Datenschutzgrundverordnung

Kritik an „geheimen Absprachen“ Facebooks mit Aufsicht

Der Aktivist Max Schrems klagt in einem offenen Brief an die EU-Datenschutzbehörden über die Arbeit der irischen Datenschutzaufsicht. Diese sei im dritten Jahr der DSGVO ein Nadelöhr für den Datenschutz in Europa.

Max Schrems
Der Datenschützer Schrems erhebt Vorwürfe gegen Irland Alle Rechte vorbehalten European Union

Pünktlich zum zweiten Jahrestag der Datenschutzgrundverordnung attackiert der österreichische Datenschützer Max Schrems die mangelhafte Durchsetzung des wegweisenden EU-Gesetzes. Das Gesetz sei nur so stark wie die schwächste Behörde, die es umsetzten müsse, klagt Schrems in einem offenen Brief an die europäischen Datenschutzbehörden. Es dürfe nicht sein, dass es Datenschutz „nur auf dem Papier“ gebe.

Schrems‘ Beschwerde richtet sich gegen die irische Datenschutzbeauftragte Helen Dixon. Irland ist der EU-Sitz von Technologiekonzernen wie Facebook, Twitter und Google. Die irische Behörde ist daher federführend für EU-weite Datenschutzbeschwerden gegen die Konzerne zuständig, derzeit laufen in Dublin zumindest zwölf große Fälle gegen sie. Doch in zwei Jahren hat die Behörde bislang aus Sicht von Aktivisten wenig unternommen, um die Geschäftspraxis der Datenkonzerne einzuschränken.

Zum Jahrestag beklagen Stimmen aus der Zivilgesellschaft die ungleichmäßige Durchsetzung der DSGVO. Das Gesetz habe das Bewusstsein für den Datenschutz europaweit gestärkt, aber seine Umsetzung sei noch immer mangelhaft, klagen die Verbraucherzentrale Bundesverband (vzbv) und der Verein Digitale Gesellschaft in einer gemeinsamen Stellungnahme.

Die NGO Access Now, die weltweit für digitale Rechte kämpft, drängt darauf, dass Datenschutzbehörden ihre Arbeit schneller verrichten und besser koordinieren. „Selbst das beste Gesetz der Welt nutzt wenig, wenn es nicht umgesetzt wird“, schreiben die Aktivisten in einem ausführlichen Bericht.

Schrems: Geheime Absprache in Irland

Der Datenschützer Schrems erhebt in seinem offenen Brief schwere Vorwürfe. Die irische Behörde habe in geheimen Treffen mit Facebook dem Konzern bei der Umgehung von Datenschutzbestimmungen geholfen.

Konkret geht es um Untersuchungen wegen Facebooks „Einwilligungs-Umgehung“. Schrems und andere Datenschützer:innen beschweren sich seit Jahren darüber, dass Facebook die Nutzung seiner Dienste an umfassende Einwilligungen zur Verarbeitung von persönlichen Daten zu Werbezwecken koppelt.

Dies ist nach der Beschwerde von Schrems durch Artikel 7 der DSGVO untersagt, der klare Bedingungen in die Einwilligung der Datenverarbeitung setzt. Facebook änderte mit Wirksamwerden der DSGVO am 25. Mai 2018 über Nacht seine Vertragsbedingungen und beruft sich seither nicht mehr auf die Einwilligung seiner Nutzenden, sondern auf einen „angeblichen Datennutzungvertrag“, sagt Schrems.

Nach Angaben des Datenschützers habe es zehn Treffen der irischen Behörde mit Facebook vor Wirksamwerden der DSGVO gegeben. Dabei sei eine Absprache erfolgt, wie Facebook seine dubiose Datenpraxis weiterhin unter dem Mäntelchen der Legalität fortsetzen kann, so Schrems. Das erinnere an umstrittene Steuerdeals zwischen Irland und Technologiekonzernen wie Apple.

Die irische Behörde bestreitet auf Anfrage von netzpolitik.org, geheime Absprachen mit Facebook getroffen zu haben. „Wir treffen uns regelmäßig mit Unternehmen aus allen Sektoren im Rahmen unserer Durchsetzungs- und Überwachungsfunktionen gemäß Artikel 57 der GDPR, so wie es viele unserer EU-Kollegen tun, die Datenschutzbehörden sind“, schrieb der Vizechef der Behörde, Graham Doyle.

Zuvor teilte die Behörde mit, sie habe in dem Fall die Ermittlungen abgeschlossen und befinde sich nun in der Entscheidungsphase. In zwei weiteren Fällen wegen der Facebook-Töchter Instagram und WhatsApp seien Berichtsentwürfe an den Mutterkonzern mit Bitte um Stellungnahme geschickt worden. Diese Verfahrensschritte gehen einer Entscheidung im EU-Rahmen voraus.

Der Europäische Datenschutzausschuss wollte zunächst keine Stellungnahme zu den Vorwürfen von Schrems abgeben. Sie müssten erst noch in einer der nächsten Sitzungen des Ausschusses besprochen werden, teilte eine Sprecherin mit.

