Die irische #Datenschutzbehörde (»DPC«) legte den anderen europäischen Datenschutzbehörden einen »Entscheidungsentwurf« bezüglich des juristischen Tricks vor, mit dem Facebook die #DSGVO umgeht. Heute veröffentlichte »#noyb« die entsprechenden Dokumente.
Nach Ansicht der irischen »DPC« kann Facebook die Einwilligung zur Datenverarbeitung einfach in einen »Vertrag« verschieben, wodurch die Vorraussetzung der DSGVO für eine »#Einwilligung« nicht mehr gelten würden. Da Facebook diesen juristischen Winkelzug nicht ausreichend transparent gemacht habe, schlägt die Behörde eine Strafe in Höhe von 28 bis 36 Millionen Euro vor.
Zustimmung zur Datennutzung ist keine »Einwilligung«? Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als »Vertrag« nach Artikel Sechs, Absatz Eins b, DSGVO, statt als »Einwilligung« nach Artikel Sechs, Absatz Eins a, DSGVO, ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten. Facebook könnte daher sämtliche verfügbaren Daten für alle seine Dienste nutzen – Werbung und Online-Tracking eingeschlossen. Facebook müsste Nutzer dann nicht mehr um eine freiwillige Einwilligung bitten oder ihnen die Möglichkeit geben, diese jederzeit zu widerrufen. Diese Umstellung von »Einwilligung« auf »Vertrag« erfolgte am 25. Mai 2018 um Mitternacht – exakt zu dem Zeitpunkt, als die DSGVO in #Europa in Kraft trat.
Schrems: »Es ist völlig offensichtlich, dass #Facebook die klaren Regeln der DSGVO umgehen möchte, indem es die Vereinbarung einfach umbenennt. Wenn dieser Trick akzeptiert würde, könnte jedes Unternehmen die Verarbeitung von Daten einfach in einen Vertrag schreiben und damit jegliche Verwendung von Kundendaten ohne Zustimmung legitimieren. Das steht jedoch im klaren Widerspruch zur DSGVO, die es ausdrücklich verbietet, Einwilligungen in Allgemeinen Geschäftsbedingungen zu verstecken.«
Illegal seit der Römerzeit. Bereits bei den Römern besagte das Gesetz, dass Sachverhalte als das behandelt werden müssen, was sie tatsächlich sind (objektiver Inhalt), und nicht als was sie bezeichnet werden.
Schrems: »Es ist weder innovativ noch klug, eine Vereinbarung einfach umzubennen, um das Gesetz zu umgehen. Bereits bei den Römern haben die Gerichte eine solche ›Umetikettierung‹ von Vereinbarungen nicht akzeptiert. Wenn Sie Kokain verkaufen und auf die Rechnung ›weißes Pulver‹ schreiben, verstoßen Sie dennoch gegen das Suchtmittelgesetz und machen sich strafbar. Nur die irische Datenschutzbehörde scheint auf diesen Trick reinzufallen.«
64 Prozent der Facebook-Nutzer sehen eine »Einwilligung«, »DPC« stellt sich dennoch auf die Seite von #Facebook. Um die tatsächliche Bedeutung der Vereinbarung zu beurteilen, hat »noyb« das Gallup-Institut mit einer objektiven Studie beauftragt: Von 1.000 Facebook-Nutzern sahen nur 1,6 Prozent einen Vertrag über Werbung (wie von Facebook behauptet). 64 Prozent sahen die Vereinbarung als »Einwilligung«. Der Rest war sich über die rechtliche Bedeutung der Vereinbarung nicht im Klaren, was an sich Fragen aufwirft ob Nutzer:innen tatsächlich eingewilligt haben.
»DPC« von europäischen Kollegen »einfach nicht überzeugt«. Auf europäischer Ebene haben die Datenschutzbehörden Leitlinien herausgegeben, wonach eine solche »Umgehung« der Datenschutz-Grundverordnung illegal ist und als Einwilligung behandelt werden muss. Von dieser Sicht der anderen europäischen Behörden ist die irische Datenschutzbehörde laut eigener Aussage jedoch »einfach nicht überzeugt«.
