Die österreichische Datenschutzbehörde hat festgestellt, dass die Nutzung der Tracking-Technologien von Meta gegen das EU-Datenschutzrecht verstößt, da personenbezogene Daten in die USA übertragen wurden, wo die Informationen einer staatlichen Überwachung ausgesetzt waren.
Die Feststellung geht auf eine Reihe von Beschwerden zurück, die von der europäischen Datenschutzgruppe noyb im August 2020 eingereicht wurden und die sich auch gegen die Verwendung von Google Analytics durch Websites wegen desselben Datenexportproblems richteten. Eine Reihe von EU-Datenschutzbehörden haben seitdem festgestellt, dass die Verwendung von Google Analytics rechtswidrig ist – und einige (wie die französische CNIL) haben vor der Verwendung des Analysetools ohne zusätzliche Schutzmaßnahmen gewarnt. Dies ist jedoch die erste Feststellung, dass die Tracking-Technologie von Facebook gegen die Datenschutz-Grundverordnung (DSGVO) der EU verstößt.
Alle Entscheidungen folgen einem Urteil des obersten Gerichts der Europäischen Union vom Juli 2020, das das hochrangige EU-US-Datentransferabkommen „Privacy Shield“ aufhob, nachdem Richter erneut einen fatalen Konflikt zwischen US-Überwachungsgesetzen und EU-Datenschutzrechten festgestellt hatten. (Eine ähnliche Feststellung aus dem Jahr 2015 machte den Vorgänger des Privacy Shield ungültig: Safe Harbor.)
noyb posaunt die neueste Feststellung einer Datenschutzverletzung bei der Datenübertragung als „bahnbrechend“ – mit der Begründung, dass die Entscheidung der österreichischen Behörde ein Signal an andere Websites senden sollte, dass es nicht ratsam ist, Meta-Tracker zu verwenden (die Beschwerde betrifft Facebook Login und das Meta-Pixel).
Die Entscheidung bezieht sich auf die Nutzung der Tracking-Tools von Meta durch eine lokale Nachrichten-Website (deren Name aus der Entscheidung entfernt wurde) ab August 2020 – die die betreffende Website kurz nach Einreichung der Beschwerde nicht mehr verwendet. Die Entscheidung könnte jedoch viel weitreichendere Auswirkungen auf die Nutzung der Technologie von Meta haben, wenn man bedenkt, wie viele personenbezogene Daten der Adtech-Riese verarbeitet. Obwohl sich die Feststellung der Verletzung nur auf eine der Websites bezieht, auf die noyb in dieser Reihe strategischer Beschwerden abzielt, hat dies angesichts der anhaltenden Rechtsunsicherheit in Bezug auf EU-US-Daten Auswirkungen auf die Ergebnisse und – möglicherweise – auf jede EU-Website, die noch Metas Tracking-Tools verwendet Überweisungen.
„Facebook hat so getan, als könnten seine kommerziellen Kunden seine Technologie weiterhin nutzen, obwohl zwei Urteile des Gerichtshofs das Gegenteil besagen. Jetzt hat die erste Regulierungsbehörde einem Kunden mitgeteilt, dass die Verwendung der Facebook-Tracking-Technologie illegal ist“, sagte Max Schrems, Vorsitzender von noyb.eu, in einer Erklärung.
„Viele Websites verwenden die Tracking-Technologie von Facebook, um Benutzer zu verfolgen und personalisierte Werbung anzuzeigen. Wenn Websites diese Technologie enthalten, leiten sie auch alle Benutzerdaten an den US-Multi und weiter an die NSA weiter [US National Security Agency]. Während die Europäische Kommission immer noch darauf abzielt, das dritte EU-US-Datenübertragungsabkommen zu veröffentlichen, bedeutet die Tatsache, dass das US-Recht immer noch eine Massenüberwachung erlaubt, dass diese Angelegenheit in absehbarer Zeit nicht gelöst wird“, schlägt noyb in a weiter vor Pressemitteilung.
