Es ist wieder Mal ein Kampf zwischen Max Schrems und Facebook: die irische Datenschutzbehörde (DPC) legte nun den europäischen Datenschutzbehörden einen “Entscheidungsentwurf" darüber vor, wie Facebook die DSGVO anhand eines juristischen Tricks umgeht.
Bei dem angewandten juristischen Trick Facebooks geht es darum, dass die Datenverarbeitung grundsätzlich auf der Grundlage einer Einwilligung (Artikel 6(1)(a) DSGVO) erfolgen muss. Diese Einwilligung muss freiwillig abgegeben werden und kann jederzeit widerrufen werden. Zudem kann man darüber bestimmen, welchen Punkten man seine Zustimmung erteilen möchte und welchen nicht. Facebook umgeht jedoch diese erforderliche Einwilligung, indem sie die Einwilligung zur Datenverarbeitung einfach als Vertragsklausel in den Allgemeinen Geschäftsbedingungen unterbringen. Dementsprechend wird ein Vertrag (Artikel 6(1)(b) DSGVO) darüber geschlossen, dass die personenbezogenen Daten verwendet werden. Somit werden die Anforderungen der DSGVO für eine Einwilligung umgangen. Nach Meinung der DPC in ihrem aktuellen Entscheidungsentwurf sei dies jedoch legal, das heißt Facebook könne die Einwilligung zur Datenverarbeitung einfach in einen Vertrag schieben, der dann unter die Allgemeinen Geschäftsbedingungen fällt, denen man ja zustimmen muss. Der Konzern Facebook könnte daher sämtliche verfügbaren Daten für alle seine Dienste nutzen - dabei sind Werbung und Online-Tracking eingeschlossen. Nutzer:innen müssen dann keine freiwillige Einwilligung mehr abgeben. Der Zeitpunkt der Umstellung der Einwilligung auf Vertrag erfolgte am 25.5.2018 - genau zu diesem Zeitpunkt ist die DSGVO in Kraft getreten.
"Es ist völlig offensichtlich, dass Facebook die klaren Regeln der DSGVO umgehen möchte, indem es die Vereinbarung einfach umbenennt. Wenn dieser Trick akzeptiert würde, könnte jedes Unternehmen die Verarbeitung von Daten einfach in einen Vertrag schreiben und damit jegliche Verwendung von Kundendaten ohne Zustimmung legitimieren. Das steht jedoch im klaren Widerspruch zur DSGVO, die es ausdrücklich verbietet, Einwilligungen in Allgemeinen Geschäftsbedingungen zu verstecken”, so Schrems.
Zwar sei dies nach der DPC legal, jedoch verhängte diese 28 bis 36 Mio Euro Strafe. Ihre Begründung: Facebook “habe den Nutzern die Rechtsgrundlage für die Datenverarbeitung und damit die Umgehung nicht vollständig transparent gemacht.” Das bedeutet, die irische Datenschutzbehörde verfolgt mit dem Bußgeld nicht den Zweck, den Verstoß gegen die DSGVO zu ahnden, sondern verlangt lediglich, dass Facebook die Aushebelung der DSGVO deutlicher kommunizieren muss.
Diesbezüglich äußerte sich Schrems: "Die Datenschutzbeauftragte ermöglicht Facebook die DSGVO zu umgehen und verlangt nur, das Gesetz transparenter zu umgehen. So kann Facebook weiterhin rechtswidrig Daten verarbeiten und lediglich eine kleine Geldstrafe zahlen, während die irische Behörde vorgeben kann, etwas unternommen zu haben."
Nun forderte die DPC Noyb, das Unternehmen von Max Schrems dazu auf, den Entscheidungsentwurf, der Noyb vorliegt, “unverzüglich von ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben anzusehen.”
Noyb wies diese Aufforderung jedoch zurück. Der 96-seitige Entscheidungsentwurf liegt Noyb zwar vor, jedoch wurden die schriftlichen Stellungnahmen der Betroffenen größtenteils "uminterpretiert" oder wichtige Punkte einfach ignoriert und ausgeschlossen. Noyb beantragte diesbezüglich eine mündliche Anhörung, um den Standpunkt des Beschwerdeführers zu klären, diese wurde von der DPC ebenfalls abgelehnt.
Schrems: "Wir haben laufende Fälle vor vielen Behörden und somit einige Erfahrungen gesammelt. Die DPC führt nicht einmal ansatzweise ein faires Verfahren. Dokumente werden zurückgehalten, Anhörungen verweigert und vorgebrachte Argumente und Fakten in der Entscheidung einfach nicht berücksichtigt. Die Entscheidung selbst ist extrem umfangreich, aber die meisten Abschnitte enden einfach mit einer vom Himmel fallenden 'Ansicht' der DPC und nicht mit einer objektiven Bewertung der Rechtslage. Es hat etwas von einem russischen Verfahren."
Es liegt nun an den anderen europäischen Datenschutzbehörden, die Einwände gegen die irische Datenschutzbehörde erheben können, inwieweit die DPC mit ihrem Vorhaben gestoppt wird. Anschließend wird der Fall wahrscheinlich beim Europäischen Datenschutzausschuss (EDSA) landen. Die anderen europäischen Datenschutzbehörden können dann die DPC überstimmen, so war es bereits in dem aktuellen Fall WhatsApp, in dem der Konzern Facebook ein Rekordbußgeld verhängt bekam. Schrems sieht dies als letzte Hoffnung, so heißt es: "Unsere Hoffnung liegt bei den anderen europäischen Behörden. Wenn sie nicht tätig werden, können Unternehmen einfach die Einwilligung in ihre Bedingungen verschieben und so die DSGVO ein für alle Mal umgehen.“
Bildquelle: Bild von Creatorish auf Pixabay
Künstliche Intelligenz: Neue Verordnung in der EU tritt in Kraft