Zur Erinnerung: Heute ist die Frist für die führende Datenschutzbehörde von Meta in Europa, um eine endgültige Entscheidung über eine fast zehnjährige Beschwerde gegen die Übermittlung personenbezogener Daten von Facebook aus der EU in die USA zu treffen, die dazu führen könnte, dass das Unternehmen angewiesen wird, den Datenfluss zu stoppen .
Die irische Datenschutzkommission (DPC) hat gegenüber Tech bestätigt, dass sie heute ihre endgültige Entscheidung treffen wird.
Wir gehen jedoch davon aus, dass es noch weitere Verzögerungen (etwas mehr als eine Woche) geben wird, bevor die Entscheidung veröffentlicht wird. Das Datum, an dem uns mitgeteilt wurde, dass die Anordnung offiziell veröffentlicht wird, ist der 22. Mai – vorausgesetzt, dass die Einzelheiten nicht vorher durchsickern.
Die Verzögerung bei der Veröffentlichung der angenommenen Entscheidung ist darauf zurückzuführen, dass Meta Zeit erhält, das Dokument zu prüfen, um vertrauliche und/oder wirtschaftlich sensible Informationen zu identifizieren, die möglicherweise geschwärzt werden sollen, und auf einen Feiertag, der eine andere beteiligte EU-Regulierungsbehörde betrifft.
Der 12. Mai-Termin für die Annahme der endgültigen Entscheidung des DPC über die Beschwerde folgt einem Zeitplan, der durch eine Streitbeilegungsentscheidung des DPC festgelegt wurde Europäischer Datenschutzausschuss Im vergangenen Monat.
Unter Anwendung der in der Datenschutz-Grundverordnung (DSGVO) verankerten Mechanismen schritt der Ausschuss ein, um Meinungsverschiedenheiten zwischen einer Reihe von EU-Regulierungsbehörden über den Inhalt der Entscheidung beizulegen. Er traf eine verbindliche Entscheidung über Metas Übermittlungen und gab dem DPC einen Monat Zeit, diese umzusetzen.
Wir wissen noch nicht, was entschieden wurde, da die Entscheidung des Gremiums zur Streitbeilegung noch nicht veröffentlicht wurde, da wir auf die endgültige Entscheidung des DPC warten (mit der sie umgesetzt wird) – das Schicksal der europäischen Datenströme von Facebook steht also immer noch auf dem Spiel .
Allerdings wird allgemein davon ausgegangen, dass Meta angewiesen wird, den Datenfluss auszusetzen, da tDas Unternehmen erhielt bereits im Herbst 2020 vom DPC eine vorläufige Aussetzungsanordnung.
Damals erwirkte das Unternehmen eine Aussetzung des DPC-Verfahrens, was dazu beitrug, den Zeitplan für die Durchsetzung der DSGVO zu verzögern, bis die irischen Gerichte Metas Anfechtung abwiesen. Später kam es zu weiteren Verzögerungen, als der Entscheidungsentwurf des DPC zu diesem Fall auf Einwände anderer EU-Datenschutzbehörden stieß – Diese Streitigkeiten wurden durch die verbindliche Entscheidung des EDSA im letzten Monat endgültig beigelegt.
Dies bedeutet, dass der Regulierungsprozess zumindest ins Stocken geraten ist (aber es ist zu erwarten, dass Meta jede Aussetzungsanordnung vor den irischen Gerichten anfechten wird).
Das Unternehmen hat stets versucht, die Saga herunterzuspielen – und behauptete in seiner letzten Erklärung, dass es sich „um einen historischen Konflikt zwischen EU- und US-Recht handelt, der derzeit gelöst wird“. Dies ist eine Anspielung auf den Entwurf einer Vereinbarung zwischen EU- und US-Gesetzgebern für einen neuen hochrangigen Rahmen für die transatlantische Datenübermittlung, der darauf abzielt, den Konflikt zwischen US-Überwachungspraktiken und EU-Datenschutzrechten zu lösen.
Dieses EU-US-Datenschutzrahmenwerk, wie das Abkommen genannt wird, wird jedoch noch von EU-Institutionen überprüft, die Bedenken geäußert haben, dass es nicht über ausreichende Sicherheitsvorkehrungen verfügt. Und gerade diese Woche haben die Gesetzgeber im Europäischen Parlament dies bekräftigt eine Aufforderung an die Kommission, sich mehr Zeit für die Verbesserung des Vorschlags zu nehmen – was darauf hindeutet, dass es zu weiteren Verzögerungen bei der Annahme einer Vereinbarung kommen könnte, auf die Meta offenbar setzt, um seine Datentransfers zu schonen.
Während die Frage der Datensperre das Hauptthema dieses DSGVO-Falls ist, oZu den wichtigsten Elementen, auf die bei der endgültigen Entscheidung Irlands später in diesem Monat geachtet werden sollte, gehört die Frage, ob Meta angewiesen wird, europäische Benutzerdaten zu löschen, wenn sich herausstellt, dass sie unrechtmäßig in die USA übertragen wurden.
