noyb's dritte "Adventslesung": Facebooks "Verzeichnis der Verarbeitungstätigkeiten"
In der dritten "Adventslesung" veröffentlicht noyb ein zentrales DSGVO-Dokument von Facebook: Facebooks "Verarbeitungsverzeichnis" welches nach Artikel 30 DSGVO erstellt werden muss (Englisch: "Record of Processing Activities", kurz: "ROPA"). Dieses Dokument soll es ermöglichen, die Einhaltung der DSGVO durch Facebook leicht zu beurteilen. Tatsächlich besteht dieses Dokument aus lächerlichen vier Seiten, während Verarbeitungsverzeichnis bei anderen Unternehmen sonst Hunderte von Seiten umfassen. Schrems: "Facebooks Kerndokument zur Einhaltung der DSGVO ist symptomatisch für den Umgang mit dem Datenschutz - es hat nur vier Seiten. Üblicherweise haben solche Dokumente hunderte Seiten. Die irische Datenschutzbehörde weiß seit 2018 von der fehlenden Dokumentation, hat aber nichts unternommen."
DSGVO-Compliance auf vier Seiten? Das Dokument sagt sehr wenig aus, statt einer detaillierten Beschreibung von Tausenden von Verarbeitungsvorgängen verweist Facebook hauptsächlich auf die Datenschutzrichtlinie und hat ansonsten ein paar allgemeine Zeilen hinzugefügt. Peter Hense, Partner bei Spirit Legal, der bereits an unzähligen solcher Dokumente gearbeitet hat, hat sich mit noyb zu diesem Thema ausgetauscht. Mit Facebooks vierseitiger ROPA konfrontiert, sagt er im Interview: "Jeder Fußballverein hat ein ausführlicheres ROPA". Als Prüfer müsse er diese ROPA als "nicht vorhanden" behandeln, womit die Verarbeitung durch Facebook daher "rechtswidrig" sei.
DPC seit 2018 informiert. Die irische Datenschutzkommission ("DPC") wurde am 27.9.2018 von Facebook über dieses lächerliche Verarbeitungsverzeichnis informiert, hat aber nach Kenntnis von noyb keine Maßnahmen wegen des offensichtlichen Verstoßes gegen Artikel 30 DSGVO ergriffen.
Max Schrems, Vorsitzender von noyb.eu: "Die irische Datenschutzbehörde wusste, dass Facebook Irland nicht einmal die grundlegendsten DSGVO-Dokumente in Ordnung hat und hat nichts unternommen."
Drohung gegen noyb im Jahr 2019. Anstatt gegen Facebook vorzugehen, griff die irische Datenschutzbehörde noyb an: Nachdem das Dokument im August 2019 von der österreichischen Datenschutzbehörde ("DSB") an noyb übermittelt wurde, twitterte Max Schrems ein Foto der Rückseite von Facebooks ROPA und schrieb, dass das Dokument nur vier Seiten umfasst. Dies veranlasste die DPC, wütende Briefe an noyb zu schicken und die Löschung dieses Tweets zu fordern.
"Fanpost" von der DPC und Facebook. Nachdem noyb alle Betroffenen im Vorhinein vom Inhalt dieser "Adventslesungen" und die Veröffentlichnug des Verarbeitungsverzeichnisses informierte, erhielten wir wieder "Fanpost" von der Anwaltskanzlei von Facebook Mason Hayes und Curren und der irische DPC. Wieder drohen sie mit rechtlichen Schritten gegen noyb, obwohl sie keine Rechtsgrundlage dazu haben, wie wir in unseren Antwortschreiben an Facebook und an die irische DPC darlegen.
Rechtsgrundlage für die Veröffentlichung. Wie in unserer ersten Adventslesung näher erklärt, sind die vier Adventslesungen aus Protest gegen den rechtswidrigen Ausschluss von noyb durch die Datenschutzbehörde in einem anhängigen Verfahren entstanden. Alle veröffentlichten Dokumente wurden von der österreichischen Datenschutzbehörde übermittelt. Laut DSB sind diese Dokumente nicht durch die einschlägige Bestimmung (§ 17 Abs 3 AVG) geschützt und noyb kann sie nach geltendem österreichischen Recht frei verwenden. Auch nach dem (nicht anwendbaren) irischen Datenschutzgesetz 2018 gibt es keine Rechtsgrundlage für die Zurückhaltung oder anderweitige Einschränkung der Nutzung von Dokumenten durch die Parteien. Zwar beruft sich die DPC in der Regel auf Section 26 des Gesetzes, doch gilt diese Bestimmung eindeutig nur für Beschäftigte der DPC ("relevante Personen") und nicht für Dritte.
Mögliche "SLAPP"-Klage von DPC und Facebook Angesichts der unbegründeten Drohungen erwartet noyb trotz einer klaren Rechtsgrundlage für diese Veröffentlichungen nun unbegründete "SLAPP-Klagen" (siehe eine großartige Zusammenfassung von John Oliver, leider nur auf YouTube) durch die DPC und/oder Facebook Ireland Limited. Möglicherweise werden Facebook oder die DPC versuchen, einen Fall in Irland oder Großbritannien einzubringen, da diese Rechtssysteme extrem teuer sind und eine perfekte Gerichtsbarkeit bieten, um eine NGO zu ruinieren. Die relevanten Dokumente sind in diesen Ländern daher auf unserer Webseite durch Geoblocking nicht einsehbar.
Die heutigen Dokumente Das Verarbeitungsverzeichnis ist Teil des Akts in unserem Rechtsstreit zu Facebooks "DSGVO Umgehung" und hier verfügbar:
- Facebooks vierseitiges Verarbeitungsverzeichnis (möglicherweise nicht in allen Ländern verfügbar)
Briefe und Schreiben zur Rechtmäßigkeit dieser Veröffentlichung:
- Brief der DPC zur Veröffentlichung der ROPA
- Antwort von noyb, warum die Punkte der DPC falsch sind
- Brief der Anwaltskanzlei von Facebook zur Veröffentlichung der ROPA
- Antwort von noyb auf die Frage, warum die "Absicht" von Facebook kein relevanter Faktor ist
Die vergangene Woche im Rückblick. Nach unserer zweiten Adventlesung, war die letzte Woche durchaus turbulent. Alle Interessierten können in diesem Artikel von POLITICO nachlesen, wie die irische Datenschutzbehörde Facebooks DSGVO-Umgehung in die EDPB-Papiere lobbyieren wollte. Dies löste eine Reihe interessanter Artikel aus, bis hin zu Aufrufen aus Irland, die Führung der DPC zu ersetzen. Weiters berichtete POLITICO über einen Einspruch nach Artikel 60 der norwegischen Behörde gegen den Entscheidungsentwurf der Datenschutzbeauftragten zur "Umgehung der DSGVO". Laut der norwegischen Datenschutzbehörde würde der Entscheidungsentwurf der irischen Behörde "das Recht auf Privatsphäre beenden". Dies führte zu weiteren Diskussionen in Irland, wie z.B. in diesem Bericht der Irish Times.
