Datenschutzbehörde CNIL: Facebook bekommt Höchststrafe wegen User-Tracking

Die Pariser

You do not have permission to view link please Anmelden or Registrieren

hat gegen Facebook wegen unrechtmäßigen Webtrackings und illegaler Profilbildung eine Strafe in Höhe von 150.000 Euro verhängt. Der Vorwurf gegen das US-Unternehmen lautet, dass dem Nutzer keine Möglichlkeit eingeräumt wird, der „massiven Kombination“ ihrer Daten zu Werbezwecken zu widersprechen.



Der Umgang Facebooks mit Userdaten ist in vielen Fällen nicht mit europäischem Recht zu vereinbaren. Den Umstand hat nun auch die Französische Datenschutzbehörde CNIL dem Unternehmen vorgeworfen. Als abzustellende Mängel wurden von der Datenschutzbehörde aufgeführt:

• dass Facebook auch Daten von unbeteiligten Bürgern sammelt und nutzt, die keine User des sozialen Netzwerks sind,
• dass Facebook seine aktiven Nutzer nicht ausreichend über die Verwendung persönlicher Angaben wie ihrer religiösen, politischen und sexuellen Orientierung informiert,
• in den Nutzereinstellungen fehlen Widerspruchsmöglichkeiten gegen die Verwendung der dort hinterlegten persönlichen Daten.

Dabei wurde nicht nur das alleinige Sammeln von Daten kritisiert, sondern in erster Linie deren umfangreiche Kombination, um immer genauere Zielgruppenangaben für Werbeschaltungen zu erhalten. Die Anwender hätten hier letztlich weder eine Übersicht oder gar Kontrolle darüber, welche Informationen über sie gespeichert werden, noch könnten sie sich auch nur im Ansatz gegen das Tracking wehren.

Ebenso ist die Tatsache, dass das Sammeln von Daten keineswegs nur auf Facebooknutzer beschränkt bleibt, die sich ja letztlich bewusst bei dem Social Network angemeldet und damit die Arbeitsweise des Unternehmens mehr oder weniger akzeptiert haben, kritikwürdig. So werden zudem völlig unbeteiligte Nutzer in die umfangreiche Datensammlung gleich mit integriert, nämlich immer dann, wenn auf externen Seiten Like-Buttons direkt eingebunden sind und Facebook somit tracken kann, wie sich auch unangemeldete User durchs Web bewegen.

CNIL hatte Facebook Anfang 2016 öffentlich aufgefordert, die in dem Land geltende Datenschutzbestimmungen umzusetzen und Details zu gesammelten Daten und ihrer Verknüpfung offenzulegen. Das Unternehmen habe aber keine zufriedenstellenden Antworten gegeben. Die Strafe resultiert hauptsächlich daraus, dass das soziale Netzwerk nach ersten Ergebnissen der Untersuchung keine Anstrengungen unternahm, die bemängelten Probleme abzustellen. Was nun für Facebook bei einem weltweiten Umsatz von mehr als 25 Milliarden Dollar und 10 Milliarden Dollar Gewinn im Jahr 2016 eher nicht als empfindliche Sanktion wahrgenommen wird, bedeutet jedoch für CNIL, ihre Möglichkeiten hier bereits bis zum Maximum ausgeschöpft zu haben. 150.000 Euro ist die höchstmögliche Strafe, die die Behörde derzeit überhaupt verhängen kann.

Das Unternehmen hat nun vier Monate Zeit, beim Staatsrat, dem obersten französischen Verwaltungsgericht, Widerspruch gegen den Beschluss einzulegen. Parallel laufen auch in verschiedenen anderen europäischen Ländern entsprechende Verfahren.

