Wie die IAPP berichtet, deuten zwei öffentlich zugängliche Dokumente von Meta darauf hin, dass die irische Datenschutzbehörde (DPC) bald die Datenübermittlung zwischen der EU und den USA für die Facebook-Plattform aussetzen und eine Geldstrafe gegen Meta verhängen könnte. Wie die Irish Times berichtet, könnte die Entscheidung bereits am 12. Mai fallen.
Je nachdem, wie sich die Dinge entwickeln, könnte dies zu einem vorübergehenden Blackout von Facebook in Europa führen. Dieser aufsehenerregende Fall wird mit Sicherheit einen Präzedenzfall schaffen und könnte sich auf das digitale Leben von Millionen von Menschen auswirken.
(Aktualisierung: Die Anordnung zur Aussetzung der Datenübermittlung traf am 22. Mai ein, zusammen mit einer Rekordstrafe von 1,2 Milliarden Euro. Wir haben die Entscheidung in einem anderen Blog untersucht)
- Was steht in den Dokumenten?
- Die Geschichte bis jetzt
- Die rechtlichen Fragen
- Wie geht es weiter?
- Was bedeutet die Entscheidung für die Datenübermittlung?
- Abschließende Überlegungen
Tauchen wir ein!
Was steht in den Dokumenten?
Die beiden Dokumente (ein Gewinnbericht und ein bei der US-Börsenaufsicht eingereichtes Formular ) sind lang und behandeln viele verschiedene Themen.
Auf Seite 3 des vierteljährlichen Gewinnberichts von Meta heißt es:
Wir erwarten, dass die irische Datenschutzkommission (IDPC) im Mai eine Entscheidung treffen wird (...), die eine Aussetzungsanordnung (...) und eine Geldstrafe beinhaltet. Unsere laufenden Konsultationen mit politischen Entscheidungsträgern auf beiden Seiten des Atlantiks deuten weiterhin darauf hin, dass der vorgeschlagene neue Datenschutzrahmen zwischen der EU und den USA vor Ablauf der Frist für die Aussetzung solcher Übermittlungen vollständig umgesetzt sein wird, aber wir können nicht ausschließen, dass er nicht rechtzeitig fertiggestellt wird.
Das Q-10-Formular enthält weitere Einzelheiten auf Seite 54:
Sobald die endgültige Entscheidung ergangen ist, werden wir die Möglichkeit haben, Berufung einzulegen und eine Aussetzung zu beantragen. Eine Anordnung zur Aussetzung des Datentransfers würde nach einer gewissen Zeit in Kraft treten, es sei denn, ein neuer Rahmen für den transatlantischen Datentransfer wird vor diesem Zeitpunkt fertiggestellt oder der IDPC revidiert die Aussetzungsanordnung aufgrund einer wesentlichen Änderung des US-Rechts.
Wir halten die Dokumente für zuverlässig. Es ist nicht ungewöhnlich, dass die Parteien eines Verfahrens Insiderinformationen über das Ergebnis haben, bevor eine Entscheidung veröffentlicht wird. Dies gilt insbesondere für einen Tech-Giganten, der über umfangreiche Verbindungen und Lobbying-Möglichkeiten verfügt.
Die Geschichte bis jetzt
Die Geschichte ist mittlerweile lang, also schnappen Sie sich ein Sandwich (oder überspringen Sie den Artikel - wir nehmen es Ihnen nicht übel).
Alles begann im Jahr 2013, als der NSA-Whistleblower Edward Snowden vertrauliche Dateien über die Arbeit der Behörde veröffentlichte, darunter die groß angelegten elektronischen Überwachungsprogramme Upstream und Prism.
Snowdens Enthüllungen veranlassten Max Schrems (ja, der Mann aus den Urteilen Schrems I und II), bei der österreichischen Datenschutzbehörde eine Beschwerde gegen die Datenübermittlung von Facebook an die USA einzureichen. Er behauptete, dass aufgrund des massiven Ausmaßes und des wahllosen Charakters der elektronischen Überwachung durch die US-Regierung die Datenübermittlung an Facebook in den USA die Vertraulichkeit personenbezogener Daten nicht gewährleisten könne.
Die österreichische Behörde leitete die Beschwerde an ihr irisches Pendant weiter, da Facebook seine wichtigste europäische Niederlassung in Irland hat. Dies war der Beginn eines nicht enden wollenden Rechtsstreits, in dem Facebook versuchte, eine endgültige Entscheidung auf jede erdenkliche Weise hinauszuzögern. Ein Jahrzehnt lang ging der Fall zwischen der DPC, den irischen Gerichten und dem EU-Gerichtshof hin und her.
