Facebook nahm zeitgleich mit Inkrafttreten der DSGVO am 25. Mai 2018 das Opt-in für seine weitgehenden Formen der Datenverarbeitung in seine Allgemeinen Geschäftsbedingungen mit auf. Mit diesem Rechtsgrundlagenwechsel gelten die strengen DSGVO-Vorschriften nicht mehr. Datenschützer kritisieren diese „Zwangseinwilligung“, doch die irische Datenschutzkommission, kurz DPC, hat generell nichts gegen die Vorgehensweise des US-Konzerns einzuwenden.
Welche Kritik gibt es an dem Vorgehen von Facebook?
Bevor die Datenschutzgrundverordnung vor drei Jahren in Kraft trat, forderte das US-amerikanische Unternehmen von seinen Nutzern ein spezielles Opt-in, also eine ausdrückliche Zustimmung, für die Verarbeitung ihrer persönlichen Daten. Seit dem 25. Mai 2018 wird dies nun nicht mehr verlangt, da das Opt-in in die AGBs des Unternehmens aufgenommen wurde. Zahlreiche Datenschützer und Bürgerrechtler kritisieren diesen Einwilligungstrick. Der österreichische Datenschutz-Aktivist Max Schrems von der Organisation Noyb legte noch am selben Tag eine offizielle Beschwerde gegen das soziale Netzwerk ein. Der Vorwurf: Facebook will durch die Umbenennung der Einwilligung in einen Vertrag, „die klaren Regeln der DGSVO umgehen (…)“. Schrems sieht in dem Vorgehen einen deutlichen DSGVO-Verstoß, da die Datenschutzgrundverordnung untersagt, eine Einwilligung in den Allgemeinen Geschäftsbedingungen zu verstecken.
„Wenn der Trick akzeptiert würde, könnte jedes Unternehmen die Verarbeitung von Daten einfach in einen Vertrag schreiben und damit jegliche Verwendung von Kundendaten ohne Zustimmung legitimieren“, kritisiert Schrems.
Wie hat die Datenschutzbehörde DPC entschieden?
Anders als Schrems, hat die irische Datenschutzkommission gegen das Vorgehen von Facebook generell nichts einzuwenden. Die DPC ist für Facebook in Europa zuständig, da sich der europäische Hauptsitz des US-Konzerns in Irland befindet. Drei Jahre nachdem die offizielle Beschwerde des österreichischen Datenschutz-Aktivisten eingegangen ist, hat die Behörde für die Abstimmung in diesem Fall nun einen Entscheidungsentwurf veröffentlicht. Dieser wurde an andere EU-Datenschutzbeauftragte gesendet. Gemäß einer Leitlinie des Europäischen Datenschutzausschusses, kurz EDSA, ist allerdings eine explizite und informierte Einwilligung in konkrete Formen der Verarbeitung persönlicher Informationen erforderlich. Der Akt kann nicht einfach an das Opt-in zu Nutzungsbedingungen geknüpft werden. Laut des Entwurfs der Behörde sei der Konzern allerdings nicht dazu verpflichtet, sich ausschließlich auf eine Einwilligung zu berufen, um die Datenverarbeitung zu legitimieren. Stattdessen könne den Usern alternativ ein Vertrag angeboten werden, der sich vorwiegend mit dem Umgang ihrer persönlichen Daten befasst. Die Datenschutzbehörde führt an, dass es den Nutzern von Facebook bewusst werden müsse, dass es sich hierbei um eine entsprechende rechtliche Vereinbarung handle. Dennoch sehe die DPC einen Verstoß gegen die DSGVO-Vorschriften, da das US-Unternehmen den Rechtsgrundlagenwechsel für die Datenverarbeitung gegenüber den Nutzern nicht vollständig transparent gemacht habe. Die irische Datenschutzkommission hält daher ein Bußgeld in Höhe von 28 Millionen bis 36 Millionen Euro gegen Facebook für angemessen. Das Bußgeld entspricht rund 0,5 Prozent des Jahresumsatzes von Facebook und könnte daher eigentlich wesentlich höher ausfallen, da Bußgelder bis zu 4 Prozent des Jahresumsatzes möglich sind.
Datenschutz-Aktivist ist nicht zufrieden
Trotz des angekündigten Bußgeldes gegen Facebook, ist Max Scherms nicht zufrieden mit dem Entscheidungsentwurf der DPC. Denn mit dem Entwurf habe die irische Datenschutzbehörde zugestimmt, dass legitim sei, dass Facebook einen Vertrag mit den Nutzern abschließt. Sobald aus einer Einwilligung ein Vertrag wird, gelten die strengen Datenschutzgrundverordnungsvorschriften für den Konzern nicht mehr. Durch diesen Trick kann Facebook nun alle verfügbaren persönlichen Daten für all seine Dienste nutzen, ohne, dass der User hierfür zuvor eine Einwilligung geben muss. Damit besteht für die Nutzer auch nicht mehr die Möglichkeit, die Einwilligung zu jeder Zeit zu widerrufen. Der Datenschützer ist zudem davon überzeugt, dass bereits vor drei Jahren mehrere geheime Treffen zwischen Facebook und der DPC stattgefunden hätten, in welchen bereits ein Deal ausgehandelt worden sei.
„Die Datenschutzbeauftragte ermöglicht Facebook, die DSGVO zu umgehen und verlangt nur, das Gesetz transparenter zu umgehen. So kann Facebook weiterhin rechtswidrig Daten verarbeiten und lediglich eine kleine Geldstrafe zahlen, während die irische Behörde vorgeben kann, etwas unternommen zu haben“ so Schrems.
Die anderen EU-Datenschutzbeauftragten haben jetzt die Möglichkeit, Einwände gegen den vorgelegten Entscheidungsentwurf vorzubringen. Sollte dies der Fall sein, würde die Angelegenheit voraussichtlich dem Europäischen Datenschutzausschuss vorgelegt werden. Die anderen EU-Datenschutzbehörden hätten dann die Option, die irische Datenschutzkommission zu überstimmen.
Hinterlasse jetzt einen Kommentar