Die irische Datenschutzkommission hat sich dafür eingesetzt, dass soziale Netzwerke die Zustimmungspflichten der Nutzer im Rahmen der EU-Datenschutzbestimmungen umgehen können, wie Dokumente der Datenschutzkampagnengruppe von Max Schrems zeigen.
Laut den Dokumenten, die noyb.eu im Rahmen des Informationsfreiheitsgesetzes erhalten hat, hat das irische DPC – das den Löwenanteil der US-Technologieunternehmen im Rahmen der EU-Datenschutzgrundverordnung reguliert – ausdrücklich darauf gedrängt, dass soziale Netzwerke in der Lage sind, das Nutzerverhalten zu überwachen sie mit Anzeigen über einen Vertrag ansprechen, anstatt ihre Zustimmung einholen zu müssen.
Die Versuche des DPC, die „Vertragserfüllung“ als Rechtsgrundlage in die EU-Datenschutzrichtlinien aufzunehmen, wurden jedoch von anderen europäischen Regulierungsbehörden abgelehnt, wie aus den Dokumenten hervorgeht.
„Damit wird die DSGVO zu einem Pro-Forma-Instrument. Solange Sie daran denken, alle möglichen Anforderungen und Bestimmungen in einen Vertrag aufzunehmen … Verantwortliche können tun und lassen, was sie wollen und es bedarf keiner Einwilligung oder Interessenabwägung … Ist die Bereitstellung von Social-Media-Accounts ohne Tracking und Profiling möglich? Ja, das ist es tatsächlich“, sagte eine europäische Regulierungsbehörde, die in dem Dokument nicht genannt wird.
Ein anderer EU-Datenschutzwächter bezeichnete die Versuche des DPC, die Nutzung von Verträgen durch Unternehmen zur Verarbeitung von Daten für Anzeigen zu legalisieren, „im Gegensatz zu allem, woran wir glauben“.
Ein dritter kommentierte: „Dies scheint die Monetarisierung personenbezogener Daten und die Umgehung der anderen Rechtsgrundlagen zu akzeptieren … Wir glauben, dass diese Auslegung das System und den Geist der DSGVO untergräbt.“
Das irische DPC schaffte es schließlich nicht, seine Vorschläge in die endgültigen Leitlinien aufzunehmen, die strenge Anforderungen an die Daten enthalten, die zur Erfüllung eines Vertrages mit den Nutzern erforderlich sind. Die endgültigen Richtlinien sagen nicht, dass soziale Netzwerke die Vertragsrechtsgrundlagen nutzen können, um personalisierte Werbung zu schalten.
Das Netzwerk der Datenschutzaufsichtsbehörden der EU „hat ziemlich deutlich gemacht, dass es keine Legitimation gibt, die die gesetzlichen Anforderungen einer informierten Einwilligung umgeht, indem es argumentiert, dass die Verarbeitung zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, erforderlich ist“, Johannes Caspar, Leiter der Hamburger Datenschutzbehörde zum Zeitpunkt der Diskussionen, sagte POLITICO.
“Einsamer Andersdenkender”
Drei Beamte der Datenaufsichtsbehörde bestätigten gegenüber POLITICO, dass die Ansicht Irlands in der Diskussion über die Leitlinien von der Mehrheit der anderen Aufsichtsbehörden nicht geteilt wird.
Nach Angaben des Europäischen Datenschutzausschusses (EDB) hat nur eine Regulierungsbehörde gegen die endgültigen Leitlinien gestimmt. Laut einem Beamten war Irland die einzige abweichende Regulierungsbehörde. Zwei weitere sagten, es sei wahrscheinlich, dass es sich um Irland handelt, basierend auf ihren Erinnerungen an die Diskussionen.
Der Beweis für Irlands Lobbyarbeit kommt, nachdem die in Dublin ansässige Regulierungsbehörde vorgeschlagen hatte, Facebook wegen Transparenzverstößen mit einer Geldstrafe von bis zu 36 Millionen Euro zu belegen, nachdem sie eine Beschwerde von Schrems im Mai 2018 untersucht hatte, in der das soziale Netzwerk beschuldigt wurde, sich auf die „erzwungene Zustimmung“ zur Verarbeitung von Daten zu verlassen.
