Deep Dive: Wie Facebook versucht, den EuGH zu ignorieren - trotz zweier Urteile.

Data Transfers
 /  Sun, 19.12.2021 - 17:00
(c) noyb

Deep Dive: Wie man die Entscheidungen des EuGH in drei Schritten ignoriert. Facebooks Transfer Impact Assessment erklärt.

Für die Datenschützer:innen, die mehr wissen wollen als das, was wir in unserer Lesung zum 4. Advent zusammengefasst haben, bieten wir auf dieser Seite einen tieferen Einblick in die vier Elemente von Facebooks "Transfer Impact Assessment" (TIA).

Um teure "SLAPP"-Klagen zu vermeiden, sind einige Elemente in einigen Rechtsordnungen mit extrem teuren Verfahrenskosten nicht verfügbar. Wir haben außerdem beschlossen, die Dokumente in einem Video zusammenzufassen, anstatt sie direkt zu veröffentlichen. In den Fällen, in denen der Inhalt des Dokuments von größerer Bedeutung ist, erläutern wir die Details ausführlicher und zitieren Elemente daraus. Es gibt ein Video pro Dokument. Am Ende der Seite gibt es eine ausführliche Erklärung, warum wir dieses Dokument verwenden dürfen.

Dokument 1: Outline Document

Das Outline Document bezieht sich im Wesentlichen auf die anderen drei Dokumente, die weiter unten besprochen werden. Es umfasst 7 Seiten und ist einigermaßen interessant, da es die "Zusammenfassung" der anderen Dokumente zu sein scheint und einen Überblick gibt. Der wichtigste Teil der TIA ist eindeutig das "Equivalence Assessment", in der Facebook die Urteile des EuGH vollständig ignoriert und zu dem Schluss kommt, dass EU- und US-Recht "gleichwertig" sind. Die beiden anderen Dokumente werden lediglich als zusätzliche Ressourcen dargestellt. Im "Factor Assessment" wird hauptsächlich beschrieben, dass Daten an die USA übermittelt werden und um welche Daten es sich handelt, sowie die Tatsache, dass die US-Regierung gemäß FISA 702 Zugriff darauf hat. Das "Record of Safeguards" enthält auch die angeblichen "zusätzlichen Maßnahmen", auch wenn keine Maßnahme eindeutig auf die US-Überwachungsgesetze oder das EuGH-Urteil Bezug nimmt. Letztlich handelt es sich nur um eine Liste von Standardpraktiken, die etwa auch auf noyb.eu aufzufinden sind.

Zusammenfassend lässt sich sagen, dass das Argument, EU- und US-Recht seien "gleichwertig", das Rückgrat und die einzige Stütze von Facebooks Ansatz ist weiter Daten in die USA zu übermitteln.

Dokument 2: Equivalence Assessment

Das "Equivalence Assessment" ("EA") ist ein 58-seitiges Dokument, das ausdrücklich von Facebooks Anwaltskanzleien Mason Hayes & Curran LLP und Perkins Coie LLP abgenommen wurde (Absatz 1.4 der EA). Das Dokument lässt sich am besten mit Facebooks eigenen Worten zusammenfassen:

Um zu diesem Ergebnis zu kommen, argumentiert Facebook, dass der EuGH nicht über alle relevanten Fakten verfügte, um zu seiner Schlussfolgerung zu kommen, obwohl Facebook in dem Verfahren etwa 45.000 Seiten eingereicht hat. Facebook argumentiert weiter, dass der EuGH nur die Bewertung der Europäischen Kommission im "Privacy Shield" zurückgewiesen hat, sich aber nicht im Detail mit der Bewertung von Facebook auseinandergesetzt hat. Daher hätte der EuGH nach Ansicht von Facebook niemals über die Datenübermittlungen von Facebook im Rahmen der SCCs entschieden. Das ist natürlich völlig falsch, da der EuGH in Randnummer 168 des Urteils dargelegt hat, dass er sich in seinem Urteil auf die Bedenken des irischen High Court und auf des Privacy Shield der Kommission stützt. Facebook und die US-Regierung haben sich vor dem EuGH ausführlich zu diesen Fragen geäußert. Dennoch stellte der EuGH eindeutig fest, dass das US-Recht nicht nur nicht "gleichwertig" ist, sondern gegen die Artikel 7, 8 und 47 der Grundrechtecharta verstößt.

