Facebook droht 36-Millionen-Euro-Strafe

Zuständige Aufsichtsbehörde unterstützt Beschwerde des österreichischen Datenschützers!

Die nächste Runde im jahrelangen Streit zwischen Facebook und Max Schrems wird wohl an den Österreicher Schrems gehen. Das weltgrößte Online-Netzwerk soll laut einem Vorschlag der irischen Aufsichtsbehörde DPC bis zu 36 Millionen Euro für die Umgehung der Europäischen Datenschutzgrundverordnung (GDPR) zahlen. Ein Sprecher der DPC sagte am Mittwoch, der Entwurf sei nun an die anderen Aufsichtsbehörden weitergeleitet worden. Die Beschwerde war von dem einheimischen Datenschutzaktivisten eingereicht worden.

Schrems plädiert für höhere Strafen

Max Schrems kommentierte den Vorschlag: „Die Datenschutzbeauftragte ermöglicht Facebook, die DSGVO zu umgehen und verlangt nur, das Gesetz transparenter zu umgehen. So kann Facebook weiterhin rechtswidrig Daten verarbeiten und lediglich eine kleine Geldstrafe zahlen, während die irische Behörde vorgeben kann, etwas unternommen zu haben.“

Er sagte, die vorgeschlagene Geldstrafe belaufe sich auf 0,048 Prozent des weltweiten Umsatzes und liege damit weit unter dem möglichen Strafrahmen von vier Prozent.
Schrems Ansichten wurden auf der Seite seiner Datenschutzorganisation noyb veröffentlicht. Darüber hinaus äußerte er sich in einem Twitter-Video:

📢 Irish DPC issues draft decision: In the DPC’s view Facebook can simply choose to include the agreement on data processing in a „contract“, which would make the GDPR requirements for „consent“ not apply anymore.
Watch our statement here: https://t.co/96UTUcztBX pic.twitter.com/ZXgFg45QHe

— noyb (@NOYBeu) October 13, 2021

Schrems selbst schreibt dazu:

Irische Datenschutzbehörde gibt Facebooks „DSGVO-Umgehung“ grünes Licht. Schrems: „Entscheidung untergräbt Kernelement der DSGVO“

Die irische Datenschutzbehörde (DPC) legte den anderen europäischen Datenschutzbehörden einen „Entscheidungsentwurf“ (PDF) bezüglich des juristischen Tricks vor, mit dem Facebook die DSGVO umgeht. Heute veröffentlichte noyb die entsprechenden Dokumente.

Nach Ansicht der irischen DPC kann Facebook die Einwilligung zur Datenverarbeitung einfach in einen „Vertrag“ verschieben, wodurch die Voraussetzung der DSGVO für eine „Einwilligung“ nicht mehr gelten würden. Da Facebook diesen juristischen Winkelzug nicht ausreichend transparent gemacht habe, schlägt die Behörde eine Strafe in Höhe von 28 bis 36 Mio. € vor.

Zustimmung zur Datennutzung ist keine „Einwilligung“? Facebooks rechtliche Argumentation ist simpel: Wird die Vereinbarung als „Vertrag“ (Artikel 6(1)(b) DSGVO) statt als „Einwilligung“ (Artikel 6(1)(a) DSGVO) ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten. Facebook könnte daher sämtliche verfügbaren Daten für alle seine Dienste nutzen – Werbung und Online-Tracking eingeschlossen. Facebook müsste Nutzer:innen dann nicht mehr um eine freiwillige Einwilligung bitten oder ihnen die Möglichkeit geben, diese jederzeit zu widerrufen. Diese Umstellung von „Einwilligung“ auf „Vertrag“ erfolgte am 25.5.2018 um Mitternacht – exakt zu dem Zeitpunkt, als die DSGVO in Europa in Kraft trat.

Schrems: „Es ist völlig offensichtlich, dass Facebook die klaren Regeln der DSGVO umgehen möchte, indem es die Vereinbarung einfach umbenennt. Wenn dieser Trick akzeptiert würde, könnte jedes Unternehmen die Verarbeitung von Daten einfach in einen Vertrag schreiben und damit jegliche Verwendung von Kundendaten ohne Zustimmung legitimieren. Das steht jedoch im klaren Widerspruch zur DSGVO, die es ausdrücklich verbietet, Einwilligungen in Allgemeinen Geschäftsbedingungen zu verstecken.“

Illegal seit der Römerzeit. Bereits bei den Römern besagte das Gesetz, dass Sachverhalte als das behandelt werden müssen, was sie tatsächlich sind (objektiver Inhalt), und nicht als was sie bezeichnet werden.

Schrems: „Es ist weder innovativ noch klug, eine Vereinbarung einfach umzubennen, um das Gesetz zu umgehen. Bereits bei den Römern haben die Gerichte eine solche ‚Umetikettierung‘ von Vereinbarungen nicht akzeptiert. Wenn Sie Kokain verkaufen und auf die Rechnung „weißes Pulver“ schreiben, verstoßen Sie dennoch gegen das Suchtmittelgesetz und machen sich strafbar. Nur die irische Datenschutzbehörde scheint auf diesen Trick reinzufallen.“

64 % der Facebook-Nutzer sehen eine „Einwilligung“, DPC stellt sich dennoch auf die Seite von Facebook. Um die tatsächliche Bedeutung der Vereinbarung zu beurteilen, hat noyb das Gallup-Institut mit einer objektiven Studie beauftragt: Von 1.000 Facebook-Nutzern sahen nur 1,6% einen Vertrag über Werbung (wie von Facebook behauptet). 64% sahen die Vereinbarung als „Einwilligung“. Der Rest war sich über die rechtliche Bedeutung der Vereinbarung nicht im Klaren, was an sich Fragen aufwirft, ob Nutzer:innen tatsächlich eingewilligt haben.

