- Europäische Datenschutzbehörden weiten das Verbot von "verhaltensbasierter Werbung" auf Facebook und Instagram auf 30 Länder in der Europäischen Union und im Europäischen Wirtschaftsraum aus
- Diese Verbotsmaßnahme, die auf der Erfassung und dem Targeting von Nutzerdaten basiert, ist ein Rückschlag für Meta Platforms, den Eigentümer der beiden Social-Media-Dienste
- Meta drohen bei Nichteinhaltung Geldbußen von bis zu 4 % des weltweiten Umsatzes
- Die Entscheidung des Europäischen Datenschutzausschusses (EDPB) weist die irische Datenschutzbehörde an, Metas verhaltensbasierte Werbung dauerhaft zu verbieten; in Irland befindet sich Metas europäischer Hauptsitz
- Meta erklärte, EU- und EWR-Nutzern eine Möglichkeit zur Einwilligung anzubieten und ein Abonnementmodell bereitzustellen, um die regulatorischen Anforderungen zu erfüllen
- Seit dem 7. August wird Meta in Norwegen täglich mit Geldbußen belegt, weil das Unternehmen die Privatsphäre von Nutzern verletzt, indem es deren personenbezogene Daten für Werbung verwendet
- Diese Entscheidung betrifft rund 250 Millionen Facebook- und Instagram-Nutzer in Europa
- Die Nichtbeachtung des EU-/EWR-weiten Verbots würde als Verstoß gegen die Datenschutz-Grundverordnung (DSGVO) gelten und könnte mit Geldbußen von bis zu 4 % des weltweiten Umsatzes geahndet werden
1 Kommentare
Hacker-News-Kommentare
Persönlich gehöre ich vielleicht zu einer Minderheit, weil ich personalisierte Werbung nützlich finde.
Werbung für Produkte und Dienstleistungen, die mit meinen Interessen oder Bedürfnissen überhaupt nichts zu tun haben, nervt mich viel mehr, und leider macht solche Werbung immer noch den Großteil aus.
Angesichts der Menge der gesammelten personenbezogenen Daten und der Fortschritte beim Machine Learning wird diese Manipulation gefährlich effektiv.
Websites könnten nicht-personalisierte Werbung anzeigen und gelegentlich einen Werbeplatz durch einen Hinweis ersetzen, personalisierte Werbung zu aktivieren.
Wer möchte, stimmt zu und bekommt personalisierte Werbung; der Rest bekommt seine Privatsphäre respektiert. Genau das war die Absicht der DSGVO.
Weil personalisierte Werbung aber profitabler ist, haben alle Plattformen die Rechte der Nutzer umgangen.
Wenn Facebook jahrelang dagegen verstoßen hat, sollte ein Verbot gelten, bis Facebook einen geprüften und genehmigten Plan vorlegt. Die Behörden haben Facebook aber erst jetzt ausdrücklich gesagt, dass es nicht weiter gegen das Gesetz verstoßen darf.
Die Überschrift ist sehr irreführend. Schaut man sich an, was tatsächlich verboten wird, geht es im Kern darum, die „Verarbeitung personenbezogener Daten für verhaltensbasierte Werbung auf Grundlage von Vertrag und berechtigtem Interesse“ im gesamten Europäischen Wirtschaftsraum zu untersagen.
Verhaltensbasierte Werbung auf Grundlage einer Einwilligung ist weiterhin möglich. Einige Datenschutzbehörden haben „bezahlen oder zustimmen“ für zulässig gehalten, und da es noch keine europaweit verbindliche Entscheidung gibt, will Facebook das als nächste Karte ausspielen.
Falls später auch diese Methode für unzulässig erklärt wird, zahlt Facebook vielleicht Jahre später nur einen Teil der durch den Rechtsverstoß erzielten Mehreinnahmen als Bußgeld und hält sich möglicherweise erst dann tatsächlich daran, wenn seit Inkrafttreten der DSGVO längst mehr als zehn Jahre vergangen sind.
Beispiele sind Alternativen oder Empfehlungen, die direkt auf Eingaben oder Entscheidungen des Nutzers beruhen, sowie unspezifische Kriterien wie Wetter, Jahreszeit oder Feiertage.