Meta seinerseits hat auf die Nachricht reagiert, indem sie versucht hat, die Bedeutung der Entscheidung der österreichischen Datenschutzbehörde herunterzuspielen. In einer Erklärung behauptete ein Unternehmenssprecher, der Befund beruhe „auf historischen Umständen“ – und schlug vor, dass er „keinen Einfluss darauf hat, wie Unternehmen unsere Produkte verwenden können“. Hier ist seine Aussage in voller Länge:
Diese Entscheidung basiert auf historischen Umständen und bezieht sich nur auf ein einzelnes Unternehmen im Zusammenhang mit seiner Nutzung von Facebook Pixel und Facebook Login an einem einzigen Tag im Jahr 2020. Obwohl wir mit vielen Aspekten der Entscheidung nicht einverstanden sind, hat sie keinen Einfluss darauf, wie Unternehmen diese nutzen können unsere Produkte. Dieser Fall geht auf einen Konflikt zwischen EU- und US-Recht zurück, der derzeit beigelegt wird.
Im 46-seitige Entscheidung [NB: the link is to a machine translated (non-official) English version] Die österreichische Datenschutzbehörde legt ihre Begründung für die Feststellung dar, dass die Verwendung von Meta-Tracking-Tools durch eine lokale Website gegen die Anforderungen der DSGVO an Datenübertragungen verstoßen hat, und stellt fest, dass die Verordnung verlangt, dass Daten von EU-Benutzern angemessen geschützt werden, wenn sie außerhalb des Blocks an sogenannte Drittstaaten (wie die USA). Es stellte jedoch fest, dass in diesem Fall keiner der möglichen Schutzmaßnahmen für solche Datenexporte (wie z. B. eine Angemessenheitsentscheidung) angewendet wurde – und somit festgestellt, dass Artikel 44 der DSGVO (über Datenübertragungen) verletzt wurde.
Ein weiterer wichtiger Bestandteil der Entscheidung ist, dass die von den Tracking-Technologien von Meta erfassten Daten – die eine große Anzahl von Datenpunkten umfassen, darunter IP-Adresse, Benutzer-ID, mobile Betriebssystem- und Browserdaten, Bildschirmauflösung, Facebook-Cookie-Daten und vieles mehr – personenbezogen sind Daten nach EU-Recht.
„Als Ergebnis der Implementierung von Facebook Business Tools wurden Cookies gesetzt [the] Endgerät des Beschwerdeführers … die einen eindeutigen, zufällig generierten Wert enthalten … Dadurch ist es möglich, das Endgerät des Beschwerdeführers zu individualisieren und das Surfverhalten des Beschwerdeführers aufzuzeichnen, um geeignete personalisierte Werbung anzuzeigen“, erklärt die Datenschutzbehörde. „Unabhängig davon hatte zumindest Meta Ireland die Möglichkeit, die erhaltenen Daten durch die Implementierung von Facebook Business Tools weiter zu verknüpfen [the] Facebook-Konto des Beschwerdeführers. Aus den Nutzungsbedingungen der Facebook Business Tools geht hervor, dass die Facebook Business Tools unter anderem dazu dienen, Informationen mit Facebook auszutauschen.“
Einige Änderungen, die Meta kurz nach der Einreichung der Beschwerden von noyb an seinen AGB für die Datenübertragung vorgenommen hat, liegen vor dieser Aktion – sie kamen also zu spät, um das Ergebnis zu beeinflussen.
noyb schlägt jedoch vor, dass solche Anpassungen der Begriffe und/oder ergänzende Maßnahmen wahrscheinlich keinen Unterschied machen würden, da personenbezogene Daten für Meta zugänglich bleiben (und daher an US-Sicherheitsbehörden weitergegeben werden können) – also beispielsweise die Option, „Null Wissensverschlüsselung, also als ergänzende Maßnahme zur Erhöhung des Schutzniveaus der Daten, steht einem Adtech-Riesen, dessen Geschäftsmodell auf der Verfolgung und Profilierung von Webnutzern durch die Verarbeitung ihrer Daten beruht, nicht zur Verfügung.
