DSGVO – Irische Datenschutzbehörde gestattet Facebook Einwilligungstrick

DSGVO – irische Datenschutzbehörde gestattet Facebook Einwilligungstrick

Facebook nahm zeitgleich mit Inkrafttreten der DSGVO am 25. Mai 2018 das Opt-in für seine weitgehenden Formen der Datenverarbeitung in seine Allgemeinen Geschäftsbedingungen mit auf. Mit diesem Rechtsgrundlagenwechsel gelten die strengen DSGVO-Vorschriften nicht mehr. Datenschützer kritisieren diese „Zwangseinwilligung“, doch die irische Datenschutzkommission, kurz DPC, hat generell nichts gegen die Vorgehensweise des US-Konzerns einzuwenden.

Welche Kritik gibt es an dem Vorgehen von Facebook?

Bevor die Datenschutzgrundverordnung vor drei Jahren in Kraft trat, forderte das US-amerikanische Unternehmen von seinen Nutzern ein spezielles Opt-in, also eine ausdrückliche Zustimmung, für die Verarbeitung ihrer persönlichen Daten. Seit dem 25. Mai 2018 wird dies nun nicht mehr verlangt, da das Opt-in in die AGBs des Unternehmens aufgenommen wurde. Zahlreiche Datenschützer und Bürgerrechtler kritisieren diesen Einwilligungstrick. Der österreichische Datenschutz-Aktivist Max Schrems von der Organisation Noyb legte noch am selben Tag eine offizielle Beschwerde gegen das soziale Netzwerk ein. Der Vorwurf: Facebook will durch die Umbenennung der Einwilligung in einen Vertrag, „die klaren Regeln der DGSVO umgehen (…)“. Schrems sieht in dem Vorgehen einen deutlichen DSGVO-Verstoß, da die Datenschutzgrundverordnung untersagt, eine Einwilligung in den Allgemeinen Geschäftsbedingungen zu verstecken.

„Wenn der Trick akzeptiert würde, könnte jedes Unternehmen die Verarbeitung von Daten einfach in einen Vertrag schreiben und damit jegliche Verwendung von Kundendaten ohne Zustimmung legitimieren“, kritisiert Schrems.

Wie hat die Datenschutzbehörde DPC entschieden?

Anders als Schrems, hat die irische Datenschutzkommission gegen das Vorgehen von Facebook generell nichts einzuwenden. Die DPC ist für Facebook in Europa zuständig, da sich der europäische Hauptsitz des US-Konzerns in Irland befindet. Drei Jahre nachdem die offizielle Beschwerde des österreichischen Datenschutz-Aktivisten eingegangen ist, hat die Behörde für die Abstimmung in diesem Fall nun einen Entscheidungsentwurf veröffentlicht. Dieser wurde an andere EU-Datenschutzbeauftragte gesendet. Gemäß einer Leitlinie des Europäischen Datenschutzausschusses, kurz EDSA, ist allerdings eine explizite und informierte Einwilligung in konkrete Formen der Verarbeitung persönlicher Informationen erforderlich. Der Akt kann nicht einfach an das Opt-in zu Nutzungsbedingungen geknüpft werden. Laut des Entwurfs der Behörde sei der Konzern allerdings nicht dazu verpflichtet, sich ausschließlich auf eine Einwilligung zu berufen, um die Datenverarbeitung zu legitimieren. Stattdessen könne den Usern alternativ ein Vertrag angeboten werden, der sich vorwiegend mit dem Umgang ihrer persönlichen Daten befasst. Die Datenschutzbehörde führt an, dass es den Nutzern von Facebook bewusst werden müsse, dass es sich hierbei um eine entsprechende rechtliche Vereinbarung handle. Dennoch sehe die DPC einen Verstoß gegen die DSGVO-Vorschriften, da das US-Unternehmen den Rechtsgrundlagenwechsel für die Datenverarbeitung gegenüber den Nutzern nicht vollständig transparent gemacht habe. Die irische Datenschutzkommission hält daher ein Bußgeld in Höhe von 28 Millionen bis 36 Millionen Euro gegen Facebook für angemessen. Das Bußgeld entspricht rund 0,5 Prozent des Jahresumsatzes von Facebook und könnte daher eigentlich wesentlich höher ausfallen, da Bußgelder bis zu 4 Prozent des Jahresumsatzes möglich sind.

