– wie gut vertragen sich GAFA und die DSGVO?
Obwohl sich auf beinahe jeder Website jedes Unternehmens die Worte „DSGVO-konform“ spätestens im Kleingedruckten finden, ist nicht immer drin was draufsteht. Jene, die die DSGVO-Konformität auch bei Internet-Riesen immer wieder auch vor Behörden und Gerichten bezweifelt haben, ernten nun die Früchte dieses Zweifels.
Die erste außergewöhnlich hohe Strafe war im Juli 2021 gegen einen Tech-Giganten verhängt worden. Die Luxemburger Datenschutzbehörde hatte Amazon wegen personalisierter Werbung ohne Opt-Out, also eines Verstoßes gegen die DSGVO, zu einer Strafe von 746 Euro verurteilt.
Bald darauf, Dezember 2021, war der nächste Strafbetrag aufgrund eines Verstoßes gegen die DSGVO seitens eines GAFA-Konzerns fällig. WhatsApp gibt die Daten von Nutzer:innen innerhalb des Meta-Konzerns weiter ohne darüber ausreichend zu informieren. Das führte nach einem jahrelangen Rechtsstreit mit der irischen Datenschutzbehörde, da die Konzernzentrale in Irland ansässig ist, zu einer Strafe über 225 Millionen Euro. Diese Höhe war erst möglich, nachdem der europäische Datenschutzausschuss im September 2021 interveniert hatte. Der Meta-Konzern, von dem WhatsApp ein Teil ist, legte Berufung ein.
Instagramm veröffentlicht die Daten von 13- bis 17-Jährigen. Das beurteilte die irische Datenschutzbehörde als unzulässig und verhängte im September 2022 eine Geldstrafe von 405 Millionen Euro. Für die Strafhöhe hat erst der Europäische Datenschutzausschuss (EDSA) gesorgt, der darauf aufmerksam machte, dass es sich bei Kindern um besonders vulnerable Personen handelt und die ursprünglich von der irischen Behörde geplante Strafhöhe von etwa 40 Millionen Euro nach oben korrigiert werden müsse. Der Meta-Konzern bringt seine zahlreichen Verbesserungen als Minderungsgründe ein und beruft auch hier.
Bislang ohne eine Geldbuße kommt der Bescheid der österreichischen Datenschutzbehörde gegen Google Analytics aus. Wer Google Analytics auf der Webseite verwendet ohne von den Besucher:innen eine Zustimmung einzufordern, verstößt gegen die DSGVO. Das wurde von der österreichischen Datenschutzbehörde Anfang Jänner 2023 festgestellt. Es fließen bei Google Analytics nämlich personenbezogene Daten unerlaubt in die USA. Eingebracht hat die Beschwerde die NGO noyb, kurz für „my privacy is none of your business„.
2023 beginnt rekordverdächtig
Im Jänner 2023 häuften sich die Urteile gegen GAFA. Grund für die verhängten Geldbußen sind Verstöße gegen die DSGVO wie, dass es an Zustimmung der Betroffenen mangelt, die Betroffen nicht transparent informiert wurden oder dass personenbezogene Daten großzügig weitergegeben werden. Den Ursprung haben einige Urteile in dem seinerzeit von Europe-versus-facebook angestoßenen Rechtsstreit um Datenabflüsse in die USA. Bei der Auseinandersetzung wurden mittlerweile zwei Datenschutz-Verträge zwischen USA und Europa für ungültig erklärt (Safe Harbor, Privacy Shield), weshalb eben Datentransfers aus Europa in die USA in den meisten Fällen nach wie vor nicht DSGVO-konform stattfinden. Auch der derzeit in Begutachtung befindliche Angemessenheitsbeschluss beinhaltet nach wie vor einige Tücken, weshalb die meisten Transfers auf die allgemeinen Standardvertragsklauseln als Rechtsgrundlage zurückgreifen.
Apple verfolgt, was die Nutzer:innen im Apple-Store machen und stellt daraus Profile zusammen ohne die Zustimmung der Nutzer:innen einzuholen. Seit 4. Jänner 2023 ist das untersagt. Dafür hat die französische Datenschutzbehörde CNIL gesorgt.
Meta nutzt personenbezogene Daten für individualisierte Werbung – auch wenn das nicht von den Userinnen und Usern gewünscht wird. Seit 3. Jänner 2023 ist das untersagt. Dafür hat die NGO noyb gesorgt, wobei der Europäische Datenschutzausschuss erst eine Strafe in dieser Höhe ermöglicht hat. Insgesamt hat der Konzern, bestehend aus Facebook, WhatsApp und instagramm, dafür 390 Euro Strafe ausgefasst.
