DSGVO: Irische Datenschutzbehörde nickt Facebooks Einwilligungstrick ab
Mit dem DSGVO-Inkrafttreten nahm Facebook das Opt-in zu umfangreichen Datenverarbeitungen in die Geschäftsbedingungen auf. Die irische Aufsicht trägt dies mit.
(Bild: mixmagic/Shutterstock.com)
Parallel zum Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018 überraschte Facebook aufmerksame Nutzer mit einem ungewöhnlichen Ansatz: Der Betreiber des sozialen Netzwerks forderte seit Mitternacht kein spezielles Opt-in mehr für seine weitgehenden Formen der Verarbeitung persönlicher Daten. Vielmehr baute er das Plazet stillschweigend automatisch in die Annahme der Allgemeinen Geschäftsbedingungen mit ein. Für Bürgerrechtler ein Unding, doch die irische Datenschutzbehörde hat dagegen prinzipiell nichts einzuwenden.
"Vertrag" statt Vereinbarung
Noch am Tag der überarbeiteten Nutzungsbedingungen legte Max Schrems von der österreichischen Organisation Noyb offiziell Beschwerde gegen die nun von Facebook verlangte "Zwangseinwilligung" auch in gezielte Werbung und Online-Tracking ein. Der Datenschutzaktivist hält es für offensichtlich, dass der US-Konzern mit dem juristischen Schachzug "die klaren Regeln der DSGVO umgehen möchte", indem er die Vereinbarung in einen "Vertrag" umbenenne.
"Wenn dieser Trick akzeptiert würde, könnte jedes Unternehmen die Verarbeitung von Daten einfach in einen Vertrag schreiben und damit jegliche Verwendung von Kundendaten ohne Zustimmung legitimieren", argumentiert Schrems. Dies stehe "im klaren Widerspruch zur DSGVO, die es ausdrücklich verbietet, Einwilligungen in Allgemeinen Geschäftsbedingungen zu verstecken".
DPC trägt den Ansatz mit
Die für Facebook in Europa zuständige Data Protection Commission (DPC) in Irland trägt den Ansatz des Unternehmens im Grundsatz aber mit. Sie hat nach über drei Jahren einen Entscheidungsentwurf für die Abstimmung in dem Fall an die übrigen EU-Datenschutzbeauftragten geschickt, den Noyb am Mittwoch veröffentlichte. Darin heißt es: "Facebook ist nicht verpflichtet, sich zur Legitimierung der Verarbeitung personenbezogener Daten ausschließlich auf die Einwilligung zu berufen."
Der Plattformbetreiber kann demnach alternativ Mitgliedern einen Vertrag anbieten, der in erster Linie den Umgang mit persönlichen Informationen betrifft. Es müsse nur "einigen Nutzern" auch klar werden, dass es sich um eine entsprechende rechtliche Vereinbarung handle.
Facebook verschleiere spionierende Werbung nicht
Die DPC-Chefin Helen Dixon moniert in dem Papier aber, dass Facebook in diesem Fall den Mitgliedern den Wechsel der Rechtsgrundlage für die Datenverarbeitung nicht vollständig transparent gemacht und damit gegen die einschlägigen Vorschriften der DSGVO verstoßen habe. Sie hält deswegen eine Geldbuße in Höhe eines noch genau festzulegenden Betrags zwischen 28 und 36 Millionen Euro für angemessen. Die angedachte Strafe beläuft sich aber nur auf 0,048 Prozent des weltweiten Jahresumsatzes von Facebook. Möglich wäre eine Sanktion von bis zu 4 Prozent, was hier rund drei Milliarden Euro entspräche.
Facebook verschleiere nicht, dass es auf spionierende Werbung setze, arbeitet Dixon heraus. Ihrer Ansicht nach sind viele Nutzer angesichts der öffentlichen Debatte über dieses und vergleichbare Themen gut informiert darüber, dass dies der Kern der Dienste des Unternehmens und Teil seiner Vertragsbedingungen sei.
Irische Aufsicht als "Flaschenhals" bei der DSGVO-Durchsetzung
Der Europäische Datenschutzausschuss (EDSA) gab dagegen schon vor zwei Jahren Leitlinien heraus, wonach eine explizite und informierte Einwilligung in konkrete Formen der Verarbeitung persönlicher Informationen erforderlich ist und dieser Akt nicht einfach an das Opt-in zu Nutzungsbedingungen geknüpft werden kann. Dixon hält diese Argumentation aber nicht für stichhaltig.
Schrems beklagt auch ein "russisches Verfahren", da die DPC wiederholt den Zugang zu Dokumenten verweigert und schriftlichen Stellungnahmen der Betroffenen teils "uminterpretiert" habe. Den Antrag auf einem mündliche Abhörung habe sie abgelehnt. Zudem hätten im Frühjahr 2018 zehn geheime Treffen zwischen der Behörde und Facebook stattgefunden, in denen offenbar schon ein Deal ausgehandelt worden sei.
Der Jurist baut nun auf die anderen EU-Datenschutzbeauftragten. Sie können Einwände gegen den irischen Entscheidungsentwurf vorbringen, sodass die Auseinandersetzung wohl dem EDSA vorgelegt würde. In diesem Gremium können die anderen beteiligten Aufsichtsbehörden die DPC überstimmen, wie sie es jüngst bereits in einem Verfahren gegen die Facebook-Tochter WhatsApp taten. Die irische Aufsicht fungiert laut Beobachtern seit Langem als "Flaschenhals" bei der DSGVO-Durchsetzung.
(bme)