Das ist so, als würde ein Ladenmitarbeiter bemerken, dass ein Kunde sich Schals ansieht, und Alternativen zeigen oder im Winter mehr Ware aus dem Lager holen. Das ist keine invasive Werbung und auch nicht die Werbung, auf die hier abgezielt wird.
Gemeint ist überwachungsbasierte Werbung. Dabei werden Nutzerdaten gesammelt, vermittelt und zusammengeführt, und diese Daten kann jeder kaufen.
Auch US-Behörden haben dies als Mittel genutzt, um ohne Aufsicht an Informationen zu kommen (1), und wahrscheinlich beschaffen sich auch andere Regierungen oder böswillige Akteure diese Daten zu ihrem Vorteil.
Diese Art von Werbung ist auch der Grund für die unpassenden Anzeigen, die einem überall im Internet folgen. Vielleicht hat man in einem Instagram-Chat beiläufig etwas erwähnt oder das Foto eines Freundes im Urlaub gelikt.
Verbraucher unterschätzen normalerweise ihren digitalen Fußabdruck und die Risiken, wenn diese Informationen offengelegt werden. Es sind Informationen, die man ungern selbst einer Regierung in einer Datenbank anvertrauen würde, lässt aber zu, dass andere sie ohne jede Aufsicht bekommen.
Außerdem können die gesammelten Informationen falsch sein oder auf unerwartete Weise in die Privatsphäre eingreifen, etwa indem sexuelle Orientierung oder private Wünsche abgeleitet werden (2).
Dass sich einzelne Nutzer gezielt ansprechen lassen, ist ebenfalls über Streiche (3) hinaus leicht missbrauchbar (4).
(1) https://www.documentcloud.org/documents/23844477-odni-declas... oder ein leichter lesbarer Artikel: https://www.nbcnews.com/tech/security/us-government-buys-dat...
(2) https://techcrunch.com/2018/05/16/facebook-faces-fresh-criti...
(3) https://www.adweek.com/performance-marketing/roommate-makes-...
(4) https://techcrunch.com/2021/10/15/researchers-show-facebooks...
„Meta hat bereits angekündigt, Nutzern in der EU und im EWR eine Möglichkeit zur Einwilligung anzubieten, und erklärt, im November ein Abo-Modell einzuführen, um regulatorische Anforderungen zu erfüllen“ — heißt das am Ende, dass man in der EU Abo-Gebühren zahlen muss, um Facebook oder Instagram zu nutzen?
Einen kostenlosen Dienst ohne personalisierte Werbung werden sie wohl nicht anbieten, und wenn das Gesetz die bisherige Methode verbietet, bleibt als Nutzungsweg doch nur, zu bezahlen, oder?
Wenn man auf keine Weise Geld verdienen kann, kann man keinen kostenlosen Dienst anbieten.
Tobias Judin, Leiter des internationalen Bereichs der norwegischen Datenschutzbehörde, hält es für sehr wahrscheinlich, dass Metas Vorschlag die Anforderungen des europäischen Rechts nicht erfüllt.
Zum Beispiel müsse eine Einwilligung freiwillig erteilt werden; wenn bestehende Nutzer ihre Datenschutzrechte aufgeben oder den finanziellen Nachteil eines Abos hinnehmen müssen, sei das demnach keine freiwillige Einwilligung.
Option A: weiterhin kostenlos nutzen, inklusive Werbung, Tracking und Profiling.
Option B: Abo-Gebühr zahlen, ohne Werbung oder Tracking. Meist scheint dafür ein Dienst namens „Pur“ genutzt zu werden.
Das passt zwar nicht zum GDPR-Verständnis mancher Leute, aber zumindest mehrere deutsche Gerichte hielten es für in Ordnung.
Provokant gesagt: Ein kostenloses Internet ohne Werbung aufrechtzuerhalten, ist schwierig.
Viele Websites haben einen geringen Grenznutzen, können sich aber über Werbung finanzieren; wenn die CPM-Preise einbrechen, werden solche Seiten verschwinden.
Manche würden sagen, Werbung müsse grundsätzlich blockiert werden, weil sie Aufmerksamkeit stiehlt, aber das ist ein anderes Thema.
Das Problem wurde größer, als Werbefirmen ihren Return on Investment nachverfolgen wollten, und im Internet war das sehr einfach.
Deshalb lehnen mehr Menschen Internetwerbung ab als Werbung an Bushaltestellen.