„Die DPA hat bereits in der Google-Entscheidung festgestellt, dass solche Elemente das US-Recht nicht außer Kraft setzen können“, sagte Schrems gegenüber Tech, als wir nach den Änderungen fragten, die Meta nach den Beschwerden von noyb an seinen Datenübertragungsbedingungen vorgenommen hatte, und fügte hinzu: „Ich würde annehmen, dass dies nirgendwo hinführen würde gegeben die Rechtsprechung“.
Die Entscheidung der Datenschutzbehörde nimmt direkt Bezug auf Metas eigene Transparenzberichte, wo es Regierungsanfragen nach Daten aufzeichnet – dass es heißt, dass „die Meta Group regelmäßig Datenzugriffsanfragen von US-Geheimbehörden erhält“, und weiter präzisiert „die Datenzugriffsanfragen betreffen auch Benutzer aus Österreich“. Neben grundlegenden Abonnenteninformationen können Anfragen auch nach Aufzeichnungen zu Kontoaktivitäten und gespeicherten Inhalten fragen – wie Nachrichten, Fotos, Videos, Zeitleisteneinträge und Standortinformationen.
Herauszoomen, während die Verhandlungsführer der EU und der USA vorläufig einen transatlantischen Ersatzvertrag für die Datenübertragung vereinbart haben – den sie einberufen dem EU-US-Datenschutzrahmen (DPF) – dieser dritte Versuch, das Schisma bei der Datenübertragung zu beheben, ist noch nicht in Betrieb, da er noch von anderen EU-Institutionen geprüft werden muss, bevor die Kommission ihn offiziell annehmen kann.
Das bedeutet, dass es immer noch ein klaffendes Loch im Rechtssystem gibt, das die Datenübertragung zwischen der EU und den USA regelt – eines, das noch mehrere Monate lang unplugged bleiben könnte (noch im Dezember schlug die Kommission vor, dass der DPF nicht vor Juli eingerichtet sein würde).
Selbst wenn (oder wann) das neue EU-US-Datentransfer-Framework von der EU angenommen wird, wird es höchstwahrscheinlich vor der gleichen zentralen Herausforderung stehen, die seine Vorgänger getroffen hat, da die US-Massenüberwachungsprogramme nicht reformiert wurden. Dies lässt Zweifel am langfristigen Überleben des geplanten Ersatzrahmens aufkommen – daher ist die Rechtsunsicherheit in diesem Bereich so gut wie gegeben, was auch immer kurzfristig passiert.
noyb argumentiert, dass die einzige langfristige Lösung für dieses Problem entweder eine Reform des US-Überwachungsgesetzes ist, um „Basisschutz für Ausländer zur Unterstützung ihrer Technologieindustrie“ bereitzustellen. Oder Datenlokalisierung – was bedeutet, dass US-Anbieter gezwungen wären, ausländische Daten außerhalb des Landes zu hosten. Und wir sehen einige Schritte in diese Richtung (z. B. von TikTok, das in Angelegenheiten der nationalen Sicherheit einer noch größeren Prüfung als Facebook ausgesetzt ist).
Es ist jedoch nicht klar, ob die Datenlokalisierung eine große Lösung für die Probleme von Meta (oder sogar TikTok) ist – angesichts der Tatsache, dass Data-Mining-Benutzer für ihr Ad-Targeting-Geschäftsmodell von zentraler Bedeutung sind. („Es ist allgemein bekannt, dass Meta aufgrund seines in den USA ansässigen Systems kategorisch nicht in der Lage ist, sicherzustellen, dass die Daten europäischer Bürger nicht von US-Geheimdiensten abgefangen werden“, schlägt noyb vor.)
In der Zwischenzeit steht eine endgültige Entscheidung darüber, ob Metas EU-US-Datenübermittlungen ausgesetzt werden sollen, noch aus von seiner führenden EU-Datenschutzbehörde, der irischen Datenschutzkommission.