Irland als Nadelöhr

Bei der irischen Behörde liegen indes zahlreiche weitere große Fälle. Zwar sollen bei europaweiten Fällen die Aufseher aller EU-Staaten gemeinsam im Datenschutzausschuss entscheiden, allerdings muss zuerst die irische Behörde einen Entscheidungsentwurf vorliegen. In dem Tempo, in dem die Behörde bisher arbeite, dauere es insgesamt zehn Jahre bis zu einer endgültigen Entscheidung, klagt Schrems.

Erst am Wochenende teilte die irische Behörde mit, einen ersten Entscheidungsentwurf in einem anderen „großen“ Fall wegen einer Datenschutzverletzung durch Twitter an alle EU-Behörden geschickt zu haben.

Bisher offen ist auch der Ausgang einer weiteren rechtlichen Auseinandersetzung zwischen Schrems, der irischen Datenschutzbehörde und Facebook. Am 16. Juli soll der Europäische Gerichtshof im Fall Schrems II über den Datentransfer zwischen EU und USA entscheiden. Die EU-Kommission bereitet sich nach einer kritischen Einschätzung des EU-Generalanwaltes bereits auf ein Scheitern des Rechtskonstrukts vor.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

9 Ergänzungen
  1. „Schrems und andere Datenschützer:innen beschweren sich seit Jahren darüber, dass Facebook die Nutzung seiner Dienste an umfassende Einwilligungen zur Verarbeitung von persönlichen Daten zu Werbezwecken koppelt.“

    Das ist doch nun wirklich eine reichlich jakobinische Rechtsauffassung. Man kann Facebook mit gutem Recht als komplexes Produkt verstehen, bei dem Werbeeinblendungen eben Teil des Produkts sind und nichts „gekoppelt“ wird. Wenn die DSGVO ernsthaft davon ausgehen sollte, dass es kostenlose Produkte ohne unternehmerisches Interesse des Anbieters geben muss, dann passt sie nicht in die Welt und muss revidiert werden.

    Europa sollte schnell begreifen, dass nicht Werbeeinblendungen unser großes Datenschutzproblem sind, sondern Datengier und Datenmissbrauch des Staates! Lasst die Leute sich doch bei Trivialdiensten wie Facebook anmelden, wenn sie das möchten.

    1. Man versteht Facebook aber nicht. Man macht mit. Unter anderem, weil es eben darauf angelegt wird, dass man es nicht versteht, und eben nicht die Werbung, sondern der gekoppelte Teil beworben wird (Netzwerk, sozial). Google ist da geschickter, weil es an die niederen Instinkte des Geldverdienens mit anderen Werbung zeigen appelliert, aber das ist nicht wirklich mehr wert.

      Also würden die Russen Facebook steuern, dann wäre es kein harmloses Unternehmen mehr, dass Millionen in seinen Bann zieht?

    2. Facebook sammelt aber auch über Menschen Daten, die sich dort nie angemeldet haben! Daraus wird dann ein sogenanntes „Shadow Profile“ erstellt (weil ja kein „offizielles“ Facebook-Profil existiert).
      Und allein die Tatsache, dass Facebook, Twitter, Instagram usw. fast alles über viele Menschen wissen, und der Staat sich selbst per erweiterter Bestandsdatenauskunft praktisch grenzenlose Zugriffsrechte auf diese Daten eingeräumt hat – schon bei kleinsten Anlässen und Ordnungswidrigkeiten wie Falschparken!! -, lässt eine Unterscheidung wer denn nun die Daten sammelt/speichert hinfällig erscheinen.

    3. Das Problem ist ja nicht so sehr die Werbung, sondern das Analysieren des Nutzerverhaltens, inklusive des Bildens detaillierter Profile.

    4. „Werbeeinblendung“ ist nicht das gleiche wie „umfassende Einwilligungen zur Verarbeitung von persönlichen Daten zu Werbezwecken“.

    5. In Tat und Wahrheit geht es doch gar nicht um Datenschutz, der ist ja auch allen EU-Mitgliedsstaaten ein Dorn im Auge. Man will nur die klammen Staatskassen mit den Milliarden-Bussen füllen und gleichzeitig den Untergang europäischer Zombie-Firmen hinauszögern. Siehe auch das Leistungsschutzgesetz u.a.

    6. „Das ist doch nun wirklich eine reichlich jakobinische Rechtsauffassung. Man kann Facebook mit gutem Recht als komplexes Produkt verstehen, bei dem Werbeeinblendungen eben Teil des Produkts sind und nichts „gekoppelt“ wird.“

      Nein, das ist geltendes Recht (siehe auch: Vorträge Datenschutztag 2019). Die DSGVO sieht ein generelles Kopplungsverbot vor. JEDES Webangebot MUSS eine trackingfreie Version anbieten, entweder kostenlos oder eben gegen Entgelt. Wenn die Werbeung bei Facebook teil des Trackings ist, muss fb eben eine werbefreie Version anbieten.

      „Wenn die DSGVO ernsthaft davon ausgehen sollte, dass es kostenlose Produkte ohne unternehmerisches Interesse des Anbieters geben muss, dann passt sie nicht in die Welt und muss revidiert werden.“

      Wenn wir Glück haben wird es demnächst sogar einen durch den EuGH geschaffenen Rechtsanspruch geben, der durchsetzbar ist. :o)

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.