Die Entscheidungen des Gerichtshofs hatten einen sehr großen Einfluss auf das europäische Datenschutzrecht. Im Jahr 2015 wurde mit dem Urteil in der Rechtssache Schrems I das Safe-Harbor-Abkommen für ungültig erklärt, das die Datenübermittlung zwischen der EU und den USA erheblich vereinfachte. Das Safe Harbor-Abkommen wurde durch ein neues Abkommen, das so genannte Privacy Shield, ersetzt, das jedoch im Urteil Schrems II im Jahr 2020 erneut vom Gerichtshof für ungültig erklärt wurde.
Ein Jahrzehnt und zwei bahnbrechende Urteile später erarbeitete die Datenschutzbehörde schließlich einen Beschluss zur Aussetzung von Datenübermittlungen und legte ihn dem Europäischen Datenschutzausschuss (der EU-Institution, in der alle Datenschutzbehörden vertreten sind) vor. Der EDPB hat die Angelegenheit letzten Monat mit einer noch nicht veröffentlichten Entscheidung beigelegt. Die Entscheidung des EDSB ist für die Datenschutzbehörde verbindlich, aber sie hat immer noch einen gewissen Spielraum, auch bei der Festsetzung der Geldbußen.
Die rechtlichen Fragen
Eine Entscheidung liegt noch nicht vor, aber angesichts des Schrems-II-Urteils und der jüngsten Entscheidungen gegen Google Analytics lässt sich leicht erahnen, welche rechtlichen Fragen auf dem Spiel stehen.
Wenn ein europäischer Nutzer auf Facebook surft, werden seine Daten von mehreren mit Meta verbundenen Unternehmen verarbeitet. Die wichtigsten sind Meta Platforms und seine wichtigste europäische Tochtergesellschaft, Meta Platforms Ireland. Da Meta Platforms selbst den Großteil der Datenverarbeitung vornimmt, benötigt Facebook einen Datentransfer in die USA, um zu funktionieren.
Datenübermittlungen in die USA sind seit dem Schrems-II-Urteil problematisch. Unternehmen, die Daten in die USA (und andere "unsichere" Länder) übermitteln, müssen ausreichende Maßnahmen ergreifen, um personenbezogene Daten vor staatlicher Überwachung zu schützen. Diese Maßnahmen müssen zusätzlich zu Datenübertragungsmechanismen wie Standardvertragsklauseln oder verbindlichen Unternehmensregeln eingeführt werden, die für die meisten Nicht-EU-Länder eine Standardanforderung darstellen.
Meta verlässt sich bei der Datenübermittlung auf Standardvertragsklauseln, aber es ist nicht klar, ob das Unternehmen ausreichende zusätzliche Sicherheitsvorkehrungen getroffen hat, um personenbezogene Daten vertraulich zu halten. Falls nicht, verstößt die Datenübermittlung von Meta Ireland an die Muttergesellschaft gegen die Datenschutz-Grundverordnung.
Und höchstwahrscheinlich hat es das nicht getan. Dies ist genau das gleiche Problem, mit dem Google in einer koordinierten Reihe von Beschwerden konfrontiert ist, die von noyb (einer von Schrems selbst gegründeten Nichtregierungsorganisation) eingereicht wurden, und der Grund, warum fünf europäische Datenschutzbehörden Google Analytics praktisch aus ihren jeweiligen Ländern verbannt haben. Es gibt keine einfache Lösung, auch nicht für ein so großes Unternehmen wie Google.
Um es klar zu sagen: Es gibt technische Maßnahmen, die die Datenübermittlung sicherer machen können, aber sie sind nur für bestimmte Arten von Diensten praktikabel (einige davon haben wir hier besprochen). Tatsächlich sind seit den Beschwerden von noyb bereits drei Jahre vergangen, und Google hat noch immer keine Lösung gefunden. Wir gehen davon aus, dass auch Meta keine gefunden hat. Wenn das Unternehmen noch Karten im Ärmel hätte, hätte es diese schon längst ausgespielt, anstatt einen Blackout von Facebook zu riskieren.
Wie geht es weiter?
Die Entscheidung wird nicht das Ende von Facebook in Europa bedeuten, aber sie könnte zu einem vorübergehenden Blackout des Dienstes in der EU und dem EWR führen, was von zwei Faktoren abhängt.
Der erste Faktor ist der Zeitfaktor. Die EU und die USA haben sich auf den Transatlantischen Datenschutzrahmen geeinigt - einen weiteren Rahmen für den Datentransfer, der das Privacy Shield ersetzen soll. Dieser Rahmen wird in den EU-Rechtsrahmen aufgenommen, wenn die Europäische Kommission einen Angemessenheitsbeschluss erlässt - ein Akt, der im Wesentlichen ein Nicht-EU-Land als sicheres Zielland "grünes Licht" gibt und problemlose Datenübertragungen ermöglicht.