Es hängt also wirklich von der Leitung ab, was zuerst kommt: Ein neues EU-US-Datenübertragungspflaster – das die rechtlichen Herausforderungen zurücksetzen und Meta eine neue Runde operativer Atempause in Europa verschaffen würde – oder eine endgültige DPA-Anordnung, um aufzuhören Übertragung der Daten von EU-Nutzern über den Teich. Obwohl Meta im letzteren Fall sicherlich gegen eine Suspendierungsverfügung Berufung einlegen würde – das wahrscheinlichste Ergebnis ist also, dass Meta die Dose noch einmal auf die Straße treten kann und die europäischen Befürworter des Datenschutzes sich auf eine neue Runde rechtlicher Herausforderungen einstellen müssen , in der Hoffnung, dass der EuGH diesmal noch schneller abdrückt.
EU-Datenschutzbehörden haben extreme Zurückhaltung bei der Durchsetzung des Rechts in Bezug auf Datenübertragungen gezeigt und z. Das gleiche Szenario könnte sich also beim nächsten Mal wiederholen und einen Zyklus von Gesetzesverstößen schaffen, der fast nie durchgesetzt wird – und eine Parodie, wo die Grundrechte der EU-Nutzer sein sollten.
Die 101 Beschwerden von noyb wurden vor über zweieinhalb Jahren eingereicht – und dies ist nur die erste Entscheidung in Bezug auf Facebook-Tracking-Tools. Auf die Frage, was mit dem Rest passiert ist, sagte Schrems: „Auf alle anderen warten wir noch. Wir wissen nicht, warum die Google [Analytics] Fälle gingen schneller, aber wir gehen davon aus, dass die irische Datenschutzbehörde in den Facebook-Fällen eine größere Rolle gespielt hat.“
Die irische Datenschutzbehörde bleibt das Ziel heftiger Kritik wegen ihres Ansatzes zur Durchsetzung der DSGVO bei Big Tech – mit Fällen, die sich auf ihrem Schreibtisch stapeln, und letztendlichen Ergebnissen, die oft als enttäuschend bezeichnet werden.
Ein weiteres Problem, das noyb hervorhebt, betrifft das Fehlen einer Strafe, die zusammen mit der Feststellung der Verletzung durch die österreichische Datenschutzbehörde verhängt wird. Obwohl also ein Verstoß festgestellt wird, gibt es immer noch keine greifbaren Konsequenzen für die Website, die gegen das Gesetz verstoßen hat, indem sie sich auf die Technologie von Meta verlassen hat. „Es gibt keine Informationen darüber, ob eine Strafe verhängt wurde oder ob die [Austrian authority] plant, auch eine Strafe zu verhängen. Die DSGVO sieht in solchen Fällen Strafen von bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes vor, aber die Datenschutzbehörden scheinen nicht bereit zu sein, Bußgelder zu verhängen, obwohl die Verantwortlichen zwei EuGH-Urteile mehr als zwei Jahre lang ignoriert haben“, schreibt sie.
„Die österreichische Datenschutzbehörde verhängt in Beschwerdeverfahren niemals Bußgelder, da es eine eigene Bußgeldstelle gibt“, erklärt Schrems. „Dies ist ein sehr problematischer Ansatz, der zu ‚doppelten Verfahren‘ und einer sehr geringen Anzahl von Bußgeldern führt.“
All diese Probleme werden die Argumente anheizen, dass das Flaggschiff des EU-Datenschutzrahmens nicht das tut, was es verspricht – was den Druck auf die Gesetzgeber der Kommission erhöhen wird, wenn nicht eine harte Reform der DSGVO, dann zumindest eine wirksame Aufsicht durch angemessene Maßnahmen Überwachung der Durchsetzung der Verordnung auf Ebene der Mitgliedstaaten.
Das scheint notwendig, wenn die Gesetzgeber des Blocks weiterhin in der Lage sein wollen, ein immer breiteres und tiefgreifenderes (vernetztes) Regime digitaler Regulierung zu verkaufen, das häufig den Datenschutz als Grundlage für ein höheres Maß an Datenverarbeitung und -weitergabe beansprucht. Anders gesagt: Datenschutz kann nicht nur auf dem Papier existieren; Menschen müssen sehen, dass ihre Informationen tatsächlich geschützt sind.