Gleichfalls aktuell wurde bekannt, dass die

You do not have permission to view link please Anmelden or Registrieren

in ihrem Verfahren gegen Facebook zu dem Schluss kam, dass der Konzern bei der Übernahme von WhatsApp 2014 falsche Angaben gemacht hat. Die damalige Behauptung, es sei nicht möglich, einen automatischen Abgleich zwischen den Benutzerkonten und den gespeicherten Nutzerdaten beider Unternehmen einzurichten, habe sich zwei Jahre später als falsch erwiesen.

Die EU-Kartellkommissarin

You do not have permission to view link please Anmelden or Registrieren

teilte mit, dass ihre Behörde für deren Arbeit bei Fusionen akkurate Angaben von Firmen benötigt: „Der heutige Beschluss ist eine deutliche Botschaft an Unternehmen, dass sie die EU-Fusionskontrollvorschriften einhalten müssen, darunter auch die Verpflichtung, sachlich richtige Angaben zu machen. Aus diesem Grunde sieht er eine angemessene und abschreckende Geldbuße gegen Facebook vor.“

Daher wurde Facebook für seine falschen Angaben bezüglich der späteren Datenweitergabe nun hart bestraft. Facebook spricht zwar von einem unbeabsichtigten Fehler, muss aber 110 Millionen Euro Strafe zahlen, berichtet

You do not have permission to view link please Anmelden or Registrieren

. Die Höhe der Zahlung soll eine Signalwirkung für künftige kartellrechtlich relevante Firmenfusionen haben. Die 2014 erteilte Genehmigung zur Fusion der beiden US-Internetunternehmen wird dennoch beibehalten. Facebook scheint die Strafe auch zu akzeptieren: „Die heutige Ankündigung bringt die Sache zum Abschluss“, lässt sich ein Sprecher zitieren.

Bildquelle:

You do not have permission to view link please Anmelden or Registrieren

, thx! (CC0 Public Domain)

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Autor: Antonia

You do not have permission to view link please Anmelden or Registrieren

 

[alter_Bekannter]

Ich dachte Strafen können sich auch in Deutschland am Einkommen orientieren, wie kann die Höchststrafe dann weniger als ein Promille(2,5 Millionen) des Jahresumsatzes betragen? Es handelt sich hier schließlich nicht um Falschparken mitten im Niemandsland.

 

[MSX]

Ui, 150.000 Euro. Also das wird sie nun mal so richtig in ihre Schranken weisen und sie werden sicher umdenken! - Wegen so eines Betrags steht doch da gar keiner morgens auf, um dann einen Widerspruch einzulegen.

Wenn das das Höchste ist, was dieser Laden aussprechen kann, dann muss man sich schon fast fragen, ob das Absicht ist.

Selbst die 110 Mio. jucken die doch nicht wirklich.

 

[bevoller]

Wesentlich schlimmer finde ich, dass (vermutlich) nach wie vor einfach die Daten aus dem Adressbuch etc. abgespeichert werden. Die Handy-Kontakte oder das Mail-Adressbuch werden nämlich vom Benutzer freigegeben (mehr oder weniger freiwillig), die jeweiligen Inhaber der Telefonnummer oder Mail-Adresse werden bezüglich der Speicherung gar nicht erst gefragt.

 

[MSX]

Das auch. Ändern dürfte sich da nun auch nichts. Das mit dem Adressbuch finde ich auch schon lange eine Sauerei. Ich als Nicht-Nutzer von Facebook kann dagegen rein gar nichts tun und es fragt mich auch keiner.
Diesbezüglich genauso dürfte es wohl auch bei Apple laufen.

 

[Shodan]

Ich dachte Strafen können sich auch in Deutschland am Einkommen orientieren, wie kann die Höchststrafe dann weniger als ein Promille(2,5 Millionen) des Jahresumsatzes betragen? Es handelt sich hier schließlich nicht um Falschparken mitten im Niemandsland.

