Weil User-Daten aus der EU über Metas Tracking Tools in die USA gelangen und dort potentiell einer Überwachung durch die Regierungsbehörden und Geheimdienste ausgesetzt sind, gilt das Tracking des Tech-Konzerns laut Datenschutzbehörde Österreichs nicht als DSGVO-konform. Es ist nicht das erste Mal, dass Metas Diensten ein Verstoß gegen die EU-Datenschutzregeln attestiert wird. Diese Entscheidung könnte jedoch weitreichende Folgen haben. Vor allem, da es noch keine Klarheit über den regulären Datentransfer zwischen der EU und den USA gibt.
“Austria’s data protection authority has found that the use of Meta’s tracking technologies violated EU data protection law as personal data was transferred to the US where the information was at risk from government surveillance.”https://t.co/U4UlZXmaK3
— noyb (@NOYBeu) March 20, 2023
Kein angemessenes Schutzniveau nach Art. 44 DSGVO – Metas Datentransfer weiterhin problematisch
Eine Beschwerde der Datenschutzorganisation noyb war der Entscheidung der österreichischen Datenschutzbehörde vorausgegangen. In dieser heißt es hinsichtlich einer Datenübertragung im Rahmen der Nutzung des Facebook Pixels auf einer lokalen News Website, dass für den Transfer der personenbezogenen User-Daten (im Jahr 2020) „kein angemessenes Schutzniveau gemäß Art. 44 DSGVO“ gewährleistet werden konnte. In diesem Artikel der Datenschutz-Grundverordnung heißt es:
Jedwede Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die in diesem Kapitel niedergelegten Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten aus dem betreffenden Drittland oder der betreffenden internationalen Organisation an ein anderes Drittland oder eine andere internationale Organisation. Alle Bestimmungen dieses Kapitels sind anzuwenden, um sicherzustellen, dass das durch diese Verordnung gewährleistete Schutzniveau für natürliche Personen nicht untergraben wird.
Als Erwägungsgründe erkennt das EU-Gesetz „Grundsätze des internationalen Datenverkehrs“ sowie „Internationale Abkommen für angemessenes Schutzniveau“ an. Ein solches Abkommen bestand zwischen der EU und den USA lange Zeit in Form des sogenannten Privacy Shields. Dieses Abkommen wurde jedoch 2020 vom Europäischen Gerichtshof für ungültig erklärt. Demnach durften persönliche Daten, die beispielsweise Facebook von Bürger:innen der EU sammelt, im Rahmen dieses Abkommens nicht mehr von den irischen Tochterunternehmen an die Zentrale in den USA übertragen werden. Genau dieses Vorgehen hatte der österreichische Jurist und Datenschutzaktivist Max Schrems bei der irischen Datenschutzbehörde beanstandet. Diese hatte den Fall an den EuGH verwiesen.
Nach diesem sogenannten Schrems II-Urteil befand sich der Transfer personenbezogener Daten von der EU in die USA lange Zeit in einer Grauzone. Meta dachte 2022 sogar öffentlich über einen Rückzug von Instagram und Facebook aus Europa nach, sollte keine Nachfolgelösung für den Privacy Shield gefunden werden. Eine solche wurde im März vergangenen Jahres dann in Form eines vorläufigen Abkommens über den transatlantischen Datenverkehr gefunden. Dieses Abkommen ist jedoch noch immer nicht als bindender Vertrag implementiert worden. Und selbst wenn es so weit ist, dürften die Überwachungsszenarien durch Geheimdienstbehörden – die Meta im Transparency Report auch dokumentiert – in den USA die Rechtmäßigkeit im Rahmen der DSGVO erneut infrage stellen.