Laut dem Entscheidungsentwurf sagte die irische Regulierungsbehörde, dass Facebook grundsätzlich die Erfüllung einer vertraglichen Rechtsgrundlage nutzen könnte, um Nutzern eine personalisierte, werbefinanzierte Plattform bereitzustellen.
Die Beurteilung, ob der Vertrag fair war, sei jedoch nicht rechtlich zulässig.
Damals sagte ein Beamter der Datenschutzbehörde, dass Irlands Urteil „das Ende des Datenschutzes, wie wir ihn kennen“ bedeuten und dass die Idee, dass sich Menschen bei Facebook anmelden, um personalisierte Werbung zu erhalten, „absurd“ ist.
„Nicht so sehr Teil des Angebots, sondern etwas, das den Nutzern gegen den Willen der Mehrheit einseitig aufgezwungen wird. Es gibt keinen Hinweis darauf, dass der Gesetzgeber dies legitimieren wollte“, sagten sie.
Die Enthüllungen, dass sich die irische Regulierungsbehörde nach Erhalt einer Beschwerde gegen Facebook für eine lockerere Auslegung der EU-Datenschutzbestimmungen eingesetzt hat, werden neue Fragen zur Beziehung zwischen dem Wachhund und der Social-Media-Firma aufwerfen.
„Die Dokumente zeigen einen klaren Plan: Zuerst hat sich die irische Regulierungsbehörde mit Facebook auf eine DSGVO-Umgehung geeinigt. Dann versucht sie, diese Umgehung im Interesse eines US-Multis in europäische Richtlinien zu pressen. Die DPC hat eindeutig nicht im Interesse der Daten gehandelt.“ Schutz, sondern im Interesse der US-Multis. Normalerweise sind es Facebook-Lobbyisten, die versuchen, Richtlinien zu beeinflussen, hier hat sich die irische Regulierungsbehörde zu einem Lobbyisten entwickelt”, sagte Schrems in einer Erklärung.
Facebook hat kurz vor Inkrafttreten der DSGVO im Mai 2018 von der Zustimmung des Benutzers zum Umgang mit Daten auf die vertragliche Rechtsgrundlage umgestellt. Das Unternehmen hat zuvor mitgeteilt, dass es diese Aktualisierung seiner Bedingungen nach 10 Treffen mit dem irischen DPC vorgenommen hat.
Ein Sprecher des irischen DPC sagte, dass bei der Entwicklung von Richtlinien zwischen den Aufsichtsbehörden „absolut nichts Ungewöhnliches“ hin und her pendelt.
„Zu behaupten, dass es ein Problem damit gibt, wie dieser Prozess damals oder heute funktioniert hat, zeigt ein mangelndes grundlegendes Verständnis der Funktionsweise der EDPB, und wie in einem iterativen Prozess unterschiedliche Ansichten zu komplexen Grundsatzfragen typischerweise durch Dialog und durch respektvolles und reifes Engagement in Einklang gebracht werden“, sagte ein Sprecher. „Dies war bei der Entwicklung der Leitlinien des EDSA der Fall [on performance of a contract].“
Sie stellten auch fest, dass der Gerichtshof der Europäischen Union gesondert einen Fall prüft, in dem ein österreichisches Gericht ebenfalls entschieden hat, dass Facebook berechtigt ist, die Rechtsgrundlage „Vertragserfüllung“ zu verwenden.
Der Ausgang dieser beiden Fälle „wird sich zwangsläufig auch auf die Leitlinien des EDPB zum gleichen Thema auswirken“, sagte der Sprecher.
Facebook hat auf eine Bitte um Stellungnahme nicht geantwortet.
Dieser Artikel wurde mit einer Antwort von . aktualisiert ein Sprecher des irischen DPC.
Dieser Artikel ist Teil von POLITIK Die Premium-Abdeckung von Pro für Cybersicherheit und Datenschutz. Von den aufkommenden Bedrohungen einer volatilen digitalen Welt bis hin zu den Rechtsvorschriften, die zum Schutz von Unternehmen und Bürgern in allen Sektoren entwickelt werden. Für eine kostenlose Test-E-Mail [email protected] und erwähnen Sie Cyber.