Zehn geheime Treffen mit Facebook zum Thema »Umgehung der Einwilligung«. Die überraschende Entscheidung basiert wahrscheinlich auf einem Deal zwischen Facebook und der DPC aus dem Frühjahr 2018, der in zehn geheimen Treffen ausverhandelt wurde. Die Behörde argumentiert zwar, dass diese damit nichts zu tun hatten, dennoch bezieht sie sich im aktuellen Entscheidungsentwurf auf »spezifische Analysen«, die sie Facebook zur Verfügung gestellt hat. Auch Facebook hat sich vor einem Gericht in Wien auf diese Abmachung berufen. Trotz mehrfacher Anfragen weigert sich die »DPC«, Zugang zu den fraglichen Unterlagen zu gewähren und Details über ihre Zusammenarbeit mit Facebook offenzulegen. In der Entscheidung nennt die Behörde die Kritik »unsubstantiiert«.
Schrems: »Die Behörde hat zusammen mit Facebook den Trick zur Umgehung der DSGVO entwickelt, für den sie nun grünes Licht gibt. Anstelle also ›Big Tech‹ zu regulieren, ist die DPC anscheinend eher Berater der Konzerne.«
28 bis 36 Millionen Euro Strafe – wegen mangelnder Umgehungs-Transparenz.Obwohl laut »DPC« die Umgehung der Einwilligung legal sei, verhängt sie dennoch eine Geldstrafe, da Facebook den Nutzer:innen die Rechtsgrundlage für die Datenverarbeitung und damit die Umgehung nicht vollständig transparent gemacht habe. Die irische Datenschutzbehörde beabsichtigt also nicht, den in der Beschwerde angesprochenen Verstoß zu ahnden, sondern verlangt lediglich, dass Facebook die Aushebelung der DSGVO deutlicher kommunizieren muss. Die angedachte Strafe beläuft sich auf 0,048 Prozent des weltweiten Umsatzes von Facebook, bei einem Strafrahmen von vier Prozent.
Schrems: »Die Datenschutzbeauftragte ermöglicht Facebook die DSGVO zu umgehen und verlangt nur, das Gesetz transparenter zu umgehen. So kann Facebook weiterhin rechtswidrig Daten verarbeiten und lediglich eine kleine Geldstrafe zahlen, während die irische Behörde vorgeben kann, etwas unternommen zu haben.«
Schrems: »Russisches Verfahren«. Im Lauf des Verfahrens hat die »DPC« wiederholt den Zugang zu Dokumenten verweigert. Die Behörde legte zwar einen 96-seitigen Entscheidungsentwurf vor, doch wurden darin die schriftlichen Stellungnahmen der Betroffenen größtenteils »uminterpretiert« oder wichtige Fakten einfach ignoriert. Um den Standpunkt des Beschwerdeführers direkt zu klären, hat noyb eine mündliche Anhörung beantragt, die von der »DPC« ebenfalls abgelehnt wurde.
Schrems: »Wir haben laufende Fälle vor vielen Behörden und somit einige Erfahrungen gesammelt. Die ›DPC‹ führt nicht einmal ansatzweise ein faires Verfahren. Dokumente werden zurückgehalten, Anhörungen verweigert und vorgebrachte Argumente und Fakten in der Entscheidung einfach nicht berücksichtigt. Die Entscheidung selbst ist extrem umfangreich, aber die meisten Abschnitte enden einfach mit einer vom Himmel fallenden ›Ansicht‹ der ›DPC‹ und nicht mit einer objektiven Bewertung der Rechtslage. Es hat etwas von einem russischen Verfahren.«
Fall geht wohl an »EDSA«. Die anderen europäischen Datenschutzbehörden können nun Einwände gegen den irischen Entscheidungsentwurf erheben. Dieser Fall wird höchstwahscheinlich dann den Europäischen Datenschutzausschuss (»EDSA«) vorgelegt, wo die anderen europäischen Datenschutzbehörden die irische »DPC« überstimmen können. Dies ist im aktuellen Fall gegen »#WhatsApp« eingetreten bei dem die europäischen Behörden die »DPC« bereits massiv kritisiert und überstimmt haben.
Schrems: »Unsere Hoffnung liegt bei den anderen europäischen Behörden. Wenn sie nicht tätig werden, können Unternehmen einfach die Einwilligung in ihre Bedingungen verschieben und so die DSGVO ein für alle Mal umgehen.«