{"id":1722,"date":"2023-09-07T13:55:35","date_gmt":"2023-09-07T11:55:35","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1722"},"modified":"2023-09-07T13:55:35","modified_gmt":"2023-09-07T11:55:35","slug":"meta-wird-vom-europaeischen-gerichtshof-wegen-der-verwendung-von-nutzerdaten-fuer-personalisierte-werbung-angezaehlt","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1722&lang=de","title":{"rendered":"Meta wird vom Europ\u00e4ischen Gerichtshof wegen der Verwendung von Nutzerdaten f\u00fcr personalisierte Werbung angez\u00e4hlt"},"content":{"rendered":"\n<p>Nach dem Rekordbu\u00dfgeld der irischen Datenschutzaufsichtsbeh\u00f6rde DPC im vergangenen Mai (wir berichteten) nun ein weiterer R\u00fcckschlag f\u00fcr Meta: Der Konzern unterlag vor dem Europ\u00e4ischen Gerichtshof (EuGH) aufgrund der nicht datenschutzkonformen Verarbeitung von Facebook-Nutzerdaten (Urteil vom 4.7.2023, Az. C-252\/21).<br><br><strong>Versteckte \u201eNutzereinwilligung\u201c in die Nutzung von \u201eOff-Facebook-Daten\u201c<\/strong><br><br>Das Verfahren behandelte die Verarbeitung sogenannter \u201eOff-Facebook-Daten\u201c: Dies sind Daten, die Meta au\u00dferhalb seines sozialen Netzwerks Facebook \u00fcber seine weiteren Dienste (z.B. Instagram) oder \u00fcber Dritt-Websites und Apps \u00fcber Einbindungen seiner \u201eBusiness Tools\u201c (z.B. das Facebook-Plugin f\u00fcr Unternehmenswebsites) sammelt und den jeweiligen Facebook-Konten zuordnet. Nutzer \u201eakzeptierten\u201c diese Datenverarbeitung \u00fcber die verpflichtende Zustimmung zur AGB und damit auch der Datenschutzrichtlinie des Konzerns, wenn sie sich f\u00fcr Facebook anmeldeten. Meta verwendete diese Daten insbesondere zu Werbezwecken.<br><br><strong>Meta kann sich nicht auf Vertragserf\u00fcllung und berechtigte Interessen berufen<\/strong><br><br><em>Der EuGH schob dieser Praxis nun einen Riegel vor.<\/em><\/p>\n\n\n\n<ol><li>Meta kann sich laut EuGH nicht auf Erf\u00fcllung des Facebook-Nutzungsvereinbarung (Art. 6 Abs. 1 lit. b DSGVO) als Rechtsgrundlage f\u00fcr die Verarbeitung von Nutzerdaten zu Werbezwecken berufen. Der Gerichtshof betonte insoweit, dass eine Datenverarbeitung nur dann als f\u00fcr die Vertragserf\u00fcllung erforderlich anzusehen ist, wenn sie objektiv unerl\u00e4sslich ist, der Vertrag also ohne sie nicht erf\u00fcllt werden kann. Dies zweifelte der EuGH im vorliegenden Fall an: So sei eine Personalisierung von (Werbe-)Inhalten f\u00fcr Facebook-Nutzer zwar n\u00fctzlich, jedoch nicht erforderlich, um ihnen die Dienste anbieten zu k\u00f6nnen, bestehe doch gegebenenfalls die gleichwertige Alternative, die Dienste auch ohne Personalisierung zu erbringen. Auch die nahtlose Nutzung von anderer Meta-Diensten, ein weiteres, von Meta vorgebrachtes Argument, erschien dem EuGH f\u00fcr den Vertrag nicht erforderlich, da ihre Nutzung nicht zwingend notwendig sei, um ein Facebook-Konto einzurichten.<\/li><li>Auch zweifelte der EuGH das berechtigte Interesse von Meta an der Verarbeitung von Nutzerdaten f\u00fcr personalisierte Werbung (Art. 6 Abs. 1 lit. f DSGVO) an. Zwar f\u00fchrte der EuGH aus, dass nach Erw\u00e4gungsgrund 47 der DSGVO der Zweck der Direktwerbung als ein berechtigtes Interesse angesehen werden kann. Allerdings k\u00f6nne ein Nutzer, auch wenn ein soziales Netzwerk wie Facebook kostenlos ist, vern\u00fcnftigerweise nicht damit rechnen, dass dessen Betreiber seine personenbezogenen Daten f\u00fcr personalisierte Werbung ohne seine Einwilligung verarbeitet. Es sei daher davon auszugehen, dass die Interessen des Nutzers gegen\u00fcber dem Interesse des Betreibers an der Personalisierung von Werbung zur Finanzierung seines Angebots \u00fcberwiegen.&nbsp;&nbsp;<\/li><\/ol>\n\n\n\n<p>Der EuGH \u00e4u\u00dferte sich in dem Urteil au\u00dferdem zur m\u00f6glichen Sensibilit\u00e4t der betroffenen Facebook-Nutzerdaten nach Art. 9 Abs. 1 DSGVO und der Klagebefugnis des Bundeskartellamts, welches das Verfahren gegen Meta angesto\u00dfen hatte.<br><br><strong>Was bedeutet die Entscheidung f\u00fcr Unternehmen?<\/strong><br><br>Das Urteil ist aus unserer Sicht wenig \u00fcberraschend, best\u00e4tigt es doch die seit l\u00e4ngerem herrschende und sp\u00e4testens mit der Entscheidung der belgischen Aufsichtsbeh\u00f6rde APD zum TCF 2.0. gefestigte Ansicht, dass Daten zu Werbezwecken grunds\u00e4tzlich nur mit Einwilligung des Nutzers verarbeitet werden k\u00f6nnen \u2013 von der engen Ausnahme der Direktwerbung abgesehen.<br><br>Meta hat mittlerweile gegengesteuert und angek\u00fcndigt, f\u00fcr \u201everhaltensbasierte\u201c Werbung zuk\u00fcnftig eine Einwilligung einzuholen. Ob dies DSGVO-konform gelingen wird, ist jedoch fraglich.<br><br>F\u00fcr Unternehmer bedeutet die Entscheidung, dass sie in ihren Web-Anwendungen (Website &amp; Apps) Programmierschnittstellen bereithalten m\u00fcssen, um die Einwilligung von Nutzern rechtssicher einholen und speichern zu k\u00f6nnen, wie etwa \u00fcber die bekannten Consent-Management-Plattformen (\u201eCMP\u201c).<br><br>Gern unterst\u00fctzen wir Sie bei der Einrichtung eines rechtssicheren Einwilligungsmanagements.<\/p>\n\n\n\n<p>(Dr. Lukas Mezger, UNVERZAGT Rechtsanw\u00e4lte)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Nach dem Rekordbu\u00dfgeld der irischen Datenschutzaufsichtsbeh\u00f6rde DPC im vergangenen Mai (wir berichteten) nun ein weiterer R\u00fcckschlag f\u00fcr Meta: Der Konzern unterlag vor<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1722&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1722"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1722"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1722\/revisions"}],"predecessor-version":[{"id":1723,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1722\/revisions\/1723"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1722"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1722"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1722"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}