Österreichs Datenschutzbehörde: Facebook-Trackingdienste sind rechtswidrig
Wer auf Webseiten in der EU Dienste wie Facebook Login oder Meta Pixel zur Messung einbindet, verstößt wegen der Datenübertragung in die USA gegen die DSGVO.
(Bild: mundissima/Shutterstock.com)
Der Einsatz des Tracking-Pixels von Facebook zum Nachverfolgen von Nutzern auf Websites in der EU ist mit der Datenschutz-Grundverordnung (DSGVO) unvereinbar. Dies hat die österreichische Datenschutzbehörde (DSB) entschieden. Sie sieht vor allem die allgemeinen Grundsätze der Datenübermittlung gemäß Artikel 44 DSGVO verletzt, da über die Tracking-Technologie persönliche Nutzerinformationen an die Zentrale des Facebook-Mutterkonzerns Meta in den USA weitergegeben werden. Die Entscheidung gilt auch für Instrumente wie Facebook Login und Meta Pixel, die auf dem Trackingansatz basieren. Damit können sich Nutzer mit ihrem Facebook-Konto bei anderen Services anmelden beziehungsweise die Effizienz ihrer Facebook-Werbung messen.
Mit dem jetzt veröffentlichten Bescheid vom 6. März reagiert die DSB auf eine Musterbeschwerde, die der Verein Noyb im August 2020 erhoben hatte. Gründer der zivilgesellschaftlichen Organisation ist der Jurist und Aktivist Max Schrems. Laut der Aufsichtsbehörde bieten auch die mit Meta abgeschlossenen Standardvertragsklauseln kein angemessenes Schutzniveau, um die Überwachungs- und Zugriffsmöglichkeiten durch US-Geheimdienste und das FBI nach dem Foreign Intelligence Surveillance Act (FISA) ins Leere laufen zu lassen. Ganz ähnlich hatte die DSB schon Anfang 2022 entschieden, dass Webseitenbetreiber in der EU Googles Statistikprogramm Analytics nicht rechtskonform verwenden können.
Hintergrund des alten und des neuen Beschlusses ist das "Schrems-II"-Urteil des Europäischen Gerichtshofs (EuGH) vom Sommer 2020, mit dem dieser den transatlantischen "Privacy Shield" und damit eine der wichtigsten Grundlagen für den Transfer von Kundendaten in die USA für ungültig erklärte. Zuvor hatten die Luxemburger schon das Vorläuferabkommen Safe Harbour gekippt. Schrems hält den Bescheid für wegweisend: "Facebook hat so getan, als könnten Kunden ihre Technologie weiterhin nutzen, obwohl zwei Urteile des Europäischen Gerichtshofs das Gegenteil besagen. Nun hat die erste Aufsichtsbehörde einem Webseitenbetreiber mitgeteilt, dass die Nutzung der Facebook-Tracking-Technologie illegal ist."
Empfehlung an Admins
Noyb empfiehlt Administratoren, keine Instrumente von Meta auf ihren Homepages zu implementieren. Die Entscheidung sei für "fast alle EU-Websites relevant", da viele Betreiber Facebook Pixel verwendeten, um Nutzer zu verfolgen und personalisierte Werbung auszuspielen. Dabei leiteten sie persönliche Informationen ihrer Besucher an den multinationalen US-Konzern und an die NSA weiter. Die EU-Kommission arbeite zwar an einer dritten Übereinkunft für transatlantische Datentransfers. Das US-Recht sehe aber weiterhin Massenüberwachung vor. So werde diese Angelegenheit "auch in absehbarer Zeit nicht gelöst".
Insgesamt reichte Noyb 101 vergleichbare Beschwerden in fast allen EU-Staaten ein. Es ist zu erwarten, dass immer mehr ähnliche Entscheidungen schrittweise auch dort fallen. So vollzog die französische Datenschutzbehörde CNIL etwa schon im Februar vorigen Jahres den DSB-Beschluss zu Google Analytics nach. Die dortigen Kontrolleure empfehlen Dienste, die mit anonymen, statistischen Daten arbeiten. Noyb bemängelt, dass in den Auseinandersetzungen offenbar noch keine Aufsichtsinstanz eine Strafe verhängt habe. Diese Zurückhaltung sei unverständlich, da die betroffenen Unternehmen die einschlägige EuGH-Rechtsprechung "mehr als zwei Jahre lang ignoriert haben".
(mki)
