DSGVO: Irische Aufsicht wollte Facebooks Opt-in-Trick EU-weit durchdrücken

Die irische Datenschutzbehörde setzte sich im Europäischen Datenschutzausschuss (EDSA) für Leitlinien zur Interpretation der Einwilligungsklausel in der Datenschutz-Grundverordnung (DSGVO), die genau den umstrittenen Kurs von Facebook stützen sollten. Soziale Netzwerke hätten demnach generell das Opt-in zu umfangreichen Datenverarbeitungen inklusive Tracking und Profiling für personenbezogene Werbung einfach in ihre Allgemeinen Geschäftsbedingungen (AGB) aufnehmen können. Andere Kontrolleure in dem übergeordneten, EU-weiten Aufsichtsgremium verhinderten dies aber.

Dies geht aus internen EDSA-Dokumenten der für Facebook rund um die Initiative der in Europa für Facebook zuständigen Data Protection Commission (DPC) in Irland hervor, die die österreichische Bürgerrechtsorganisation Noyb auf Basis von Informationsfreiheitsanfragen erhielt und nun im Rahmen ihrer "Adventlesungen" veröffentlichte. Die DPC startete demnach 2018 beim EDSA eine Arbeitsgruppe zu Artikel 6 DSGVO, in dem es um die "Rechtmäßigkeit der Verarbeitung" etwa auch zum Erfüllen eines Vertrags geht.

Zustimmung zur Datenverarbeitung in den AGB

Facebook hatte parallel zum DSGVO-Inkrafttreten im Mai 2018 mit einem ungewöhnlichen Ansatz überrascht: Der Plattformbetreiber forderte auf einmal kein spezielles Opt-in mehr für seine weitgehenden Formen der Verarbeitung persönlicher Daten. Vielmehr baute er die Zustimmung stillschweigend automatisch in die AGB-Annahme ein. Noyb legte dagegen Beschwerde bei der DPC ein. Bereits bekannt war, dass die irischen Kontrolleure diesen Einwilligungstrick von Facebook aber mittragen.

Mit der von ihr geleiteten EDSA-Gruppe wollte die DPC ihre Auffassung EU-weit bestätigt und verankert wissen. Andere, nicht genannte europäische Aufsichtsbehörden schlossen sich dem Gremium an. Das erste Treffen fand im April 2018 statt. Im Oktober 2018 schickte die irische Behörde dann ein Schreiben, in dem sie einen angeblich "strengen", aber auch auf "Vertragsfreiheit" abstellenden Ansatz skizzierte. Letztlich sollte es Plattformbetreibern so möglich werden, die mit der DSGVO geforderte informierte und freiwillige Einwilligung zu umgehen.

Die DPC übermittelte auch einen Entwurf von EDSA-Leitlinien, mit denen die Unternehmen – wie Facebook – eine entsprechende Klausel in ihre Geschäftsbedingungen aufnehmen können sollten. Datenverarbeitung wurde darin für den Vertrag als "notwendig" erachtet, sodass ein ausdrückliches Opt-in nicht mehr erforderlich sei.

Andere, in den publizierten Dokumenten unkenntlich gemachte Datenschutzbehörden liefen Sturm gegen das Vorhaben. "Dieser Vorschlag scheint die Monetarisierung personenbezogener Daten und die Umgehung der anderen Rechtsgrundlagen zuzulassen", ist da etwa zu lesen. "Wir sind der Meinung, dass diese Auslegung das System und den Geist der Datenschutz-Grundverordnung untergräbt." Die DSGVO würde so "auf ein Pro-Forma-Instrument reduziert", monierte ein anderer Kontrolleur. "Das widerspricht allem, woran wir glauben (sorry, aber das ist wahr)", lautete eine weitere Entgegnung. Leitlinien des EDSA-Vorläufergremiums stünden ebenfalls dagegen.

In den einschlägigen, 2019 herausgegebenen Leitlinien tilgte der EDSA letztlich alle Verweise auf soziale Netzwerke und eine Option, die Einwilligung über einen angeblichen Vertrag zu umgehen. Die DPC wollte Noyb zufolge offenbar noch die Veröffentlichung dieser Interpretationshilfe, die ihrer Vereinbarung mit Facebook widersprach, verzögern. Sie sei damit jedoch nicht erfolgreich gewesen.

Lobbyarbeit

Ein als "streng vertraulich" gekennzeichneter, nach dem österreichischen Allgemeinen Verwaltungsverfahrensgesetz aber Noyb überlassener Brief von Facebook an die DPC bestätigt zudem, dass die irische Behörde 2017 und 2018 zehn Treffen mit Vertretern des Konzerns rund um das Einwilligungsverfahren hatte. Das Ergebnis der Lobby-Bemühungen von Facebook war der umkämpfte Kurs der nationalen Aufsicht.

Für den Noyb-Gründer Max Schrems zeigen die Dokumente "einen klaren Plan" von dem Netzwerkbetreiber und der DPC, die DSGVO zu unterwandern. Die irischen Kontrolleure handelten "eindeutig nicht im Interesse des Datenschutzes". Ein Sprecher der DPC erklärte gegenüber dem Online-Magazin Politico, es sei "absolut nicht ungewöhnlich", wenn Regulierungsbehörden bei der Ausarbeitung von Leitlinien unterschiedlicher Ansicht seien. Wer daran Anstoß nehme, verstehe den Entscheidungsfindungsprozess beim EDSA nicht. Facebook wollte den Fall nicht kommentieren.

(olb)