Noch sind die Möglichkeiten der Datenschutzbehörden je nach Staat unterschiedlich.
In Deutschland soll die Geldbuße den wirtschaftlichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. 300.000 ist Regel, die können aber überschritten werden. Und bei Vorsatz mit Bereicherungsabsicht gibt es, auf Antrag, noch ein Strafverfahren mit Aussicht auf 2 Jahre Haft oder Geldstrafe obendrauf.

Im Vergleich zu den Franzosen gelten wir Deutschen sicher als drakonisch

Am 25 Mai 2018 werden mit

You do not have permission to view link please Anmelden or Registrieren

in Europa die Strafen vereinheitlicht:

Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;
b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;
c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;
d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;
e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

Wenn das das Höchste ist, was dieser Laden aussprechen kann, dann muss man sich schon fast fragen, ob das Absicht ist.

Die Franzosen haben da noch etwas was sie tun könnten:

Darüber hinaus kann das Gericht die vollständige oder auszugsweise Veröffentlichung des Urteils in einer oder mehreren Zeitungen sowie seinen Aushang unter von ihm bestimmten Bedingungen auf Kosten des Verantwortlichen anordnen.

Apropos Presse:


Die

You do not have permission to view link please Anmelden or Registrieren

The decision of the Restricted Committee follows

You do not have permission to view link please Anmelden or Registrieren

. Several statements are shared even if the scope of the procedures are different and the schedules specific

Dort heißt es dann die Belgian Privacy Commission bereitet ihre Klage noch vor, besonders stört sie das Sammeln von Daten von Nicht-Nutzern und die mangelhaften "Einverständniserklärungen". Die Niederländer sind nicht damit einverstanden, dass sexuelle Vorlieben ohne ausdrückliche Zustimmung für Werbezwecke verwendet werden, warten aber erst einmal, ob Facebook mit bemerkten Vergehen aufhört, bevor sie

You do not have permission to view link please Anmelden or Registrieren

verhängen. Hier in Deutschland wird währenddessen gefeiert, dass wir uns mit der Erlaubnis der pseudonymisierten Nutzung durchgesetzt haben. Außerdem fragt die Wirtschaftsakademie Schleswig-Holstein GmbH beim EuGH nach, ob unsere Behörden gegen die Facebook Germany GmbH vorgehen dürfen, weil sie mit der irischen Tochtergesellschaft Facebook Ireland Ltd. ihre Pflicht verletzt einen gesetzestreuen Datenverarbeiter zu nutzen und ob weitere nationale Kontrollbehörden die irische Tochter untersuchen dürfen, auch wenn in Irland schon eine Untersuchung läuft. (

You do not have permission to view link please Anmelden or Registrieren

)
In Spanien hingegen werden einfach zwei nicht näher definierte Untersuchungen durchgeführt.
Die Facebook Group hingegen möchte gerne mit der Datenschutzbehörde in Irland alleine verhandeln, weil ja der irischen Tochter nach der konzerninternen Aufgabenverteilung die ausschließliche Verantwortung für die Erhebung und Verarbeitung personenbezogener Daten in der EU obliegt.

Diese irländische Tochter hat sich entschieden in Irland letztes Jahr mal selbst festgelegte 14 Millionen Euro Steuern zu zahlen (

You do not have permission to view link please Anmelden or Registrieren

und in England auch mal mehr wie 5000 (

You do not have permission to view link please Anmelden or Registrieren

. Ja die können das durch Kapitalverschiebungen selber festlegen. Daher geht die Steuerdiskussion in der EU auch weiter.
Das Parlament untersuchte, ob diese Konzernstrukturen auch dazu dienen Geld über ein Double Irish Sandwich zwischen der Facebook Ireland Holdings Unlimited Company und der Facebook Ireland Limited Offshore auf die Cayman Islands zu bringen.

You do not have permission to view link please Anmelden or Registrieren

: Als 4 jähriges Unternehmen ist Facebook in einen "neutralen" Staat, die Caymen Islands, gewandert, wie es alle machen, weil die USA sie besteuern will. Wenn die für europäisches Recht ebenfalls optimierte Steuerstrategie stört, sollte der Staat sein Steuerrecht optimieren. Facebook wird dann flexibel reagieren.

