Max Schrems legt im Streit mit der irischen Datenschutzbehörde nach. Gemeinsam mit seiner Nichtregierungsorganisation noyb veröffentlichte der Jurist am Wochenende interne Dokumente aus Verhandlungen zwischen den europäischen Datenschutzbehörden [PDF]. Sie belegen, wie sich die irische Aufsicht in einem Alleingang für eine Auslegung der DSGVO einsetzte, die insbesondere Facebook zugutekäme. Die Behörde habe sich zum Lobbyisten von Industrieinteressen gemacht, so Schrems‘ Vorwurf.
Eines der Schriftstücke dokumentiert den Entstehungsprozess von Richtlinien, die der Europäische Datenschutzausschuss im Jahr 2019 veröffentlicht hat. Es geht darum, unter welchen Bedingungen sich Unternehmen bei der Verarbeitung von Daten auf geschlossene Verträge berufen können. Die irische Data Protection Commission (DPC) setzte sich hier offenbar dafür ein, insbesondere Social-Media-Unternehmen zu gestatten, dass sie unter der Datenschutzgrundverordnung (DSGVO) auch ohne Einwilligung der Betroffenen Daten für Werbezwecke sammeln dürfen.
Stattdessen könnten Unternehmen, so der irische Vorschlag, einfach über ihre Allgemeinen Geschäftsbedingungen definieren, dass die Datenverarbeitung notwendig für ihren Dienst ist. Nutzer:innen könnten dem dann nicht widersprechen. Andere Datenschutzbehörden reagierten auf diesen Vorschlag entsetzt. „Das widerspricht allem, woran wir glauben“, kommentierte eine ihnen. „Wir denken, dass dieser Vorschlag das System und den Geist der Datenschutzgrundverordnung unterläuft“, hieß es von einer anderen.
Ein Konflikt mit Geschichte
Warum die Kritik an dem irischen Vorstoß so vernichtend ausfiel, erklärt die Stellungnahme einer anderen Behörde: „Dies würde die DSGVO auf ein bloßes pro-forma-Instrument reduzieren“, heißt es da. „So lange die Datenverarbeiter daran denken, alle möglichen Bedingungen und Vorschriften in einen Vertrag zu schreiben, den die Nutzer:innen ohnehin nicht beeinflussen können, (…) könnten Datenverarbeiter machen, was sie wollen.“ Wie solle man in so einer Situation beispielsweise sicherstellen, dass sich Unternehmen nicht vertraglich das Recht zusichern lassen, alle Aspekte des Lebens von Menschen zu durchleuchten?
Am Ende setzten sich 2019 die anderen nationalen Aufsichtsbehörden durch. Die DPC kämpfte offenbar auf verlorenem Posten, die Richtlinien wurden gegen ihren Widerstand enger formuliert. Dass noyb nun die Aushandlungsprozesse zwischen den Behörden öffentlich macht, ist allerdings eine weitere Eskalation in der Auseinandersetzung zwischen der NGO und der irischen Datenschutzbehörde.
Seit mehr als zehn Jahren geht Schrems juristisch gegen unsaubere Datenschutzpraktiken bei Facebook vor und ist deshalb auch immer wieder mit der DPC in Kontakt, weil der Datenkonzern seinen Europasitz in Irland hat. Erst im November hatte Schrems die irische Behörde bei der österreichischen Wirtschafts- und Korruptionsstaatsanwaltschaft angezeigt, weil sie ihn daran hindern wollte, Dokumente zu veröffentlichen.
Freifahrtschein für Facebook
Schrems ist unter anderem deshalb unzufrieden mit der DPC, weil sie ein von noyb angestrengtes Verfahren gegen Facebook zunächst drei Jahre lang verschleppte und dann zu Facebooks Gunsten entschieden hat. Auch bei dieser Beschwerde von noyb ging es um die Rechtsgrundlage, auf die Facebook seine umfangreichen Datensammlungen zu Werbezwecken stützt.
Denn kurz bevor am 25. Mai 2018 die Datenschutzgrundverordnung in Europa rechtswirksam wurde, änderte Facebook in einer Nacht-und-Nebel-Aktion die Geschäftsbedingungen für seine damaligen 235 Millionen Nutzer:innen in Europa: Sollten diese davor in die Datenverarbeitung eingewilligt haben, behauptet Facebook seither, die Nutzer:innen würden dem Konzern das Recht zur Datenauswertung für Werbezwecke vertraglich zusichern, indem sie die Nutzungsbedingungen annehmen.
Dies entspricht genau dem Prinzip, das die irische Aufsichtsbehörde 2019 legitimieren wollte. Der juristische Winkelzug sollte verhindern, dass Nutzer:innen ihre Einwilligung zur Datenverarbeitung zurückziehen – und Facebook die Möglichkeit nehmen, damit Werbeeinnahmen zu erzielen. Schrems legt dagegen Beschwerde ein.
Nach mehr als drei Jahren entschied die irische Behörde nun im Oktober zwar, dass Facebook wegen mangelnder Transparenz der Entscheidung zwischen 28 und 36 Millionen Euro Strafe zahlen soll. Grundsätzlich gestattete sie aber die Vertragsbedingungen als Rechtsgrundlage – ein Freifahrtsschein fürs Datensammeln, der im Widerspruch zu den Richtlinien des Europäischen Datenschutzausschusses steht.