Facebook versucht im Weiteren europäisches Recht schlechtzureden, indem es vor allem Urteile des Europäischen Gerichtshofs für Menschenrechte (EGMR) in Straßburg (Teil des Europarats mit 47 Mitgliedstaaten, darunter die Türkei und Russland), die auf dem niedrigen Standard von Artikel 6 und 8 der Europäischen Menschenrechtskonvention (EMRK) beruhen, mit den Urteilen des Gerichtshofs der Europäischen Union (EuGH) und seinem viel höheren Standard gemäß der Charta der Grundrechte der Europäischen Union (GRC) verwechselt.

Im Gegensatz zum EU-Recht bläst Facebook den Schutz nach US-Recht völlig grotesk auf. Hierzu diesen abermals Element die Facebook bereits zahllose Male vor dem irischen High Court und dem Europäischen Gerichtshof im "Schrems II"-Verfahren geltend gemacht hat. Alle diese Elemente wurden von den Gerichten wiederholt verworfen. Dennoch stützt sich Facebook erneut auf diese Elemente, um zu dem Schluss zu kommen, dass das US-Recht auch Ausländern ausreichenden Schutz bieten würde, der sogar EU-Recht übertrumpfen soll.

Diese Kombination aus der vollständigen Ablehnung des EuGH-Urteils, kleinreden von EU-Rechts und aufblasen von US-Rechts rechtfertigt für Facebook irgendwie die illegale Datenübermittlungen zwischen der EU und den USA.

Dokument 3: Factors Assessment

Im 7-seitigen"Factors Assessment" wägt Facebook nicht wirklich ab oder argumentiert, dass bestimmte Faktoren die Auswirkungen von Datenübermittlungen zwischen der EU und den USA irgendwie einschränken.

Stattdessen wird in der Einleitung erklärt, dass Facebook beim "Equivalence Assessment" in Schritt 1 zu dem Schluss kommt, dass EU- und US-Recht gleichwertig sind (im Gegensatz zu den Urteilen des EuGH). Daher sagt Facebook, dass das "Factors Assessment" nur eine Einzelfall-Beschreibung der EU-US-Übermittlung ist, aber keine Faktoren beinhaltet die US-Überwachung einschränken.

Bei den wenigen Faktoren die in die Richtung eines beschränkten Grundrechtseingriffs gehen, handelt es sich z.B. um die Anzahl der Anfragen der US-Regierung laut Facebooks eigenem Transparenzbericht, andere Faktoren sind lediglich Beschreibungen, dass Facebook tatsächlich Daten nach US-Überwachungsgesetzen zur Verfügung stellt:

Es ist unklar, wie diese "Faktoren" dazu beitragen können, dass eine Überweisung legal ist. Tatsächlich scheint sich Facebook nicht wirklich auf diese "Faktoren" zu stützen, um die Rechtmäßigkeit der Übertragung zu begründen, sondern hat das Dokument als reine Tatsachenbeschreibung konzipiert. Das Hauptargument ist, dass der EuGH sich geirrt hat und dass das EU-Recht und das US-Recht in Wirklichkeit gleichwertig sind.

Dokument 4: Record of Safeguards (inkl. ergänzender Maßnahmen)

Schließlich erstellte Facebook ein 14-seitiges Dokument mit dem Titel "Record of Safeguards", bei dem es sich hauptsächlich um eine lange Tabelle von "Maßnahmen" handelt, darunter "organisatorische Maßnahmen" und "technische Maßnahmen". Es geht dabei um grundlegende Maßnahmen, die zum Beispiel in Artikel 32 der DSGVO vorgeschrieben sind, wie etwa die "Verwaltung mobiler Geräte" oder eine interne Richtlinie darüber, wie auf Anfragen von Behörden zu reagieren ist.