DPC von europäischen Kollegen „einfach nicht überzeugt“. Auf europäischer Ebene haben die Datenschutzbehörden Leitlinien herausgegeben, wonach eine solche „Umgehung“ der Datenschutz-Grundverordnung illegal ist und als Einwilligung behandelt werden muss. Von dieser Sicht der anderen europäischen Behörden ist die irische Datenschutzbehörde laut eigener Aussage jedoch „einfach nicht überzeugt„.

Zehn geheime Treffen mit Facebook zum Thema „Umgehung der Einwilligung“ Die überraschende Entscheidung basiert wahrscheinlich auf einem Deal zwischen Facebook und der DPC aus dem Frühjahr 2018, der in zehn geheimen Treffen ausverhandelt wurde. Die Behörde argumentiert zwar, dass diese damit nichts zu tun hatten, dennoch bezieht sie sich im aktuellen Entscheidungsentwurf auf „spezifische Analysen“, die sie Facebook zur Verfügung gestellt hat. Auch Facebook hat sich vor einem Gericht in Wien auf diese Abmachung berufen. Trotz mehrfacher Anfragen weigert sich die DPC, Zugang zu den fraglichen Unterlagen zu gewähren und Details über ihre Zusammenarbeit mit Facebook offenzulegen. In der Entscheidung nennt die Behörde die Kritik „unsubstantiiert„.

Schrems: „Die Behörde hat zusammen mit Facebook den Trick zur Umgehung der DSGVO entwickelt, für den sie nun grünes Licht gibt. Anstelle also ‚Big Tech‘ zu regulieren, ist die DPC anscheinend eher Berater der Konzerne.“

€ 28 bis 36 Mio Strafe – wegen mangelnder Umgehungs-Transparenz. Obwohl laut DPC die Umgehung der Einwilligung legal sei, verhängt sie dennoch eine Geldstrafe, da Facebook den Nutzer:innen die Rechtsgrundlage für die Datenverarbeitung und damit die Umgehung nicht vollständig transparent gemacht habe. Die irische Datenschutzbehörde beabsichtigt also nicht, den in der Beschwerde angesprochenen Verstoß zu ahnden, sondern verlangt lediglich, dass Facebook die Aushebelung der DSGVO deutlicher kommunizieren muss. Die angedachte Strafe beläuft sich auf 0,048% des weltweiten Umsatzes von Facebook, bei einem Strafrahmen von 4%.

Schrems: „Die Datenschutzbeauftragte ermöglicht Facebook die DSGVO zu umgehen und verlangt nur, das Gesetz transparenter zu umgehen. So kann Facebook weiterhin rechtswidrig Daten verarbeiten und lediglich eine kleine Geldstrafe zahlen, während die irische Behörde vorgeben kann, etwas unternommen zu haben.“

Schrems: „Russisches Verfahren“. Im Lauf des Verfahrens hat die DPC wiederholt den Zugang zu Dokumenten verweigert. Die Behörde legte zwar einen 96-seitigen Entscheidungsentwurf vor, doch wurden darin die schriftlichen Stellungnahmen der Betroffenen größtenteils „uminterpretiert“ oder wichtige Fakten einfach ignoriert. Um den Standpunkt des Beschwerdeführers direkt zu klären, hat noyb eine mündliche Anhörung beantragt, die von der DPC ebenfalls abgelehnt wurde.

Schrems: „Wir haben laufende Fälle vor vielen Behörden und somit einige Erfahrungen gesammelt. Die DPC führt nicht einmal ansatzweise ein faires Verfahren. Dokumente werden zurückgehalten, Anhörungen verweigert und vorgebrachte Argumente und Fakten in der Entscheidung einfach nicht berücksichtigt. Die Entscheidung selbst ist extrem umfangreich, aber die meisten Abschnitte enden einfach mit einer vom Himmel fallenden ‚Ansicht‘ der DPC und nicht mit einer objektiven Bewertung der Rechtslage. Es hat etwas von einem russischen Verfahren.“

Fall geht wohl an EDSA. Die anderen europäischen Datenschutzbehörden können nun Einwände gegen den irischen Entscheidungsentwurf erheben. Dieser Fall wird höchstwahscheinlich dann den europäischen Datenschutzausschuss (EDSA) vorgelegt, wo die anderen europäischen Datenschutzbehörden die irische DPC überstimmen können. Dies ist im aktuellen Fall gegen WhatsApp eingetreten, bei dem die europäischen Behörden die DPC bereits massiv kritisiert und überstimmt haben.

Schrems: „Unsere Hoffnung liegt bei den anderen europäischen Behörden. Wenn sie nicht tätig werden, können Unternehmen einfach die Einwilligung in ihre Bedingungen verschieben und so die DSGVO ein für alle Mal umgehen.“

---

Quelle: Noyb.eu