Wenn Bushaltestellen anfingen, Retina-Scans durchzuführen, um personalisierte Werbung zu zeigen, während man vorbeigeht, würden die Leute auch dagegen sein.
Man muss nicht jeden Nutzer und jeden Klick tracken, um Werbung zu zeigen und Geld zu verdienen. Aber Werbefirmen wie Meta können mehr Geld verdienen, wenn sie jeden Schritt verfolgen, also tun sie es eben.
Auch bevor Tracking zum Mainstream wurde, gab es im Internet Werbung, und Menschen haben damit Geld verdient.
Ob ein kostenloses Internet ohne personalisierte Werbung überleben kann? Natürlich kann es das.
Viele Unternehmen könnten verschwinden, aber was ist daran das Problem? Unternehmen gehen ständig pleite, und neue Unternehmen auf Basis anderer Modelle füllen die Lücke.
Wenn sich herausragende Talente auf andere Probleme konzentrieren würden, statt Daten von Menschen zu ernten und sie zu profilieren, könnte daraus sogar viel Innovation entstehen.
Und Foren? Die gesamte Reddit-Datenbank passt, Medien ausgenommen, auf eine SSD für 150 Dollar, und eine einfache Website kann selbst auf einem gebrauchten Laptop Zehntausende Requests pro Sekunde verarbeiten.
Mit einem Ryzen 7950X und ein paar NVMe-Laufwerken könnte man realistisch sogar mehr verarbeiten, als die verfügbare Netzwerkanbindung hergibt.
Jemand mit 10-Gigabit-Internet könnte wohl nahezu ohne Kosten ein Forum mit zig Millionen Nutzern betreiben.
Das Kernproblem ist die rechtliche Haftung, und das zweite ist, dass ISPs das Hosten von Servern über private Internetanschlüsse verbieten. Hobby-Betreiber können Colocation nutzen, und viele tun das bereits.
Wenn man diese Gesetze ändert, sind die Rechenkosten Kleingeld.
Es gibt keinen Anreiz zu zahlen. Die Daten werden ohnehin geschürft und verkauft, und um unsere Aufmerksamkeit wird weiter gekämpft.
Persönlich mag ich es auch nicht, ständig dazu gedrängt zu werden, unnötigen Kram zu kaufen oder Dinge zu ersetzen, die ich schon habe.
Ich habe schon eine Waschmaschine und habe sie letzten Monat gekauft, also muss man mir nicht noch eine verkaufen. Erstaunlich, dass Werbetreibende noch nicht einmal an dem Punkt angekommen sind, an dem sie Verbrauchern keine Produkte mehr aufdrängen, die diese bereits gekauft haben.
Google ist ziemlich gut, wenn man in der Situation ist: „Ich muss X, Y, Z kaufen.“ Dann ist Werbung sehr nützlich und oft sogar relevanter als die Suchergebnisse, sodass ich bereit bin zu klicken.
Aber während ich Nachrichten lese, werde ich keine neue Waschmaschine bestellen.
Ich frage mich, ob es einen Link zu den konkreten Details dieses Verbots oder zu den Rechtsdokumenten gibt.
Im Artikel werden „personalisierte Werbung“ und „verhaltensbasierte Werbung“ fast synonym verwendet, und auch die Nutzung des Standorts für Werbung wird als Eingriff in die Privatsphäre bezeichnet.
Dann sähe es so aus, als würde auch blockiert, dass ein lokales Unternehmen Menschen in derselben Stadt Werbung zeigt — ich frage mich, ob das so beabsichtigt war.
Das ist etwas völlig anderes als lokale Werbung.
Lokale Werbung ist keine personalisierte Werbung, sondern kontextbezogene Werbung. Das Internet-Pendant wäre zum Beispiel, dass eine Garten-Website Werbung für Gartengeräte zeigt oder eine Tech-Website Werbung für Laptops.
So etwas ist in Ordnung, weil es an den Kontext gebunden ist. Der Unterschied ist, dass diese Werbung einem nicht folgt, sobald man diesen Kontext verlässt.
Standortbasierte Werbung im Internet folgt einem überallhin. Man muss sich nur vorstellen, wie unheimlich es wäre, im Urlaub auf Hawaii ein Billboard zu sehen, das für etwas aus der eigenen Heimatstadt auf der anderen Seite der Erde wirbt.