Interessanterweise beschäftigt Facebook nur 130 Personen, um auf alle Anfragen von Behörden weltweit zu reagieren. Dies würde bedeuten, dass eine juristische Anfrage durchschnittlich 10-15 Minuten lang geprüft wird. Als Maßnahme zum Schutz vor gefälschten Regierungsanfragen hebt Facebook vor allem hervor, dass es prüft, ob die E-Mail-Adresse von einem staatlichen Domainnamen stammt. Es ist unklar, ob Facebook prüft, ob eine bestimmte staatliche Stelle das Recht hat, persönliche Daten von Kontoinhabern anzufordern.

Das einzige Element, in dem FISA 702 und EO 12.333 erwähnt werden, hebt hervor, dass Facebook bei der Übertragung branchenübliche Verschlüsselungsalgorithmen einsetzt, nämlich TLS-Verschlüsselung (wie bei jeder Website) und AES-Verschlüsselung (wie bei jedem Smartphone). Facebook räumt ein, dass nicht alle Daten verschlüsselt sind, da es erwähnt, dass nur fast der gesamte Facebook-Datenverkehr verschlüsselt ist. In der Tat gibt es keine Maßnahme, die in irgendeiner Weise gegen eine Anordnung nach FISA 702 PRISM / DOWNSTREAM (also Überwachung direkt bei Facebook) schützen würde. Alle Maßnahmen sind nur für "UPSTREAM" (also Überwachung über das Internet-Backbone) relevant. Da Facebook alle Verschlüsselungsschlüssel besitzt und auf alle Daten im Klartext zugreifen kann, sind aber auch TLS und AES in keiner Weise ein relevanter Schutz, da Facebook der NSA die Daten im Klartext zur Verfügung stellen muss. Hier die relevante Seite zu FISA 702 und EO 12.333:

Facebook schließt das Dokument mit einigen "proaktiven" Maßnahmen, wie Lobbyarbeit und Mitwirkung an der Entwicklung des US-Rechts und mit mehr Informationen für die Nutzer:innen in die FAQs.

Wir haben Alan Butler von epic.org zum "Record of Safeguards" befragt:

Rechtliche Grundlage für die Veröffentlichung. Wie in unserer ersten Adventslesung dargelegt, sind die vier noyb-Adventslesungen ein Protest gegen die rechtswidrige Entfernung von noyb durch die DPC in einem anhängigen Verfahren. Alle Dokumente wurden im Rahmen des Beschwerdeverfahrens von Max Schrems vorgelegt, das seit 8,5 Jahren bei der irischen Datenschutzbehörde anhängig ist.

Nach einem von den Anwälten von Max Schrems dargelegten und von der Datenschutzbehörde akzeptierten System darf Max Schrems Dokumente aus dem Verfahren frei verwenden, wenn Facebook rechtlich verpflichtet ist, diese Dokumente zur Verfügung zu stellen, was hier eindeutig der Fall ist:

Artikel 5 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung verpflichtet Facebook, transparent zu sein. Nach Artikel 13(1)(f) muss Facebook die Nutzer:innen darüber informieren, wie sie eine Kopie der Maßnahmen erhalten können, die eine internationale Übermittlung rechtfertigen, und Artikel 15(2) DSGVO sieht ausdrücklich ein Recht auf eine Kopie dieser Maßnahmen vor. Tatsächlich können die Nutzer:innen eine Datenübermittlung nicht anfechten, wenn sie nicht über die bestehenden Schutzmaßnahmen informiert sind. Die SCC selbst sehen ähnliche Bestimmungen vor, da sie den Usern das Recht einräumen, die SCC durchzusetzen (Klauseln 3, 8.9 und 14 der SCC). Auch Unternehmen die Facebook als Dienstleister oder gemeinsamen Verantwortlichen nutzen, müssten das TIA wohl erhalten.

Dennoch ist die Positionen von Facebook und der irischen Datenschutzbehörde dass Nutzer:innen nach der DSGVO und den SCCs kein Recht haben eine Kopie des TIA zu bekommen. Nur die relevant Aufsichtsbehörde (hier die irische DPC) soll das Dokument nutzen und prüfen können.

Die Dokumente enthalten nicht einmal kommerziell oder technisch sensible Informationen und sind durch kein einschlägiges Gesetz geschützt.