WhatsApp ändert die Nutzungsbedingungen, gibt dabei deren Akzeptanz mehr oder weniger zwingend vor, und wird dafür von der irischen Datenschutzbehörde im Jänner 2023 zum vergleichsweise eher geringen Betrag von 5,5 Millionen Euro verurteilt.
jahrelanges Pochen auf die Einhaltung der DSGVO
Facebook verwendet zum Login ein Pixel, das die Nutzer:innen ohne deren Einwilligung trackt und diese Daten, ebenso wie bei anderen US-amerikanischen Konzernen auch, in den USA verarbeitet. Die österreichische Datenschutzbehörde untersagt das im März 2023, nachdem noyb dazu eine Beschwerde eingereicht hat.
Abgesehen von den juristischen Problemen, die GAFA immer wieder verursachen, und abgesehen von der Monopolstellung, die sie in vielen Bereichen innehaben, und abgesehen von den mitunter wenig ansprechenden Arbeitsplätzen (beispielsweise bei Amazon oder Google), ist es zusätzlich problematisch, dass sie Unmengen an Daten sammeln und auch weiterverkaufen. Diese Daten werden dann oft eingesetzt, um Menschen zu manipulieren, Produkte zu kaufen, Likes zu verteilen, nur bestimmte Berichte zu lesen (und zu glauben). Tech-Monopole in die datenschutzrechtlichen Schranken zu weisen, ist eine Möglichkeit, sie finanziell da zu treffen, wo es wehtut. Eine andere wäre es, sie steuerlich stärker in die Pflicht zu nehmen.
Die Gewerkschaft gpa spricht sich daher dagegen aus, dass private Unternehmen weitgehend ungeregelt mit personenbezogenen Daten der Arbeitnehmer:innen machen, was sie wollen. Aber nicht nur in den einzelnen Arbeitsverhältnissen sondern auch gesamtwirtschaftlich muss sich etwas bewegen. Eine Digitalsteuer würde beispielsweise auch GAFA dazu bringen, einen finanziellen Beitrag etwas zum Wohl der gesamten Gesellschaft zu leisten.
Tech-Riesen besteuren – geht das?
Ein wenig hat sich in diese Richtung bereits bewegt. Zwar wurde 2020 eine globale Digitalsteuer eingeführt und im Jahr 2021 nahm der österreichische Staat mehr als doppelt so viel aus diesem „Steuertopf“ ein wie im Jahr zuvor, nämlich 80 Millionen Euro. 2022 waren es bereits 96 Millionen Euro, die die Digitalsteuer in die Kassen des österreichischen Fiskus eingebracht hat. Doch es sind zu dieser Steuer ausschließlich onlinewerbende Unternehmen mit Umsätzen über 25 Millionen Euro in Österreich verpflichtet. Wären nicht nur jene von der Digitalsteuer betroffen, die Werbung schalten, sondern auch jene, die (Werbe-)Plattformen anbieten, die Profile zusammenstellen, die Daten weiterverkaufen, dann könnten die Einnahmen höher sein. Die Forderung der Gewerkschaft GPA zu einer echten Digitalsteuer lautet:
dass nicht nur Umsätze aus der Online-Werbung, sondern auch jene aus dem Verkauf von Nutzerdaten und aus Plattformgebühren umfasst sein müssen.
https://www.gpa.at/kollektivvertrag/handel/versandhandel/amazon-muss-zahlen-
Angesichts des Verhaltens von GAFA, könnten Konsument:innen auf die Idee kommen, weniger Angebote dieser Tech-Konzerne zu nutzen.
Nutzer:innen-Verhalten ändern – geht das?
Wünschst du dir auch ein Handy, dass nicht jede Menge deiner Daten an Google weiterleitet? Eine Bloggerin hat das mit dem Google-freien Handy ausprobiert.
Möchtest du dich navigieren lassen ohne dabei Google Maps deine Standort-Daten zur weiteren Verwendung zu schenken? Dazu eignet sich beispielsweise OpenStreetMap, wo Geo-Informationen in einem Open-Source-Projekt weltweit zusammengestellt und verfügbar gemacht werden.
Möchtest du die Google-Suche weglassen? Dann kannst du als Suchmaschine auch auf Startpage oder DuckDuckGo setzen.
Hättest du gerne ein Angebot zum Chatten und Bildchen austauschen, das deine Nachrichten nicht speichert und in die USA transferiert? Dann kannst du den Messengerdienst Signal verwenden.
Es gibt sie also doch, die alternativen online-Angebote, die abseits der GAFA-Welt, die digitale Selbstbestimmung fördern.
Eine:r alleine wird aber tatsächlich wenig ausrichten. Es wird weiterhin eine Kombination aus datenschutz- und steuergesetzlichen Maßnahmen sowie persönlichem Verhalten ergänzt um mutige Behörden und engagierte NGOs brauchen.