(Nebenbei bemerkt, wird der neue Rahmen sicherlich von der Noyb angefochten werden. Wir stehen vor einer Schrems-III-Entscheidung, und es ist schwer vorherzusagen, wie sie ausfallen wird. Aber das ist für Meta noch kein dringendes Thema).
Ein Angemessenheitsbeschluss wurde bereits ausgearbeitet und muss derzeit von den Mitgliedstaaten genehmigt werden. Es ist wahrscheinlich, dass sie verabschiedet wird, aber es ist nicht klar, wann das geschehen wird.
Den Unterlagen zufolge erwartet Meta, dass die Aussetzungsanordnung der Datenschutzbehörde mit einer Frist versehen wird. Daher hängt die Kontinuität des Dienstes für Facebook vom Zeitpunkt der Angemessenheitsentscheidung ab. Wird die Angemessenheitsentscheidung vor Ablauf der Frist erlassen, kann sich Meta bei der Datenübermittlung auf die Entscheidung stützen und den Dienst weiter anbieten. Kommt die Entscheidung jedoch zu spät, könnte Meta gezwungen sein, den Dienst in der Zwischenzeit auszusetzen. Meta ist etwas optimistisch, dass die Entscheidung rechtzeitig kommt, aber nicht ganz sicher.
Der zweite Faktor, der eine Rolle spielt, ist der Ausgang von Metas zukünftigen rechtlichen Schritten. Meta beabsichtigt, die Entscheidung anzufechten und eine Aussetzung der Aussetzungsanordnung zu beantragen - vermutlich bis zur Abstimmung über die Angemessenheitsentscheidung innerhalb der Europäischen Kommission. Eine Aussetzung könnte Meta die Zeit verschaffen, den europäischen Nutzern weiterhin Facebook zur Verfügung zu stellen, bis die Datenübermittlung gemäß der Angemessenheitsentscheidung wieder aufgenommen werden kann.
Was bedeutet die Entscheidung für die Datenübermittlung?
Natürlich hat dieser Fall Auswirkungen, die weit über Facebook hinausgehen. Viele US-Dienstleister bewegen sich mit ihren Datenübermittlungen auf dünnem Eis. Angesichts der Beteiligung des EDSB könnte dieser Fall einen sehr wichtigen Präzedenzfall schaffen, insbesondere wenn der neue Rahmen für die Datenübermittlung Schrems III nicht übersteht.
Viele US-Unternehmen, darunter Tech-Giganten wie Google und Apple, haben ihre europäischen Niederlassungen in Irland. Unter diesem Gesichtspunkt könnte ein irischer Präzedenzfall besonders störend für den Datentransfer zwischen der EU und den USA sein.
Andererseits steht die Datenschutzbehörde in dem Ruf, nicht sonderlich proaktiv zu sein. Immerhin dauerte es zehn Jahre, zwei Urteile des Europäischen Gerichtshofs und die direkte Beteiligung des Europäischen Datenschutzbeauftragten, bis der Fall entschieden war. Die Datenschutzbehörde wird also wahrscheinlich nicht gleich morgen gegen die Datenübermittlung vorgehen.
Abschließende Überlegungen
Es hat eine Weile gedauert, aber jetzt wird die Datenschutz-Grundverordnung endlich energisch durchgesetzt. Fünf Datenschutzbehörden haben bereits gegen Google Analytics Stellung bezogen, und Facebook wird wahrscheinlich der nächste sein. Meta wurde kürzlich von der Datenschutzbehörde mit einer Geldstrafe in Höhe von 390 Millionen Euro belegt, weil es Nutzer unrechtmäßig mit personalisierter Werbung angesprochen hat, und könnte aus denselben Gründen in einer Sammelklage hohen Schadenersatz zahlen müssen.
Warum sollten wir uns Sorgen machen?
Beim Datenschutz geht es um mehr als nur um Gesetze, Vorschriften und Geldbußen. Datenschutz ist ein Menschenrecht. Wir bei Simple Analytics sind der Meinung, dass das Internet ein Ort sein sollte, der freundlich zu Website-Besuchern ist und die Privatsphäre respektiert. Aus diesem Grund haben wir eine Alternative zu Google Analytics entwickelt, die weder Cookies noch persönliche Daten verwendet. Wenn Sie sich davon angesprochen fühlen, können Sie uns gerne ausprobieren!