Datenschutzbeobachter, die sich mit den regulatorischen Argumenten befassen möchten, die Anfang dieses Monats zwei wichtige Entscheidungen gegen Meta untermauerten – die den Anspruch von Facebook und Instagram auf vertragliche Notwendigkeit als gültige Rechtsgrundlage für die Durchführung von verhaltensbasierter Werbung für Benutzer in der Europäischen Union zunichte machten – können nun die Detail nach dem Beschwerdeführer, Datenschutzgruppe noybhat die Entscheidungsunterlagen online veröffentlicht.
Sie können die 188-Seite finden Facebook-Entscheidung hier und die 196-Seite Instagram-Entscheidung hier – beide enthalten Schwärzungen von Meta, da es erlaubt war, kommerziell sensible Informationen zu entfernen, sodass einige saftige Details fehlen.
(Zum Beispiel wurde ein Absatz im Facebook-Dokument, in dem das Unternehmen eine Schätzung darüber angibt, wie lange es dauern wird, um die Compliance-Anordnungen umzusetzen, zusammen mit einem anderen Satz aus diesem Abschnitt, in dem die damit verbundene Arbeit detailliert beschrieben wird. Also wir kann nur spekulieren, ob hier tatsächlich Wörter verdeckt wurden – oder nur eine Reihe schreiender Emojis.)
Metas führende Datenschutzbehörde, die Irish Data Protection Commission (DPC), erließ die endgültigen Entscheidungen, aber erst nach mehr als einem Jahr Streit mit über EU-Datenschutzbehörden, die mit ihrem Entscheidungsentwurf nicht einverstanden waren (der nicht dagegen war, dass Meta vertragliche Notwendigkeit gegenüber Microtarget geltend machte Anzeigen); und zuletzt nach Einbeziehung einer verbindlichen Entscheidung des Europäischen Datenschutzausschusses (EDPB) – der den Streit beilegte, indem er den DPC zwang, Metas Anspruch auf vertragliche Notwendigkeit zurückzuweisen.
Der EDPB forderte Meta außerdem auf, die Geldstrafe, die Meta wegen Verstoßes gegen die EU-Datenschutz-Grundverordnung (DSGVO) verhängt wurde, erheblich zu erhöhen.
Obwohl der Name und das Markenzeichen der irischen DPC auf diesen Dokumenten zu finden sind, sind sie das Produkt eines Co-Regulierungsprozesses, der über einen Kooperationsmechanismus zur Bearbeitung grenzüberschreitender Fälle in die DSGVO eingebrannt ist.
Details in dem Dokument führen bereits zu neuen Angriffen auf die DPC wegen ihres viel kritisierten Ansatzes zur Durchsetzung der DSGVO – wobei noyb hinterfragt, warum die irische Regulierungsbehörde die (verbindliche) EDPB-Entscheidung geändert hat – die sie angefordert hatDreimonatiger Zeitraum für die Erfüllung der Anordnung ab dem Zeitpunkt der Zustellung der Anordnung (auch bekannt als irgendwann im Dezember) – bis zur Zustellung der DPC-Entscheidung (irgendwann im Januar). „Diese Abweichung des DPC von der EDPB-Entscheidung scheint rechtswidrig zu sein“, argumentiert noyb.
Es stellt sich auch in Frage, dass der DPC den Geltungsbereich der EDPB-Entscheidung offensichtlich einschränkt – um sie zu begrenzen Verarbeitung nur für Werbung.
„Es scheint, dass andere Aspekte der Beschwerde nicht von der DPC behandelt wurden, was an sich illegal sein könnte“, schlägt sie vor.
noyb äußert auch Bedenken hinsichtlich der Höhe der von der irischen Regulierungsbehörde verhängten finanziellen Sanktionen – die der DPC vom EDPB neu bewerten und im Einklang mit seiner verbindlichen Entscheidung, dass ein Verstoß gegen die Rechtsgrundlage (und gegen das Fairness-Prinzip der DSGVO) vorliegt, erheblich erhöhen musste ), nicht nur der Transparenz, wie die DPC ursprünglich entschieden hatte.
Die Datenschutzgruppe weist darauf hin, dass sich die irische Aufsichtsbehörde dafür entschieden hat, die kleinste Sanktion in Bezug auf „die tatsächliche rechtswidrige Verarbeitung personenbezogener Daten von Millionen von EU-Nutzern“ zu verhängen – nur 60 Millionen Euro im Fall von Facebook und 50 Millionen Euro im Fall von Instagram , was nur einen winzigen Bruchteil der Einnahmen ausmacht, die Meta in diesem Zeitraum durch die unrechtmäßige Verarbeitung von Personendaten erzielen konnte.
noyb warnt weiter, dass die Entscheidungen der DPC einen Fall möglicherweise nicht beenden, der sich bereits mehr als 4,5 Jahre seit der Einreichung der ursprünglichen Beschwerden über die „erzwungene Zustimmung“ im Mai 2018 angehäuft hat – da es argumentiert, dass die Ergebnisse der Aufsichtsbehörde nicht vollständig erscheinen seine Beschwerden bearbeiten, da sich die Entscheidungen auf personalisierte Werbung konzentrieren und Themen wie die Verwendung personenbezogener Daten zur Verbesserung der Facebook-Plattform oder für personalisierte Inhalte (die ebenfalls eine gültige Rechtsgrundlage nach EU-Recht erfordern) nicht abdecken.
Ein weiteres Problem, das noyb hervorhebt, ist die Weigerung des DPC, zusätzliche Untersuchungen durchzuführen, die vom EDPB gefordert werden – etwas, das das DPC als gerichtliche Überschreitung anficht und versucht, es zu annullieren, wie wir Anfang dieses Monats berichteten.
Es weist auch auf einen weiteren Konflikt hin, von dem es sagt, dass es dazu führen könnte, gegen die Entscheidung Berufung einzulegen – und weist darauf hin Nach österreichischem oder deutschem Recht (auch bekannt als das Gesetz, das für noyb gilt) definiert die Beschwerde den Umfang des Verfahrens – während die DPC der Ansicht ist, dass sie nach irischem Recht den Umfang einer Beschwerde einschränken kann, und fügt hinzu: „noyb kann aus diesen Gründen Berufung gegen die Entscheidung einlegen.“
Der DPC wurde um einen Kommentar gebeten.