Die Räder der Datenschutzdurchsetzung drehen sich langsam gegen Facebook in Europa – wo seine führende Datenschutzbehörde, die irische Datenschutzkommission (DPC), einen wichtigen Verfahrensschritt in einer Beschwerde über Datenübertragungen unternommen hat, deren Inhalt zu diesem Zeitpunkt fast ein Jahrzehnt zurückliegt.
Das DPC bestätigte heute, dass ein Entscheidungsentwurf über die Rechtmäßigkeit der EU-US-Datenübermittlungen von Meta an andere Datenschutzbehörden zur Überprüfung gesendet wurde. Der stellvertretende Kommissar Graham Doyle lehnte es ab, Einzelheiten über die Entscheidung selbst bekannt zu geben – und bestätigte nur, dass sie gesendet wurde.
„Wir haben es an unsere Datenschutzbehörden geschickt, um ihre Meinung zu erfahren, und sie haben einen Monat Zeit, um sich bei uns zu melden“, sagte er gegenüber Tech.
Politischdie heute früher über diese Entwicklung berichtete, berichtet auch, dass der Entscheidungsentwurf des DPC Meta anweist, die EU-US-Datenexporte einzustellen – und die Veröffentlichung behauptet weiter, dass die Anordnung dazu führen könnte, dass Europäer von Diensten wie Facebook und Instagram abgeschnitten werden bereits in diesem Sommer, wenn der Auftrag von anderen EU-Datenschutzbehörden bestätigt wird, die ihn prüfen.
Eine DPC-Anweisung an Facebook, die es daran hindert, Daten von EU-Bürgern zur Verarbeitung in die USA zu exportieren, was im Wesentlichen so ist, wie sein Dienst derzeit funktioniert, wäre keine Überraschung: Bereits im September 2020 berichtete das Wall Street Journal, dass das DPC ebenfalls gesendet hatte Meta eine vorläufige Anordnung zur Aussetzung des Datenverkehrs zwischen der EU und den USA.
Die Regulierungsbehörde bestätigte den Inhalt der Anordnung auch damals nicht, aber die Entwicklung folgte einer wegweisenden Entscheidung des obersten Gerichts des Blocks im Juli 2020, die aufgrund des Konflikts zwischen den USA ein neues Loch in den Rechtsrahmen für Datenexporte in die USA sprengte Überwachungsgesetz und EU-Datenschutzrechte – daher musste der spezifische Inhalt der Anordnung nicht konkretisiert werden.
Was möchten Es wäre eine Überraschung in dieser quälend langen und verdrehten Geschichte des Datenschutzes (der fehlenden Durchsetzung), wenn sich die Räder der europäischen Regulierungsbehörden so schnell drehen würden, dass die Datenströme von Facebook diesen Sommer tatsächlich eingestellt würden.
Plus – angesichts paralleler Berichte, dass die Verhandlungen zwischen der EU und den USA zum Abschluss des Ersatzes für den nicht mehr funktionierenden Datenschutzschild-Datenübertragungsmechanismus ins Stocken geraten sind, seit im März eine politische Einigung darüber erzielt wurde, und möglicherweise nicht mehr bis Ende des Jahres abgeschlossen werden ( wie der Block zuvor vorgeschlagen hat) – Zyniker könnten vorschlagen, dass ein Leck jetzt über die Blockierung von Facebooks Datenflüssen ein strategischer Trick sein könnte, um die Räder dieser hochrangigen Gespräche zu schmieren.
Die Gesetzgeber der Kommission werden sicherlich keine Sommerschlagzeilen über die Sperrung des Facebook-Zugangs der Europäer lesen – selbst wenn das Unternehmen selbst nach Jahren der Datenschutzskandale weiterhin einen schlechten Ruf in der breiten Masse der EU-Institutionen hat.
Auch Max Schrems, Anwalt und europäischer Datenschutzbeauftragter, der 2013 die ursprüngliche Facebook-Datentransferbeschwerde eingereicht hat, bezweifelt, dass die heutige Entwicklung zu einer schnellen Lösung führen wird.
Im ein Statement Als Reaktion auf Presseberichte über den Entscheidungsentwurf sagte er, er erwarte, dass Verfahrenseinwände den Vollstreckungsprozess weiter in die Länge ziehen werden – möglicherweise für viele weitere Monate oder sogar ein Jahr.
„Wir erwarten, dass andere DPAs Einwände erheben, da einige wichtige Themen im DPC-Entwurf nicht behandelt werden“, schrieb er. „Dies wird zu einem weiteren Entwurf und dann zu einer Abstimmung führen. In anderen Fällen dauerte dies insgesamt ein weiteres Jahr, da die Datenschutzbehörde die Kommentare anderer Datenschutzbehörden nicht freiwillig umsetzte und mehr als ein halbes Jahr brauchte, um den Fall zur Abstimmung weiterzuleiten“, schrieb er in einer Antwort, die auf der Website von veröffentlicht wurde noybseine Datenschutzrechte gemeinnützig.
