Datenschutzbeschwerde richtet sich gegen Musks X wegen EU-Werbung, die auf sensible Daten abzielt

By | December 14, 2023

X von Elon Musk, die Social-Media-Plattform, die früher als Twitter bekannt war, sieht sich in Europa mit einer neuen Datenschutzbeschwerde im Zusammenhang mit seinen Ad-Targeting-Tools konfrontiert. Die Beschwerde, die von noyb, einer gemeinnützigen Organisation für Datenschutzrechte, bei der niederländischen Datenschutzbehörde eingereicht wird, wirft X vor, es versäumt zu haben, seine eigenen Rechte durchzusetzen Werberichtlinien.

Allerdings nutzen sie genau diese Art sensibler personenbezogener Daten, um Nutzer gezielt mit Werbung anzusprechen.

Blockbeamte nutzten die Tools von

Wie wir letzten Monat berichteten, hat noyb bereits eine Beschwerde gegen die Kommission wegen offensichtlicher Verletzung von EU-weiten Vorschriften eingereicht, an deren Ausarbeitung sie mitgewirkt hat. Es folgt nun auch eine Klage gegen X. „Nachdem wir in dieser Angelegenheit unsere erste Beschwerde eingereicht haben, hat die Europäische Kommission nun die Werbeunterbrechung auf X bestätigt. Um dem generell ein Ende zu setzen, brauchen wir jedoch eine Strafverfolgung gegen sagte Felix. Mikolasch, Datenschutzanwalt bei noyb, in einer Stellungnahme.

Zusätzlich zur Datenschutz-Grundverordnung (DSGVO) der EU, die strenge Grenzen für die Verarbeitung sensibler personenbezogener Daten wie politischer Zugehörigkeit und religiöser Überzeugungen festlegt und diejenigen, die dies tun möchten, dazu verpflichtet, die ausdrückliche Zustimmung der betreffenden Personen einzuholen, wurde die Sperre kürzlich eingeführt Der erlassene Digital Services Act (DSA) schreibt vor, dass die Verwendung personenbezogener Daten für die gezielte Werbung eine Einwilligung erfordert. X-Nutzer, deren Daten verarbeitet wurden, wurden jedoch nicht ausdrücklich gebeten, der Verwendung ihrer Informationen zuzustimmen.

„[X] nutzte diese besonders geschützten Daten, um zu bestimmen, ob Menschen eine Werbekampagne der Generaldirektion für Migration und Inneres der Europäischen Kommission sehen sollten, mit der versucht wurde, Unterstützung für die vorgeschlagene „Chat-Kontrolle“ zu gewinnen. [CSAM scanning] in den Niederlanden“, schrieb noyb in einer Pressemitteilung. „Dieser illegale Einsatz von Micro-Targeting führte bereits im November dazu, dass noyb eine Klage gegen die EU-Kommission selbst einreichte. Jetzt reicht noyb eine Beschwerde gegen X ein. Indem das Unternehmen diese Praxis überhaupt zugelassen hat, hat es sowohl gegen die DSGVO als auch gegen das DSA verstoßen.“

In einer besonders ironischen Wendung ist die Kommission tatsächlich für die Überwachung der DSA-Konformität auf sogenannten großen Online-Plattformen (VLOPs) wie, ähm, X verantwortlich.

Tatsächlich hat die EU-Exekutive in den letzten Monaten, seit das DSA für VLOPs in Kraft getreten ist, X hinsichtlich der Einhaltung gedrängt – insbesondere aufgrund von Bedenken hinsichtlich der Verbreitung illegaler Inhalte und Desinformationen auf der Plattform im Zusammenhang mit dem Israel-Hamas-Krieg. Aber interessanterweise scheint die Kommission von X nicht den Nachweis verlangt zu haben, dass sein Ad-Targeting-Geschäft mit der Verordnung vereinbar ist. (Angesichts der Tatsache, dass einige seiner Mitarbeiter offenbar damit beschäftigt waren, gegen diese Regeln zu verstoßen, ist das vielleicht nicht allzu überraschend?)

noyb bestätigte uns, dass es bei der Kommission keine DSA-Beschwerde gegen X eingereicht hat; beschränkte seine Klage auf die Einreichung einer Beschwerde bei der niederländischen Datenschutzbehörde. Er sagte, der Grund, warum er eine in den Niederlanden ansässige Datenschutzbehörde für die Einreichung der Beschwerde ausgewählt habe, sei, dass die umstrittenen Anzeigen auf X-Nutzer im Land abzielten; und der Beschwerdeführer, den noyb bei der Einreichung der Beschwerde unterstützt, ist Niederländer. Allerdings hat X seinen regionalen Hauptsitz in Irland, sodass die niederländische Behörde bei jeder DSGVO-Untersuchung zur illegalen Datenverarbeitung für Werbezwecke wahrscheinlich mit der irischen Datenschutzkommission (DPC) zusammenarbeiten wird.