Datenschutz-Aktivist ist nicht zufrieden

Trotz des angekündigten Bußgeldes gegen Facebook, ist Max Scherms nicht zufrieden mit dem Entscheidungsentwurf der DPC. Denn mit dem Entwurf habe die irische Datenschutzbehörde zugestimmt, dass legitim sei, dass Facebook einen Vertrag mit den Nutzern abschließt. Sobald aus einer Einwilligung ein Vertrag wird, gelten die strengen Datenschutzgrundverordnungsvorschriften für den Konzern nicht mehr. Durch diesen Trick kann Facebook nun alle verfügbaren persönlichen Daten für all seine Dienste nutzen, ohne, dass der User hierfür zuvor eine Einwilligung geben muss. Damit besteht für die Nutzer auch nicht mehr die Möglichkeit, die Einwilligung zu jeder Zeit zu widerrufen. Der Datenschützer ist zudem davon überzeugt, dass bereits vor drei Jahren mehrere geheime Treffen zwischen Facebook und der DPC stattgefunden hätten, in welchen bereits ein Deal ausgehandelt worden sei.

„Die Datenschutzbeauftragte ermöglicht Facebook, die DSGVO zu umgehen und verlangt nur, das Gesetz transparenter zu umgehen. So kann Facebook weiterhin rechtswidrig Daten verarbeiten und lediglich eine kleine Geldstrafe zahlen, während die irische Behörde vorgeben kann, etwas unternommen zu haben“ so Schrems.

Die anderen EU-Datenschutzbeauftragten haben jetzt die Möglichkeit, Einwände gegen den vorgelegten Entscheidungsentwurf vorzubringen. Sollte dies der Fall sein, würde die Angelegenheit voraussichtlich dem Europäischen Datenschutzausschuss vorgelegt werden. Die anderen EU-Datenschutzbehörden hätten dann die Option, die irische Datenschutzkommission zu überstimmen.

Weitere Informationen

Aufgaben eines Datenschutzbeauftragten

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
Mobilfunk-Monitoring – BNetzA ergänzt interaktive Karte um 1&1-Daten

Mobilfunk-Monitoring

BNetzA ergänzt interaktive Karte um 1&1-Daten

Auf der Mobilfunk-Karte der Bundesnetzagentur können Verbraucher die aktuelle Mobilfunkversorgung für ganz Deutschland einsehen. Die Daten der interaktiven Karte wurden jetzt auch um die des vierten deutschen Netzbetreibers 1&1 Mobilfunk GmbH erweitert. […]

Von 30 auf 14 Tage – Amazon verkürzt Rückgabefrist bestimmter Produkte

Von 30 auf 14 Tage

Amazon verkürzt Rückgabefrist bestimmter Produkte

Amazon verkürzt die Rückgabefrist für bestimmte Warengruppen von 30 auf 14 Tage. Kunden, die elektronische Produkte über den Online-Händler bestellen, sollten daher die Rückgabebedingungen in Zukunft genau im Blick haben. Andere Produkte können weiterhin 30 Tage lang zurückgegeben werden. […]

Angemessene Internetversorgung – BNetzA setzt erstmals Recht durch

Angemessene Internetversorgung

BNetzA setzt erstmals Recht durch

Erstmalig hat die BNetzA das Recht auf „schnelles“ Internet durch ein Verpflichtungsverfahren durchgesetzt. Ein Haushalt in Niedersachsen muss jetzt angemessen mit einem Internetdienst versorgt werden. Kritik zur verpflichtenden Erschließung von einzelnen Haushalten kommt vom Breko. […]

Mehr Privatsphäre – Signal ermöglicht Kontaktaufnahme per Nutzernamen

Mehr Privatsphäre

Signal ermöglicht Kontaktaufnahme per Nutzernamen

Signal führt Benutzernamen für alle User ein. Mit der neuen Funktion können sich die Nutzer in Zukunft miteinander vernetzen, ohne, dass sie hierfür ihre Telefonnummer teilen müssen. Bereits in den nächsten Wochen soll die Kontaktaufnahme per Nutzername in der Messaging-App für alle möglich sein. […]