AEPD-Untersuchung der Wahlfunktionalitäten EDI und VIU von Meta
Die Agencia Española de Protección de Datos (AEPD), die spanische Datenschutzbehörde, hatte am 31.05.2024 gegen die wahlbezogenen Funktionen von Meta (EDI und VIU) Vorsichtsmaßnahmen angeordnet, um damals mit sofortiger Wirkung und im Hinblick auf die bevorstehenden Wahlen zum Europäischen Parlament deren Einführung auf spanischem Gebiet auszusetzen.
Hintergrund der wahlbezogenen Meta-Funktionen
Vom 6. bis 9. Juni 2024 wählten die Bürgerinnen und Bürger der Europäischen Union zum zehnten Mal das Europäische Parlament.
Um die Bürgerinnen und Bürger im Vorfeld der Wahl an diese zu erinnern, entwickelten verschiedene Unternehmen wahlbezogene Funktionen. Unter anderem schuf Meta (Meta, Willow Road 1601 94025 Menlo Park, CA) die Tools Election Day Information (EDI) und Voter Information Unit (VIU), die Benachrichtigungen an alle berechtigten Instagram- und Facebook-Nutzer in der EU senden sollten, um sie daran zu erinnern, an den Wahlen zum EU-Parlament teilzunehmen.
Die Funktionen von Meta erforderten die Eingabe personenbezogener Daten wie Name, IP-Adresse, Alter und Geschlecht. Damit lag eine Verarbeitung personenbezogener Daten im Sinne von Art. 4 Nr. 2 DSGVO vor, weshalb der Schutzbereich der Datenschutzgrundverordnung (DSGVO) eröffnet war. Dies wiederum rief die AEPD auf den Plan.
AEPD-Untersuchung der Wahlfunktionalität bei Meta
Die AEPD äußerte in einer Erklärung, dass die Datenverarbeitungen durch VIU und EDI gegen die spanischen Datenschutzbestimmungen verstoßen würden. In der Begründung heißt es ferner, dass ein Verstoß gegen den Grundsatz der Rechtmäßigkeit gemäß Art. 5 Abs. 1 lit. a) DSGVO gegeben sei, da es keine Rechtsgrundlage für die Datenverarbeitung durch die beiden Meta-Funktionen gebe. Des Weiteren kritisierte die Aufsichtsbehörde, dass Meta bei der Anwendung von VIU und EDI über keinen zuverlässigen Mechanismus zur Bestimmung des Alters seiner Nutzer verfüge.
Insofern bestünde die Gefahr, dass nicht ausschließlich Daten von Nutzern über 18 Jahren verarbeitet werden. Zudem verstoße Meta gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. c) DSGVO, da die Speicherdauer, die in der Entscheidung geschwärzt wurde, für die Verarbeitung in Bezug auf die angegebenen Zwecke nicht gerechtfertigt sei. Außerdem führe die Datenverarbeitung durch VIU und EDI zu einer beträchtlichen Informationsgewinnung für Meta, was eine komplexere, detailliertere und umfassendere Profilerstellung ermögliche und eine stärker in die Privatsphäre der Nutzer greifende Verarbeitung zur Folge hätte. Die Rechte der betroffenen Personen sei insofern stark gefährdet.
Aus diesen Gründen ordnete die AEPD im Rahmen des Dringlichkeitsverfahren nach Art. 66 Abs. 1 DSGVO Sofortmaßnahmen an, um die Verwendung von EDI und VIU auf spanischem Gebiet kurzzeitig auszusetzen.
Dringlichkeitsverfahren nach Art. 66 DSGVO
Als Instrument einheitlicher Umsetzung der DSGVO in der EU wurde das Kohärenzverfahren geschaffen, das in Art. 63 ff. DSGVO normiert ist. Als förmliches Kompetenz- und Anwendungsabstimmungsverfahren ergänzt es die allgemeinen Bestimmungen zur Zusammenarbeit der Aufsichtsbehörden (Art. 60 ff. DSGVO). Gleichzeitig legt es die rechtliche Basis für gemeinsame, bindende Entscheidungen der Aufsichtsbehörden sowie deren Umsetzung.
Aufsichtsbehörden können in bestimmten Fällen aber auch das Dringlichkeitsverfahren nach Art. 66 DSGVO anstreben. Abweichend vom Kohärenzverfahren nach Art. 63, 64 und 65 DSGVO oder dem Verfahren nach Art. 60 DSGVO ist es Aufsichtsbehörden möglich, nach Art. 66 DSGVO sofort einstweilige Maßnahmen mit festgelegter Geltungsdauer von höchstens drei Monaten zu treffen. Um das Kohärenzverfahren aber nicht zu entwerten und die Möglichkeit sofortiger Maßnahmen interessengerecht zu beschränken, normiert Art. 66 Abs. 1 DSGVO mehrere Voraussetzungen. Hiernach ist das Dringlichkeitsverfahren nur dann möglich, wenn außergewöhnliche Umstände vorliegen und nach Auffassung einer betroffenen Aufsichtsbehörde dringender Handlungsbedarf besteht, um Rechte und Freiheiten betroffener Personen zu schützen.
Im Zusammenhang mit den Funktionen EDI und VIU sah AEPD die Einführung dringender Maßnahmen im Rahmen des Art. 66 Abs. 1 DSGVO zur vorübergehenden Untersagung dieser als gerechtfertigt an, um die Datenerhebung und die Verwendung personenbezogener Daten durch unbekannte Verantwortliche und für nicht explizite Zwecke zu unterbinden.
Stellungnahme von Meta
Meta selbst wies die Vorwürfe zurück und erklärte, dass die Privatsphäre der Nutzer respektiert würde und die Anwendung von EDI und VIU mit den Grundsätzen der DSGVO im Einklang stünde.
Stellungnahme der EU
Die Europäische Kommission äußerte sich Ende April. In der Stellungnahme heißt es, dass die Europäische Kommission die Eröffnung eines Verfahrens gegen Meta vornehmen werde, um auf Grundlage des Digital Services Act unter anderem Desinformation, die Sichtbarkeit politischer Inhalte und Überwachungsinstrumente im Zusammenhang mit den bevorstehenden Wahlen zu analysieren.
Fazit: Beeinflussung von Wahlen durch digitale Anwendungen
Dass die spanische Datenschutzbehörde die Anwendung der Meta-Funktionen EDI und VIU im Wege des subsidiären Dringlichkeitsverfahren nach Art. 66 DSGVO stoppte und nicht das übliche Kohärenzverfahren wählte, war vor allem dem bevorstehenden Wahltermin der Europawahl geschuldet. Dennoch entfaltete diese Entscheidung eine starke Wirkung. Das Thema Wahlen und deren Beeinflussung durch digitale Anwendungen könnte kaum aktueller sein. So kündigte bereits die Europäische Kommission ein Verfahren gegen Meta an, dessen Gegenstand die Analyse der Sichtbarkeit politischer Inhalte und deren Überwachungsinstrumente im Zusammenhang mit bevorstehenden Wahlen ist. Da auch in Zukunft Wahlen anstehen, bleibt es auf diesem Feld weiterhin spannend.
Falls Sie Fragen bezüglich der AEPD-Entscheidung oder hinsichtlich der damit einhergehenden Aspekte haben oder andere datenschutzrechtliche Fragen offen sind, kontaktieren Sie uns. Wir stehen Ihnen gerne zur Verfügung.