Mindestens zehn Treffen mit dem Datenkonzern
Schrems sieht einen Zusammenhang zwischen der Facebook-freundlichen Politik der DPC und zahlreichen Treffen der Behörde mit dem Konzern. Dass es davon rund um die Einführung der DSGVO mindestens zehn gab, zeigt ein anderes nun veröffentlichtes Dokument [PDF]. Laut noyb stammen die Papiere aus Informationsfreiheitsanfragen.
Gegenüber Politico stritt ein Sprecher der irischen Datenschutzbehörde ein unlauteres Vorgehen ab. Dass es bei der Entstehung von Richtlinien zwischen unterschiedlichen Behörden unterschiedliche Auffassungen gäbe, sei „absolut nichts ungewöhnliches“. Wer nahelege, dass es Probleme beim Entstehungsprozess der Stellungnahme des Europäischen Datenschutzausschuss gebe, zeige lediglich, dass er nicht verstehe, wie das Gremium arbeite.
Schrems hingegen ist sich sicher, dass die Aufsichtsbehörde sich nicht nur bewusst für Facebook-freundliche Regeln eingesetzte, sondern diese zuvor auch mit dem Konzern selbst abgesprochen habe. „Die Dokumente zeigen deutlich: Erst hat die irische Aufsicht mit Facebook auf eine Umgehung der DSGVO geeinigt. Dann hat sie versucht, diese Umgehung in europäische Richtlinien zu pressen“, so Schrems. Die DPC handele nicht im Interesse des Datenschutzes, sondern sei selbst zu einem Lobbyisten für die Datenindustrie geworden.
Immer wieder Ärger mit Irland
Brisant sind diese Vorwürfe auch deswegen, weil die irische Behörde seit langem europaweit in der Kritik steht. Die DPC gilt im besten Fall als chronisch überfordert, im schlechtesten Fall als bewusst zurückhaltend gegenüber Tech-Konzernen mit Sitz im Land. Im Mai 2021 forderte deshalb das Europäische Parlament die EU-Kommission auf, ein Vertragsverletzungsverfahren gegen Irland einzuleiten.
Die DSGVO sollte eigentlich dafür sorgen, dass Unternehmen sich nicht mehr das Land mit dem schwächsten Datenschutz aussuchen und Staaten auf diese Weise Standortpolitik betreiben können. Deshalb kann man sich nun auch bei deutschen oder österreichischen Aufsichtsbehörden über Facebook beschweren, auch wenn der Europasitz des Unternehmens in Irland liegt. Für das Verfahren ist dann allerdings doch die irische Behörde zuständig, die anderen Aufsichtsbehörden können die Entscheidung am Ende nur ablehnen oder ihr zustimmen. Irland ist somit zum Nadelöhr im europäischen Datenschutzkampf mit US-Konzernen geworden.
Inzwischen ist bekanntgeworden, dass sich auch die irische DPC selbst für dringend reformbedürftig hält. Die aktuelle Struktur der Behörde sei „weder nachhaltig noch tauglich, um ihren Zweck zu erfüllen“, heißt es in einer Stellungnahme, die die DPC in laufenden Haushaltsverhandlungen an das irische Parlament schickte. Es brauche ein „grundlegendes Umdenken“, um die Zukunft der Aufsicht – und das internationale Ansehen Irlands – zu sichern, heißt es in Dokument, über das zuerst die irische Business Post berichtete.
Das dürfte auch Ulrich Kelber so sehen. Der Bundesdatenschutzbeauftragte hatte den irischen Kolleg:innen in der Vergangenheit mehrfach Unterstützung angeboten. Eine gute Zusammenarbeit der Behörden erscheint inzwischen aber unwahrscheinlich. Zuletzt bezichtigte Kelber DPC-Chefin Helen Dixon sogar, falsche Aussagen zu machen.
Super!
DANKE, Ingo!!!
Danke, Max!!!
> Gegenüber Politico stritt ein Sprecher der irischen Datenschutzbehörde ein unlauteres Vorgehen ab.
Man könnte auch formulieren, Politico gab der irischen Datenschutzbehörde Gelegenheit, die Vorwürfe mit einer Gegenerzählung herunterzuspielen. Politico gehört zum Axel Springer Konzern, der von geschwächten Datenschutzbestimmungen profitieren dürfte.
Diese irische Frittenbude von „Datenschutzbehörde“ gehört schon lange dichtgemacht. Sie hat die selbe Funktion wie Steuerbehörden in Luxemburg, Niederlande oder Malta, nämlich großen Konzernen den gesetzwidrigen Betrieb zu ermöglichen und den Schaden zu legalisieren, der dadurch EU-weit entsteht, zum Vorteil der Länder, in denen diese Behörden ansässig sind. Rechtsdumping, auch ein Geschäftsmodell. Wer bietet die niedrigsten Steuern, wer den schlechtesten Datenschutz? Und schon kommen sie alle.