Also – tl;dr – wetten Sie nicht, dass die Farm auf Facebook vor dem neuen Schuljahr in Europa geschlossen wird.
Schrems weist auch darauf hin, dass der Entscheidungsentwurf, der von der DPC an andere EU-Datenschutzbehörden weitergegeben wurde, immer noch keine Entscheidung über seine ursprüngliche Beschwerde ist. Das liegt daran, dass die Regulierungsbehörde neben seiner Beschwerde eine Untersuchung auf eigenen Wunsch eingeleitet hat, auf die sich dieser Entscheidungsentwurf bezieht. Seine Beschwerde ist also immer noch sehr ungelöst – was die Herausforderung für die Bürger unterstreicht, die EU-Rechte, die sie auf dem Papier haben, gegen mächtige Technologiegiganten auszuüben.
Das ist auch der Grund, warum Schrems seine Wartezeit auf die Durchsetzung auf neun Jahre beziffert (es sind auch zwei Jahre seit der wegweisenden Entscheidung des EuGH vergangen, die den EU-US-Privacy-Shield-Mechanismus zunichte gemacht hat, und dennoch fließen die Daten von Facebook immer noch).
Schrems erwartet auch noch weitere Verzögerungen bei der Durchsetzung – er sagt voraus, dass der Technologieriese die Küchenspüle darauf werfen wird, gegen jede Verfügung zu klagen; und die Frage, warum die DPC (scheinbar) in diesem Fall nicht nach einer Geldstrafe strebt, die seiner Meinung nach hier tatsächlich ein nützlicher Durchsetzungshebel sein könnte, insbesondere wenn sie auf seine ursprüngliche Beschwerde zurückdatiert wird …
„Facebook wird das irische Rechtssystem nutzen, um ein tatsächliches Verbot von Datenübermittlungen zu verzögern“, prognostiziert er in den vorbereiteten Bemerkungen. „Irland muss die Polizei schicken, um die Kabel physisch zu durchtrennen, bevor diese Transfers tatsächlich aufhören. Was jedoch einfach wäre, wäre eine Geldstrafe für die vergangenen Jahre, in denen der EuGH die Übertragungen eindeutig als rechtswidrig bezeichnet hat. Es ist seltsam, dass die DPC in diesem Fall die einzig wirksame Strafe zu „vergessen“ scheint. Man könnte den Eindruck bekommen, dass die DPC nur will, dass sich dieser Fall immer wieder im Kreis dreht.“
Verzögerungen scheinen eine Selbstverständlichkeit zu sein.
Als die DPC im Februar eine überarbeitete Entscheidung über die Beschwerde an Meta schickte, teilte uns die Aufsichtsbehörde mit, dass dieser Verfahrensschritt im April durchgeführt werden würde – selbst dieser Schritt hat also ohne ersichtlichen Grund Monate länger gedauert als erwartet. (Wir haben nachgefragt – aber Doyle sagte nur, es habe „ein paar Wochen länger“ gedauert als erwartet.)
Ein Meta-Sprecher, der um einen Kommentar zum DPC-Entscheidungsentwurf gebeten wurde, der zur Überprüfung an andere Datenschutzbehörden geschickt wurde, versuchte, die gesamte Beschwerde herunterzuspielen, indem er vorschlug, dass ein neues Datenübermittlungsabkommen zwischen der EU und den USA bald seine rechtlichen Probleme lösen werde.
Hier ist Metas Aussage:
„Dieser Entscheidungsentwurf, der von europäischen Datenschutzbehörden überprüft werden muss, betrifft einen Konflikt zwischen EU- und US-Recht, der derzeit gelöst wird. Wir begrüßen das Abkommen zwischen der EU und den USA für einen neuen Rechtsrahmen, der die kontinuierliche Übermittlung von Daten über Grenzen hinweg ermöglicht, und wir erwarten, dass dieser Rahmen es uns ermöglichen wird, Familien, Gemeinschaften und Volkswirtschaften in Verbindung zu halten.“
Was Meta nicht erwähnt, ist, dass jeder neue EU-US-Datenübertragungsvertrag nach seiner Annahme wahrscheinlich vor einer neuen rechtlichen Herausforderung stehen wird.
Datenschutzexperten erwarten auch, dass es dieses (dritte) Mal weniger Zeit in Anspruch nehmen wird, bis eine solche Klage vor dem EuGH eingereicht wird, und weisen darauf hin, dass sich das Gericht auch bereit gezeigt hat, Urteile zu beschleunigen, wenn Risiken für die Rechte von EU-Bürgern bestehen. Grundrechte – wenn Meta also auf eine Strategie setzt, seine regionalen Datenschutzprobleme ständig in das legale lange Gras zu treten, kann es endlich – endlich! – feststellen, dass er die Straße verlässt und zu einem harten Stopp gezwungen wird.
Aber die Chancen, dass Facebooks Dienstlichter diesen Sommer in Europa abgeschaltet werden, sind verschwindend gering.