Die Dienste von Meta, dem Mutterkonzern von Facebook, Instagram und WhatsApp (um nur einige zu nennen), sind schon seit langer Zeit im Fadenkreuz der europäischen Datenschutzbehörden und vieler Datenschutzaktivist*innen. Mittlerweile wurden von der federführenden irischen Aufsichtsbehörde (Meta hat seinen europäischen Sitz in Dublin) seit Inkrafttreten der DSGVO im Mai 2018 insgesamt fast 700 Mio. Euro Bußgelder wegen verschiedener Datenschutzverstöße verhängt. Zugleich war Meta bzw. dessen Dienste mit den EuGH-Urteilen zu „Fashion ID“ (29.07.2019, Rechtssache C-40/17) und „Schrems-II“ (16.07.2020, Rechtssache C-311/18) bereits mehrfach Gegenstand wegweisender datenschutzrechtlicher Entscheidungen der jüngeren Vergangenheit.
Einer der zentralsten Kritikpunkte der Datenschützer*innen gegenüber Meta ist weiterhin die Übermittlung personenbezogener Daten in die USA. Hintergrund ist, dass der EuGH mit dem sog. „Schrems-II-Urteil“ vom 16.07.2020 (Rechtssache C-311/18) das damals etablierte Privacy-Shield für ungültig erklärte (vgl. hier), da den Geheimdiensten und staatlichen Institutionen massenhafte Überwachungsmaßnahmen aufgrund der US-amerikanischen Gesetze wie z. B. Abschnitt 702 des Foreign Intelligence Surveillance Act („FISA“) und der Executive Order 12333 („E.O. 12333) ermöglicht werden und diese Gesetze bzw. deren Anwendung nicht mit dem europäischen Datenschutzniveau in Einklang zu bringen sind (siehe auch hier).
Beschwerdeverfahren in Österreich
Kürzlich erlies die österreichische Datenschutzaufsichtsbehörde einen Bescheid im Rahmen eines seit mehreren Jahren laufenden datenschutzrechtlichen Beschwerdeverfahrens. Der Bescheid ist hier abrufbar.
Gegenstand der Beschwerde war die Übermittlung personenbeziehbarer Daten der betroffenen Person an die Server der Meta Platforms, Inc. in den USA. Die Beschwerdegegnerin hatte auf ihrer Website die Facebook Business Tools „Facebook Login“ und „Facebook Pixel“ integriert. Aufgrund dieser Implementierung wurden beim Aufruf der Website durch die betroffene Person personenbeziehbare Daten in die USA übermittelt (siehe Auszug aus dem Beschwerdebescheid, S. 26). Der Aufruf der Website, die damit verbundene Übermittlung der personenbeziehbaren Daten an die USA und die Nutzung der Daten für das Tracking des Nutzers erfolgte am 12. August 2020.
(Quelle: Beschwerdebescheid, S. 26)
Meta klassifizierte zum Zeitpunkt des Websiteaufrufes die Verarbeitungen im Zusammenhang mit den genannten Facebook Business Tools als Auftragsverarbeitung. Ein entsprechender Vertrag zwischen der Beschwerdegegnerin (Verantwortlicher) und der Facebook Ireland Limited (Auftragsverarbeiter) war über die Datenverarbeitungsbedingungen geschlossen. Die Facebook Inc. agierte demnach als Unterauftragsverarbeiter der Facebook Ireland Limited. Anzeichen für eine fehlende Weisungsgebundenheit der Facebook Inc. bzw. eine gemeinsame Verantwortlichkeit für die Verarbeitungen sah die Aufsichtsbehörde offenbar nicht.