Tatsächlich wollen auch die amerikanische Steuerbehörde etwas mehr vom Kuchen abhaben, das Verfahren verzögert sich aber, unter anderem weil die Dokumente der IRS enthalten, dass diese nicht die Finanzmittel hat sich mit Facebook in einem andauernden Rechtsstreit seit 2010 anzulegen. (

You do not have permission to view link please Anmelden or Registrieren

).

Irland hat im Auftrag Europas inzwischen sein Steuerrecht überarbeitet und Facebook organisiert sich um die "Facebook International Operations" neu.

Multinational groups sometimes detail transactions between related companies in their accounts, which in this instance would have shed light on the royalties shifted between different Facebook entities as part of its tax avoidance strategy.

Facebook Ireland, however, availed of an exemption to this disclosure requirement because all the transactions are between wholly owned subsidiaries of the wider group.

Facebook Ireland owns other group entities in Sweden, Luxembourg and Israel, according to its financial statements. During the year, ownership of the Irish unit was transferred from an unlimited holding company to a limited Irish company, Facebook International Operations.

This company also owns Facebook entities in China, Australia, Mexico, Canada, Chile, Denmark and the Netherlands, according to its accounts.

You do not have permission to view link please Anmelden or Registrieren

So nebenbei bekommt die ebenfalls irische "Facebook Payments International Limited" Lizenzen für "e-money issuance" und "payment services" (

You do not have permission to view link please Anmelden or Registrieren

), darf per API auf Bankkonten zugreifen (

You do not have permission to view link please Anmelden or Registrieren

), und übernimmt das Einsammeln der Mehrwertsteuer (

You do not have permission to view link please Anmelden or Registrieren

).

 

[Novgorod]

Der Vorwurf gegen das US-Unternehmen lautet, dass dem Nutzer keine Möglichlkeit eingeräumt wird, der „massiven Kombination“ ihrer Daten zu Werbezwecken zu widersprechen.

wirklich nicht?

 

[Jan_de_Marten]

You do not have permission to view link please Anmelden or Registrieren

wo ist hier der "Gefällt mir Button" .........

 

[Novgorod]

da:

 

[Shodan]

wirklich nicht?

FB Scripte werden auf vielen Seiten eingebunden, für Buttons, Counter, Conversion-Pixel oder als Werbeanbieter.
Ja FaceBook operiert auch auf Drittseiten als Werbeanbieter gegenüber Nicht-FB-Kunden.
Und FB trackt auch Daten von Nicht-Kunden und verwendet diese Daten für Werbezwecke:

Andrew Bosworth, Vice President of Facebook’s ads and business platform (

You do not have permission to view link please Anmelden or Registrieren

)
“Our buttons and plugins send over basic information about users’ browsing sessions. For non-Facebook members, previously we didn’t use it. Now we’ll use it to better understand how to target those people,” Mr. Bosworth said.

Im Rahmen der Untersuchung der irischen Datenschutzbehörde behauptete FB selbstverständlich das Gegenteil.


Der einzige Funktionierende Opt-Out für diese Datenverwendung ist dem eigenen Rechner den Zugriff auf die Server die diese Scripte und Bilder verteilen zu untersagen.
Dazu muss man jedoch wissen, welche existieren.

 

[Novgorod]

werbeblocker sind aber ein anderes thema und gewöhnliches werbetracking betrifft wirklich alle werbenetzwerke, allen voran google.. facebook wird ja gerade deshalb "abgewatscht" (20 cent fürs falschparken ), weil sie premiumdaten zum auswerten haben und nicht bloß irgendwelche anonymen tracking-cookies auf zufälligen webseiten.. natürlich ist daran nicht facebook schuld, sondern die nutzer, aber die können keine 150.000€ strafe zahlen...