Meta gibt sich unbeeindruckt
Die Datenschutzorganisation noyb hatte 2020 101 Beschwerden eingereicht, um den unrechtmäßigen Einsatz von Meta Tracking Tools, aber auch Google Analytics in der EU zu unterbinden. Konzerne wie Microsoft, Meta und Alphabet haben sich auch nach dem Ende des Privacy Shields auf sogenannte Standardvertragsklauseln verlassen. Doch Cybersicherheitsexpertin Jana Krahforst erklärte uns bereits 2020:
Der EuGH hat EU-Standardvertragsklauseln zwar nicht allgemein für ungültig erklärt, fordert aber, dass geprüft wird, ob in dem betreffenden Drittland angemessen durchsetzbare Rechte und wirksame Rechtsbehelfe bestehen. Die Aufsichtsbehörden können Datentransfers also von nun an trotz bestehender EU-Standardvertragsklauseln untersagen. Für einen Großteil des Datenaustauschs mit den USA könnten EU-Standardvertragsklauseln demnach möglicherweise nicht mehr ausreichen.
Nun sieht Max Schrems, der Vorsitzende von noyb, in der Entscheidung der Datenschutzbehörde aus Österreich die Bestätigung dafür, dass der Einsatz von Facebooks Tracking Pixeln illegal ist. Er erklärt in seinem Statement:
Facebook has pretended that its commercial customers can continue to use its technology, despite two Court of Justice judgments saying the opposite. Now the first regulator told a customer that the use of Facebook tracking technology is illegal.
Meta aber reagiert mit einem eigenen Statement – das Natascha Lomas und TechCrunch vorliegt – und gibt an, die Entscheidung basiere nur auf einem historischen Einsatz des Tools und beeinträchtige aktuelle Nutzungen nicht:
This decision is based on historical circumstances and only relates to a single company in connection with its use of Facebook Pixel and Facebook Login on a single day in 2020. While we disagree with many aspects of the decision, it does not impact how businesses can use our products. This case stems from a conflict between EU and US law which is in the process of being resolved.
Welche Lösungen für den Bruch mit der DSGVO gibt es?
Viele Websites setzen auch in der EU weiterhin auf Tracking Tools von Meta. Das ist nach Ansicht von noyb aufgrund des Mangels an Datenschutz in den USA nicht zulässig. Meta jedoch verweist auf die neue Kompromisslösung als Nachfolge des Privacy Shields, die den legitimen Transfer personenbezogener Daten gewährleisten soll. Als Lösung für die rechtlich noch immer undurchsichtige Situation und folgende Datentransfers sieht noyb wiederum nur zwei Optionen: Entweder die USA stellen ein Sicherheitssystem für Daten aus EU-Ländern auf, das den Zugriff durch US-Behörden untersagt, oder die Tech-Konzerne wie Meta müssen diese Daten außerhalb der US-Zentren speichern.
Einen Ansatz wie letzteren verfolgt derzeit auch das vom chinesischen Konzern ByteDance geführte Unternehmen TikTok. Rechenzentren in Irland und Norwegen sollen EU-User-Daten speichern, um deren Sicherheit zu gewährleisten. TikTok wird von einigen Politiker:innen und Behörden verdächtigt, Daten an die chinesische Regierung weitergeben zu können – was das Unternehmen dementiert. Viele Medienhäuser und Regierungen verbieten derzeit den Einsatz von TikTok auf Dienstgeräten. Ein ähnliches Szenario ist für Meta-Dienste nicht zu erwarten.
Die vollständige Entscheidung der österreichischen Datenschutzbehörde kannst du im von noyb bereitgestellten Dokument nachlesen. Dabei handelt es sich nicht um den ersten DSGVO-Verstoß Metas. 2022 wurden 17 Millionen Euro Strafe für zwölf explizite Verstöße gegen die Verordnung fällig, 2021 wurde gegen Meta von der irischen Data Protection Commission (DPC) eine Strafzahlung in Höhe von 225 Millionen Euro, da das Unternehmen WhatsApp Usern nicht deutlich gemacht habe, wie personenbezogene Daten verwendet und mit Facebook geteilt werden. Und erst Anfang dieses Jahres hat dieselbe Datenschutzbehörde Meta eine Strafzahlung von 390 Millionen Euro wegen DSGVO-Verstößen beim Ad Targeting auferlegt.
Digital Bash – Cyber Security powered by Bitdefender
Powered by WPeMatico