Aber warum reicht noyb keine DSA-Beschwerde zu X bei der Europäischen Kommission ein? Ein Sprecher der gemeinnützigen Organisation teilte uns mit, dass kein solcher Schritt unternommen worden sei, da nun zwei Datenschutzbeschwerden eingereicht worden seien – nämlich eine gegen die Kommission, die beim EDSB (Europäische Datenschutzbehörde) eingereicht wurde, die die EU überwacht Einhaltung der Regeln durch die Institutionen); und ein Gegen-X, das jetzt an eine nationale Datenschutzbehörde gesendet wurde – könnten zu einer Zusammenarbeit zwischen diesen Datenaufsichtsbehörden „in einem fast identischen Fall“ führen.

„Es bleibt abzuwarten, ob die Kommission im Rahmen des DSA gegen X selbst vorgehen kann“, fügte noyb hinzu.

Während die Strafen für DSGVO-Verstöße bis zu 4 % des weltweiten Jahresumsatzes betragen können, sieht das DSA-Regime sogar noch höhere Sanktionen vor – bis zu 6 %. Wenn daher unter beiden Regimen Zwangsmaßnahmen ergriffen werden, könnte Musks Unternehmen mit einer doppelten Belastung durch behördliche Sanktionen rechnen. (GDPR-DSA-Sandwich, irgendjemand?)

Die Kommission wurde kontaktiert, um aktuelle Informationen zu ihrer eigenen internen Untersuchung zum umstrittenen CSAM-Ad-Targeting-Vorschlag zu erhalten. und fragen Sie, ob es in seiner Eigenschaft als DSA-Durchsetzer in VLOPs gegen X wegen der Annahme illegaler Werbung vorgehen wird. Ein Sprecher der EU-Exekutive lehnte es jedoch ab, „zum jetzigen Zeitpunkt“ ein Update bereitzustellen – und bekräftigte stattdessen die frühere Entscheidung der Kommission, ihren internen Diensten zu raten, alle Arten bezahlter Kommunikation auf X zu stoppen.

X’s irische DSGVO-Aufsicht

Wie oben erwähnt, wird die DSGVO-Beschwerde von noyb gegen X jedoch wahrscheinlich auf dem Schreibtisch der irischen Datenschutzbehörde DPC landen.

Seit Musk Twitter übernommen hat und damit begonnen hat, dem Unternehmen (und seinem Produkt) seine unverwechselbare Marke aufzuzwingen, hat die DPC nach bestimmten kontroversen Entscheidungen des neuen Eigentümers – wie beispielsweise Musks Entscheidung, Journalisten rauszulassen – mit einigen öffentlichen Protesten reagiert. Twitter-Daten; oder die Implementierung einer kostenpflichtigen Verifizierungsfunktion in der EU ohne Vorankündigung; oder die Aufsichtsbehörde nicht zu informieren, wenn der Datenschutzbeauftragte zurücktrat – aber die irische Regulierungsbehörde scheint härtere Eingriffe in das Unternehmen vermieden zu haben. Dies trotz wachsender Datenschutzbedenken in Bereichen wie der Datenlöschung sowie der Privatsphäre und Sicherheit von Direktnachrichten (DMs) unter Musks Twitter/X-Besitz.

Darüber hinaus hat Musks X weiterhin seinen Hauptsitz in Irland und steht unter der primären Aufsicht des DPC. Diesen Status behält das Unternehmen trotz der unberechenbaren Führung und einseitigen Entscheidungsfindung des in den USA ansässigen Milliardärs bei – was Zweifel aufkommen ließ, dass Produktentscheidungen, die sich auf EU-Nutzer auswirken, tatsächlich erheblichen lokalen Input erhalten, wie es der Fall sein sollte, wenn X die Hauptniederlassung vor Ort beansprucht. Die Benennung ist wichtig, da sie es dem Unternehmen ermöglicht, sein regulatorisches Risiko in der EU weiter zu reduzieren und von der vereinfachten Aufsicht durch den One Stop Shop (OSS) der DSGVO zu profitieren.

Auch hier hat die irische Regulierungsbehörde, mit Ausnahme einiger öffentlicher Besorgnisäußerungen in den ersten Monaten der Übernahme von Musk, das Unternehmen in diesem Fall nicht ins Wanken gebracht.

Rückblickend hat die DPC seit Inkrafttreten der DSGVO nur eine öffentliche Strafe gegen Twitter verhängt, da das Unternehmen zum Zeitpunkt der Sanktion vor drei Jahren noch beschimpft wurde. Die Strafe bestand in einer Geldstrafe von rund 550.000 US-Dollar für das Versäumnis, einen Datenschutzverstoß unverzüglich zu melden. Man kann also mit Fug und Recht sagen, dass die Plattform unter der irischen Datenschutzaufsicht bislang einen recht reibungslosen Ablauf hatte, auch wenn Musk das Ruder übernommen hat.

Es bleibt jedoch abzuwarten, was das DPC mit einer Beschwerde über OSS tun wird. Die Regulierungsbehörde hatte bereits zuvor auf Bedenken hinsichtlich der Rechtsgrundlage für Werbung bei Twitter/X aufmerksam gemacht, als Gerüchte aufkamen, dass Musk vorhabe, Nutzer zu zwingen, sich zwischen der Annahme personalisierter Werbung oder der Zahlung eines Abonnements zu entscheiden.

Ein einfacher Fall von

Leave a Reply

Your email address will not be published. Required fields are marked *