Jedes Mal, wenn eine EU-Institution Facebook „verbietet“, muss ich daran denken, dass die European Commission und das Parlament in den meisten EU-Ländern zu den größten öffentlichen Ausgebern für Facebook-Werbung gehören: https://www.facebook.com/ads/library/report/
Das ist nicht die gesamte Werbung.
Das große Problem, das viele nicht mitbekommen: Sie tracken auch ohne Konto.
Es ist nicht in Ordnung, getrackt zu werden, obwohl man keine Geschäftsbeziehung mit ihnen hat. Wenn man Nutzer der Plattform ist, kann das eine andere Frage sein.
Papieranzeigen in Interessensmagazinen waren sehr interessant und oft nützlich, manchmal sogar besser als der eigentliche Inhalt des Magazins.
Auch die textbasierten Anzeigen auf Basis von Such-Keywords im frühen Google waren einigermaßen interessant, und selbst wenn sie nicht unbedingt nützlich waren, konnte man ihre Relevanz nachvollziehen.
Was heute durch Adblocker hindurchkommt, ist alles Müll. Ohne Adblocker existiert das Internet praktisch nicht mehr.
In vielerlei Hinsicht scheinen die 90er der Höhepunkt gewesen zu sein.
Ich frage mich, warum das kein allgemeines Verbot personalisierter Werbung ist, sondern sich gegen „Facebook und Instagram“ richtet.
Gibt es etwas Bestimmtes, das Meta anders macht als andere Unternehmen?
Facebook und Instagram sind allgemein bekannte Namen, die von den Medien leicht aufgegriffen werden.
Der Konflikt zwischen Datenschutzbehörden und Meta läuft schon seit Jahren, und zwischendurch gab es auch interessante Aussagen von Meta, etwa dass man über eine Einstellung des EU-Betriebs nachdenke.
Ich habe bei dieser Sache gemischte Gefühle.
Ich mag es nicht, dass Europa bei Regulierung führend ist, bei Innovation aber so weit zurückliegt.
Gleichzeitig ist das ein Schritt in die richtige Richtung. Es stimmt zwar, dass Menschen sich nicht um Privatsphäre kümmern, aber meist liegt das daran, dass sie nicht verstehen, in welchem Umfang und mit welchen Konsequenzen sie Unternehmen die Kontrolle über ihre Daten überlassen.
Dass China trotz dieser offensichtlich richtigen Entscheidung immer noch verspottet wird, sagt viel aus.
Ich wünschte, es gäbe eine Regulierung, die Unternehmen verpflichtet, Nutzer jedes Mal zu informieren, wenn sie Nutzerdaten an eine andere Organisation weitergeben.
Selbst wenn die Daten „anonymisiert“ wurden, sollte das Unternehmen alle Nutzer benachrichtigen müssen.
Wenn das Unternehmen Kontaktdaten der Nutzer hat, sollte es die Benachrichtigung dorthin senden, und falls nötig auch einen echten Brief schicken.
Außerdem sollte das Unternehmen ein öffentliches Verzeichnis der Datenübertragungen führen. Zum Beispiel eine Seite auf der Website, auf der aufgeführt ist, wann Daten weitergegeben wurden, warum und um welche Art von Daten es sich handelte. So könnten auch anonyme Nutzer einbezogen werden.
Es braucht auch Bestimmungen für Fälle, in denen das Geschäftsmodell des Unternehmens selbst Datenweitergaben umfasst. Das könnte etwa eine Liste von Dienstleistern sein, die im Rahmen der bereitgestellten Dienste Zugriff auf Daten haben und den Geschäftsbedingungen des Unternehmens unterliegen.
Noch besser wäre es, Unternehmen, die mit dem Verkauf von Nutzerdaten Geld verdienen, dazu zu zwingen, diese Einnahmen mit allen Personen zu teilen, deren Daten gerade verkauft wurden.
Wenn sie wirklich anonym sind, welcher Schaden kann dann entstehen?
Wenn eine Website ihrem Eigentümer zum Beispiel mitteilt, dass es 400 eindeutige Nutzer gab, also aggregierte anonyme Daten, müssen dann auch diese 400 Nutzer darüber informiert werden, dass sie aggregiert wurden?