurde übrigens gerade passenderweise mit einem Big Brother Award für ihr „Lebenswerk“ für ihre „umfassende Sabotage des europäischen Datenschutzrechts“ ausgezeichnet.) Der EuGH wiederum ist für die Rechtsauslegung zuständig wegen der EU-weit gültigen DSGVO. Zudem soll der EuGH klären, inwiefern man bei einem marktbeherrschenden Unternehmen von der Freiwilligkeit der Einwilligung ausgehen kann und ob Meta die Zusammenführung der Daten mit anderen „berechtigten Interessen“ rechtfertigen kann, z.B. der Bereitstellung von Analysen für Werbekunden, Marketing oder Forschung und Innovation für soziale Zwecke.

Anfang Mai wurde außerdem ein 15-seitiges internes Paper von Meta geleakt, in der der Konzern quasi eingesteht, dass sein gesamtes Geschäftsmodell ein einziger Verstoß gegen die DSGVO ist und das zeigt, wie sehr sich der Konzern vor deren weltweiter Nachahmung fürchtet. Im Konzern sieht man aufkommende Datenschutzgesetze in Kanada, Japan und Australien als einen „Tsunami“ von Privacy-Gesetzen.

Meta habe, so das Paper, den Strom an Daten, mit denen das Unternehmen operiert, nicht ansatzweise im Griff und wird ihn auch nur sehr schwer in den Griff bekommen. Das Problem wird im Bericht anhand einer Flasche Tinte erklärt, wobei die Tinte Meta‘s User-Daten darstellt: „Gieße die Tinte in einen See, dann wird sie sich überall verteilen. Wie willst du die Tinte jemals wieder in die Flasche zurückbekommen? Und wie willst du in Zukunft, mit der Flasche umgehen, so dass die Tinte immer nur an jene Stellen des Sees fließt, wo das erlaubt ist?“

Der letzte Satz zielt auf die strikte Zweckbindung gemäß DSGVO ab: Daten dürfen nur für den Zweck verwendet werden, für den sie erhoben wurden. Facebook nutzt aber nachweislich – wie Twitter (siehe oben) – die Telefonnummern von der Zwei-Faktor-Authentifizierung auch für Werbung eingesetzt und um anderen Usern Kontakte plattformübergreifend als Freunde vorzuschlagen.

Was sonst noch passiert ist:

• Die Bundesdruckerei will Schulzeugnisse mittels Blockchain-Technologie auch digital herausgeben – der Sinn erschließt sich nicht wirklich, nur Blockchain ist halt gerade angesagt.
• Teile der deutschen Ärzteschaft sind mal wieder verärgert wegen angeblich zu viel Datenschutz in Deutschland.
• Eine neue Studie zeigt, wie verbreitet die Praxis ist, Daten zu speichern, die wir in Online-Formulare oder E-Mails schreiben, aber letzten Endes doch nicht abschicken.
• In Baden-Württemberg gibt es einen Datenschutz-Skandal um Innenminister Thomas Strobl: Der hatte ein Schreiben des Anwalts eines ranghohen Polizisten an einen Journalisten weitergeleitet – die Staatsanwaltschaft ermittelt nun u.a. wegen des Verdachts verbotener Mitteilung über Gerichtsverhandlungen.
• Der Handel mit Adressen steht wohl vor dem Aus – dann wäre Schluss mit unerwünschter, personalisierter Werbung im Briefkasten. Denn die Datenschutzkonferenz geht inzwischen mehrheitlich davon aus, dass ein „berechtigtes Interesse“ der Unternehmen (siehe oben bei Meta) nicht mehr dafür herhalten kann, Adressdaten zu sammeln und zu verkaufen – stattdessen braucht es die „informierte Einwilligung“ der Menschen (Problem: die Zweckbindung, ebenfalls siehe oben bei Meta).
• Deutschlandweit wurden im Jahr 2021 insgesamt 397 Verstöße gegen die DSGVO mit einem Bußgeld belegt. Alle Bußgelder zusammen beliefen sich auf rund 2,4 Millionen Euro. Im Jahr 2020 waren es nur 301 Bußgelder – allerdings im Wert von 48 Millionen Euro!

Foto: Adobe Stock | Tada Images