Key Facts

The Irish data protection authority has rejected the circumvention of the GDPR by Meta.
Meta must offer a yes/no option for personalized advertising in the future.
Six legal bases for data processing are set out in the GDPR.
The decision forces Meta to provide a version of the apps without personal data.
A 300 million euro fine was imposed on Meta.
Users can revoke their consent at any time without any restrictions in the service.
Legal service providers could potentially support claims for damages against Meta.

Just this morning I reported on the LG München decision on Focus.de, and another decision seems to have dealt the data protection death blow to obtaining permission from users of a platform/website for “targeted advertising” only via provisions in the terms and conditions and not through explicit consent.

As confirmed by the Irish Data Protection Authority, the European Data Protection Board (EDPB) has rejected the circumvention of the GDPR/GDPR by the Irish Data Protection Authority and Meta on the basis of complaints filed by the organization “noyb” against Facebook and Instagram. Meta, as the operator of Facebook, Instagram and Whatsapp, is now prohibited from circumventing the GDPR through a clause in its terms and conditions. Meta must obtain consent for personalized advertising and offer users a “yes/no” option.

The GDPR recognizes six legal bases for the processing of data. One of them is consent pursuant to Article 6(1)(a) DSGVO. The delimitation of the possibilities and when which possibility is permissible or how exactly these must be designed is not entirely clear and is always a cause for controversy. Since users are naturally reluctant to clearly and unambiguously consent to being recognized on a website for the purpose of advertising (and certainly not across different services), Meta attempted to circumvent the consent requirement for tracking and online advertising by arguing that ads were part of the “service” it contractually owed to users.

However, this so-called “contractual necessity” under Article 6(1)(b) is usually understood narrowly. An example would be the forwarding of address data to a postal service provider by an online store in order to be able to carry out an order that has been placed. Meta took the position that it could simply add whatever elements it wanted to the contract with the user (such as personalized advertising) to avoid a yes/no consent option for users.

Despite many attempts by the Irish data protection authority to allow this practice for Meta, the European Data Protection Board now also rejects this practice in the final decision.

The decision means that Meta must provide all users with a version of all apps that does not use personal data for advertising within three months. The ruling would still allow Meta to use non-personal data (such as the content of a story) to personalize ads or ask users to approve ads via a yes/no option. Users must be able to withdraw their consent at any time, and Meta must not restrict service if users so choose. While this would drastically limit Meta’s profits in the EU, it would not ban advertising entirely. Instead, the decision puts Meta on the same level as other websites or apps that must offer users a yes/no option. In addition, a 3-digit million fine was imposed on Meta. This is unlikely to do the already rapidly falling share price any good.

In addition to a number of other cases pending before the ECJ, the question of whether Meta users are now entitled to claims for damages against Meta because it unlawfully used personal data for 4.5 years is likely to be exciting. Another field for legal service providers?

The path taken by data protection authorities and privacy activists, as well as the courts, is therefore quite clear and marketers and service providers are strongly advised not to process and/or share users’ data with third parties without explicit consent, unless this is clearly and unambiguously for the performance of a contract, a legal obligation, to safeguard vital interests, or to serve a public interest. The “f” option in Article 6(1)(a) of the GDPR, “the legitimate interest of the controller or a third party” can quickly become a dangerously hot, and as you can now witness at Meta, expensive undertaking.

Tags: Advertising AGB Damages Data protection Law Facebook Instagram KI Personal data Privacy Whatsapp

5.0 60 reviews

Lennart Korte ★★★★★ vor 2 Monaten
Ich kann Herrn Härtel als Anwalt absolut weiterempfehlen! Sein Service ist erstklassig – schnelle Antwortzeiten, effiziente … Mehr Arbeit und dabei sehr kostengünstig, was für Startups besonders wichtig ist. Er hat für mein Startup einen Vertrag erstellt, und ich bin von seiner professionellen und zuverlässigen Arbeit überzeugt. Klare Empfehlung!
R.H. ★★★★★ vor 3 Monaten
Ich kann Hr. Härtel nur empfehlen! Er hat mich bei einem Betrugsversuch einer Krypto Börse rechtlich vertreten. Ich bin sehr … Mehr zufrieden mit seiner engagierten Arbeit gewesen. Ich wurde von Anfang an kompetent, fair und absolut transparent beraten. Trotz eines zähen Verfahrens und einer großen Börse als Gegner, habe ich mich immer sicher und zuversichtlich gefühlt. Auch die Schnelligkeit und die sehr gute Erreichbarkeit möchte ich an der Stelle hoch loben und nochmal meinen herzlichsten Dank aussprechen! Daumen hoch mit 10 Sternen!
P! Galerie ★★★★★ vor 4 Monaten
Herr Härtel hat uns äusserst kompetent in einen lästigen Fall mit META betreut. Er war effizient, beharrlich, aber auch mit … Mehr uns geduldig. Menschlich top, bis wir am Ende Dank ihm erfolgreich zum Ziel gekommen sind. Können wir wärmstens empfehlen. Und nochmals danke. P.H.
Philip Lucas ★★★★★ vor 8 Monaten
Wir haben Herrn Härtel für unser Unternehmen konsultiert und sind äußerst zufrieden mit seiner Arbeit. Von Anfang an hat … Mehr er einen überaus kompetenten Eindruck gemacht und sich als ein sehr angenehmer Gesprächspartner erwiesen. Seine fachliche Expertise und seine verständliche und zugängliche Art im Umgang mit komplexen Themen haben uns überzeugt. Wir freuen uns auf eine langfristige und erfolgreiche Zusammenarbeit!
Mosaic Mask Studio ★★★★★ vor 5 Monaten
Die Kanzlei ist immer ein verlässlicher Partner bei der Sichtung und Bearbeitung von Verträgen in der IT Branche. Es ist … Mehr stets ein professioneller Austausch auf Augenhöhe.
Die Ergebnisse sind auf hohem Niveau und haben die interessen unsers Unternehmens immer bestmöglich wiedergespiegelt.
Vielen Dank für die sehr gute Zusammenarbeit.
Mikael Hällgren ★★★★★ vor einem Monat
I got fantastic support from Marian Härtel. He managed to get my wrongfully suspended Instagram account restored. He was … Mehr incredibly helpful the whole way until the positive outcome. Highly recommended!
Doris H. ★★★★★ vor 10 Monaten
Herr Härtel hat uns bezüglich eines Telefonvertrags beraten und vertreten. Wir waren mit seinem Service sehr zufrieden. Er … Mehr hat stets schnell auf unsere E-mails und Anrufe reagiert und den Sachverhalt einfach und verständlich erklärt. Wir würden Herrn Härtel jederzeit wieder beauftragen.Vielen Dank für die hervorragende Unterstützung
Philipp Skaar ★★★★★ vor 8 Monaten
Als kleines inhabergeführtes Hotel sehen wir uns ab und dann (bei sonst weit über dem Durchschnitt liegenden Bewertungen) … Mehr der Herausforderung von aus der Anonymität heraus agierenden "Netz-Querulanten" gegenüber gestellt. Herr Härtel versteht es außerordentlich spür- und feinsinnig, derartige - oftmals auf Rufschädigung ausgerichtete - Bewertungen bereits im Keim, also außergerichtlich, zu ersticken und somit unseren Betrieb vor weiteren Folgeschäden zu bewahren. Seine Umsetzungsgeschwindigkeit ist beeindruckend, seine bisherige Erfolgsquote = 100%.Ergo: Unsere erste Adresse zur Abwehr von geschäftsschädigenden Angriffen aus dem Web.