Problematisch war allerdings, dass zum Zeitpunkt der Übermittlung der personenbeziehbaren Daten an die USA, Facebook die Übermittlung weiterhin auf das bereits vom EuGH mit Urteil vom 16.07.2020 für ungültig erkläre Privacy-Shield gestützt hatte. Standardvertragsklausen wurden erst mit der Aktualisierung der Nutzungsbedingungen zum 31. August 2020 vereinbart. Demnach stellte die Aufsichtsbehörde fest, dass zum Zeitpunkt der Übermittlunge keinerlei Maßnahmen im Sinne des Kapitel V DSGVO ergriffen wurden und kein angemessenes Datenschutzniveau gewährleistet werden konnte. Die Übermittlung personenbeziehbarer Daten in die USA war zu diesem Zeitpunkt also eindeutig unzulässig. Dies begründet die Aufsichtsbehörde auch damit, dass sich aus dem von Meta zu Verfügung gestellten Transparency Report ergibt, dass Meta fortlaufend zahlreiche Anfragen von US-Geheimdiensten und weiteren staatlichen Institutionen erhält und Auskünfte erteilt bzw. erteilen muss. Die Möglichkeit Datenübermittlungen in unsichere Drittländer auf die Ausnahme aus Art. 49 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung bei Kenntnis der Risiken) wird von der Aufsichtsbehörde im Bescheid kurz erwähnt. Da die Beschwerdegegnerin allerdings zum Zeitpunkt des Websiteaufrufs keine ausdrückliche Einwilligung für die Übermittlung vorgesehen hatte, wurde hierauf nicht weiter eingegangen.
Übersicht zur Anzahl der Österreich betreffenden Anfragen:
(Quelle: Meta Transparency Center)
Einordnung und Folgen für Nutzer*innen der Meta Business Tools
Der Bescheid und das Beschwerdeverfahren zeigen, dass Facebook deutlich zu spät auf das Schrems-II-Urteil reagiert hat. Die Folge daraus ist, dass Verantwortliche die Facebook Business Tools (jetzt Meta Business Tools) im Zeitraum vom 16.07.2020 – 31.08.2020 eingesetzt hatten, kein angemessenes Datenschutzniveau für diesen Zeitraum gewährleisten konnten.
Mittlerweile hat Meta nachgebessert und bestätigt die Vereinbarung der aktuell gültigen Standardvertragsklauseln. Allerdings stellt die Meta Platforms Ireland Ltd als Datenexporteur weiterhin kein Transfer Impact Assessment gemäß Klausel 14 der Standardvertragsklauseln zur Verfügung. Damit bleibt fraglich, ob Meta, wie im EuGH-Urteil gefordert, ausreichende zusätzliche technische und organisatorische Maßnahmen ergriffen hat, um ein angemessenes Datenschutzniveau zu gewährleisten. An dieser Situation wird sich vermutlich auch bis zum (voraussichtlichen) Erlass des Angemessenheitsbeschlusses für die USA (wir berichteten) nichts ändern. Mit Blick auf die Guideline des European Data Protection Boards zur gezielten Ansprache von Nutzer*innen sozialer Medien sollte hierbei auch berücksichtigt werden, dass Aufsichtsbehörden anderer Länder durchaus der Ansicht sein könnten, dass es sich bei den Meta Business Tools nicht um eine Auftragsverarbeitung handelt. Eine Konsequenz daraus wäre, dass das falsche Modul der Standardvertragsklauseln vereinbart wäre und dementsprechend auch die Gewährleistung eines Angemessenen Datenschutzniveaus erneut in Frage stehen würde.
Es sollte daher allen Beteiligten bewusst sein, dass die Nutzung von Facebook Business Tools weiterhin dazu führen kann, dass kein angemessenes Datenschutzniveau für die verarbeiteten Daten gewährleistet ist. Gleichzeitig ist es ein Signal an Verantwortliche sich nicht darauf zu verlassen, dass große Unternehmen und Global Player sich zeitnah darum kümmern, die datenschutzrechtlichen Verpflichtungen einzuhalten. Ganz im Gegenteil. Insbesondere Social-Media-Anbieter haben nur bedingt ein Interesse daran alle datenschutzrechtlichen Anforderungen umzusetzen, da ihr Geschäftsmodell und damit auch ihre Umsätze unter den Regularien leiden. Unternehmen und weitere Stellen, die die Facebook-Tools einsetzen, sollten daher stets genau prüfen welche datenschutzrechtlichen Risiken sie im Zusammenhang mit dem Einsatz dieser Dienste eingehen. Letztlich bleiben sie datenschutzrechtlich verantwortlich im Sinne der DSGVO und damit auch haftbar für Datenschutzverstöße im Zusammenhang mit der Nutzung der Meta Business Tools.