Tech hat erfahren, dass Facebook von seiner führenden EU-Datenschutzbehörde eine „überarbeitete“ vorläufige Entscheidung erhalten hat, die sich auf seine Fähigkeit auswirkt, weiterhin Benutzerdaten in die USA zu exportieren.
„Meta hat 28 Tage Zeit, um zu dieser vorläufigen Entscheidung Stellung zu nehmen. Zu diesem Zeitpunkt werden wir einen Entwurf einer Entscheidung nach Artikel 60 für andere betroffene Aufsichtsbehörden (CSAs) vorbereiten. Ich gehe davon aus, dass dies im April geschehen wird“, sagte uns ein stellvertretender Beauftragter der irischen Datenschutzkommission (DPC), Graham Doyle.
Doyle lehnte es ab, den Inhalt der vorläufigen Entscheidung zu erläutern.
Bereits im September 2020 sandte die DPC jedoch eine vorläufige Anordnung, in der sie Facebook aufforderte, die Datenübertragungen auszusetzen, per a Wallstreet Journal berichten damals unter Berufung auf mit der Sache vertraute Personen.
Meta, wie der Technologieriese sein Data-Mining-Imperium kürzlich umbenannt hat, hat in Gesprächen mit Investoren auf das anhaltende Risiko für seine EU-US-Datenübertragungen hingewiesen.
Es versuchte auch sofort, den früheren Anordnungsentwurf des DPC vor Gericht anzufechten – aber dieser Rechtsweg war im Mai letzten Jahres verfehlt, als der irische High Court eine Klage erließ Urteil Abweisung der Anfechtung der DPC-Verfahren.
Es ist nicht klar, dass sich seit dem früheren Anordnungsentwurf, der das Unternehmen aufforderte, Übertragungen auszusetzen, was die Regulierungsbehörde veranlassen würde, wesentliche Änderungen an den Tatsachen des Falls vorgenommen haben, die auf dem Zusammenprall zwischen europäischem Datenschutzrecht und US-Überwachungsbefugnissen beruhen jetzt eine andere Schlussfolgerung, unabhängig davon, was Meta in dieser nächsten Phase vorlegt.
Darüber hinaus haben in den letzten Monaten andere europäische Datenschutzbehörden Entscheidungen gegen andere US-Dienste erlassen, die mit der Übermittlung personenbezogener Daten in die USA verbunden sind – wie etwa Google Analytics – was zumindest aus optischer Sicht den Druck erhöht der DPC, um eine Entscheidung gegen Meta abzuschließen.
Die Regulierungsbehörde sah sich auch einer verfahrensrechtlichen Herausforderung durch den ursprünglichen Beschwerdeführer, Max Schrems, gegenüber, der ihr im Januar 2021 eine Vereinbarung entlockte, dass sie die langjährige Beschwerde schnell abschließen würde – das ist also eine weitere Quasi-Frist im Spiel.
Gemäß den Bedingungen dieses Vergleichs stimmte die DPC zu, dass Schrems auch in seinem (parallelen) Verfahren „auf eigenen Wunsch“ angehört würde – das es zusätzlich zu seiner beschwerdebasierten Untersuchung im Zusammenhang mit seiner ursprünglichen Beschwerde (2013) eröffnete und die es jetzt ist über diese neue vorläufige Entscheidung, die an Meta ergangen ist, vorankommen.
Schrems bestätigte, dass ihm die Entscheidung vom DPC zugesandt wurde – äußerte sich jedoch nicht weiter.
(Für noch mehr Wendungen reichte die von Schrems gegründete Datenschutzgruppe im November eine Beschwerde wegen krimineller Korruption gegen die DPC ein – und beschuldigte die Regulierungsbehörde der „verfahrenstechnischen Erpressung“ in Bezug auf Versuche, die Veröffentlichung anderer Beschwerdeentwürfe zu verhindern…)
Es ist immer noch nicht klar, wie lange genau sich diese mehrjährige Datenübertragungs-Saga hinziehen könnte, bevor eine endgültige Entscheidung Meta trifft — möglicherweise Anweisung, Überweisungen auszusetzen.
Aber es sollte Jetzt sind Monate näher als Jahre.
Das Verfahren nach Artikel 60 schleift andere interessierte Datenschutzbehörden ein, die die Möglichkeit haben, innerhalb von zunächst einem Monat begründete Einwände gegen einen Entscheidungsentwurf einer federführenden Behörde zu erheben. Obwohl es Erweiterungen geben kann. Und wenn zwischen den Datenschutzbehörden größere Meinungsverschiedenheiten über eine vorläufige Entscheidung bestehen, kann dies den endgültigen Entscheidungsprozess um Monate verlängern – und könnte letztendlich erfordern, dass der Europäische Datenschutzausschuss eingreift und eine endgültige Entscheidung durchsetzt.
All das kommt noch; jetzt liegt der Ball wieder bei Meta, um zu sehen, was für neues Geschwätz seinen Anwälten einfällt.
Der Technologieriese wurde kontaktiert, um sich zu der neuesten Entwicklung zu äußern, und in einer Erklärung sagte uns ein Meta-Sprecher:
„Dies ist keine endgültige Entscheidung und das IDPC hat um weitere rechtliche Einreichungen gebeten. Die Aussetzung von Datenübertragungen würde nicht nur Millionen von Menschen, Wohltätigkeitsorganisationen und Unternehmen in der EU schaden, die unsere Dienste nutzen, sondern auch Tausenden anderer Unternehmen, die sich auf Datenübertragungen zwischen der EU und den USA verlassen, um einen globalen Dienst bereitzustellen. Eine langfristige Lösung für die Datenübertragung zwischen der EU und den USA ist erforderlich, um die Verbindung zwischen Menschen, Unternehmen und Volkswirtschaften aufrechtzuerhalten.“
Es gibt noch einen weiteren bewegenden Teil dieser scheinbar unendlichen Geschichte – da die Verhandlungen zwischen der Europäischen Kommission und den USA über einen Ersatz für die nicht mehr existierende Datenübermittlungsvereinbarung Privacy Shield andauern.
In den letzten Monaten haben Facebook und Google öffentlich zur Vereinbarung eines neuen transatlantischen Datenübertragungsabkommens aufgerufen – und auf eine Lösung auf hoher Ebene für die Rechtsunsicherheit gedrängt, mit der jetzt zahlreiche US-Cloud-Dienste konfrontiert sind (oder zumindest diejenigen, die sich weigern, ihre eigenen Zugriff auf die unverschlüsselten Daten von Personen).
Die Kommission hat jedoch zuvor gewarnt, dass es dieses Mal keine „schnelle Lösung“ geben wird – und bereits im Jahr 2020 erklärt, dass ein Ersatz nur möglich sei, wenn alle Probleme, die der Europäische Gerichtshof in seinem Urteil vom Juli, mit dem der Datenschutzschild für ungültig erklärt wurde, festgestellt wurden, gelöst werden können (was sowohl ein legales und zugängliches Rechtsmittel für Europäer als auch die Bekämpfung unverhältnismäßiger US-Überwachungsbefugnisse bedeutet, die auf Massenabhörungen von Internetkommunikation angewiesen sind).
Kurz gesagt, Privacy Shield 3.0 sieht also nach einer großen Herausforderung aus – sicherlich in der Art von kurzer Zeit, die Metas Business-as-usual-Anforderungen erfordert … Also hat Chef-Lobbyist Nick Clegg sicherlich seine Arbeit ausgeschnitten!