Bereits im März, MLex berichtete dass mindestens zwei Datenschutzbehörden darauf drängten – und dass Meta sich bei den EU-Institutionen gegen einen solchen Schritt aussprach.
Hinzu kommt, dass durchgesickerte interne Dokumente im letzten Jahr darauf hindeuteten, dass die Datenverwaltungspraktiken des Technologieriesen, um es höflich auszudrücken, ein Chaos sind. Eine große (kostspielige) Überlegung/Komplikation ist also, wie leicht Meta die Daten europäischer Benutzer identifizieren und isolieren könnte, wenn sie zu deren Löschung aufgefordert würden.
Selbstverständlich kann Meta auch mit einem Bußgeld belegt werden, wenn sich herausstellt, dass die Daten unrechtmäßig übermittelt wurden.
Die DSGVO sieht Strafen von bis zu 4 % des weltweiten Jahresumsatzes vor, obwohl Meta bis heute mit beachtlichem Erfolg Geldstrafen verhängt hat, die weit unter dem theoretischen Höchstbetrag liegen.
Die Interessenvertretung für Datenschutzrechte, noyb – deren Gründer Max Schrems hinter der Beschwerde gegen Facebooks Datenflüsse zwischen der EU und den USA steht – schrieb im Januar an den EDSA und beschwerte sich über die Höhe der Geldbuße, die ihm das DPC zu Beginn dieses Jahres auferlegt hatte , wegen rechtswidriger Werbedatenverarbeitung, und argumentierte, dass die Strafe in Höhe von 390 Millionen Euro im Vergleich zum Ausmaß der Verstöße dürftig sei (tatsächlich schlug er vor, dass sie um mehr als 3,5 Milliarden Euro zu niedrig sei).
Eigentlich hatte Irland für diesen Verstoß ein weitaus niedrigeres Bußgeld vorgeschlagen – zwischen 28 und 36 Millionen Euro –, aber die Regulierungsbehörde war gezwungen, es zu erhöhen, um die verbindliche Entscheidung des EDSA umzusetzen.
Ohne dieses Eingreifen des Gremiums wäre Meta mit einer noch schwächeren DSGVO-Durchsetzung konfrontiert gewesen, weil es Millionen personenbezogener Daten von Europäern unrechtmäßig für verhaltensbasierte Werbung verarbeitet habe. Es wird also interessant sein zu sehen, welche Strafen (falls überhaupt) in Irlands endgültiger Entscheidung zu den Datenübermittlungen von Facebook enthalten sind.
Allerdings sind gegen Technologiegiganten verhängte Geldstrafen in der Regel weniger interessant als operative Anordnungen, die das Potenzial haben, Änderungen an missbräuchlichen Geschäftsmodellen zu erzwingen. Und während Meta immer noch Daten von europäischen Nutzern für verhaltensbasiertes Ad-Targeting sammelt, war es aufgrund der oben genannten DSGVO-Durchsetzung zumindest gezwungen, ein Opt-out anzubieten. Etwas, das es noch nie zuvor geboten hat.
Wie Meta gezwungen sein könnte, sein Geschäftsmodell zu ändern, um rechtswidrige transatlantische Datenübermittlungen zu verhindern, ist eine offene Frage.
Aber es besteht kein Zweifel daran, dass es alles in seiner Macht Stehende tun wird, um jede Aussetzungsanordnung vor Gericht zu bekämpfen, sodass es durchaus einen Weg finden wird, die Notwendigkeit, handeln zu müssen, so lange hinauszuzögern, dass die Zielpfosten durch das Inkrafttreten eines neuen US-Datenangemessenheitsabkommens verschoben werden können .
Wenn nicht, sind die Kosten real.
In einer Telefonkonferenz mit Investoren letzten Monat gab das Unternehmen zu, dass eine Anordnung zur Aussetzung des Datenflusses aus Europa 10 % seiner weltweiten Werbeeinnahmen beeinträchtigen könnte.
Natürlich hofft man, dass es nicht so weit kommt – und setzt darauf, dass der neue Datentransfermechanismus zwischen der EU und den USA gerade noch rechtzeitig eingeführt wird. (Ein Unternehmenssprecher lehnte es ab, Eventualitäten im Falle einer Anordnung zur Aussetzung des Datenflusses zu besprechen, und verwies auf die „Fortschritte“, die die politischen Entscheidungsträger auf dem Weg zu einem neuen Pakt erzielt hätten.)
Aber selbst wenn die hochrangige Einigung früh genug zustande kommt, um zu verhindern, dass Facebook in diesem Jahr in Europa geschlossen wird, geht Schrems davon aus, dass das neue hochrangige Rahmenwerk „wahrscheinlich“ vom obersten Gericht der Union abgelehnt wird, wie es bei den beiden Vorgängervereinbarungen der Fall war – Daher schätzt er, dass sich Meta nur noch „etwa zwei Jahre“ erkaufen würde, bevor das Problem erneut ans Licht kommt.
Für eine längerfristige Lösung schlägt er vor, dass Meta die Infrastruktur von Facebook zusammenführen muss. Aber eine so umfassende Umstrukturierung des Geschäfts wäre natürlich auch sehr teuer.