4. Advent Lesung: Facebooks "Transfer-Folgenabschätzung" ignoriert Urteile des Europäischen Gerichtshofs vollständig
In der letzten "Adventslesung", aus Protest gegen den rechtswidrigen Ausschluss von noyb aus einem Verfahren durch die irische Datenschutzbehörde (DPC), erklären wir, wie Facebook die Urteile des Europäischen Gerichtshofs (EuGH) zum Datentransfer zwischen der EU und den USA in einer angeblich "vertraulichen" 86-seitigen "Transfer-Folgenabschätzung" ignoriert. Seit 2013 ist die Zusammenarbeit von Facebook mit US-Behörden bei der irischen DPC anhängig. Eine erste Entscheidung der DPC ist nicht in Sicht - 8,5 Jahre nach der ersten Beschwerde und 1,5 Jahre nach der zweiten Klarstellung durch den EuGH. Schrems:"Facebook ignoriert den EuGH völlig, trotz zweier ausdrücklicher Urteile. Die irische Datenschutzbehörde sieht zu."
- POLITICO PRO berichtete ebenso: "Europe's top court says Washington plays fast and loose with European data. Facebook disagrees."
- Deep Dive: Detaillierte Beschreibung und Adventslesung aus den vier Dokumenten (45 Minuten)
"TIA": Facebook ignoriert EuGH in drei Schritten. Nach den eindeutigen Urteilen in"Schrems I" und"Schrems II" hätte Facebook die Datenübermittlung in die USA sofort stoppen müssen - immerhin wurde sie zweimal für illegal erklärt. Heute (1,5 Jahre später) hat Facebook keine Schritte unternommen, um seine Datenübertragungen einzuschränken. Stattdessen hat es ein 86-seitiges "Transfer Impact Assessment" (TIA) gemäß Klausel 14 der neu eingeführten Standardvertragsklauseln (SCC) vorgelegt und ist zu dem überraschenden Ergebnis gekommen, dass das EuGH-Urteil für Facebook nicht gilt und die Übermittlung von Nutzer:innendaten in die USA wie bisher fortgesetzt werden kann. Nach den uns vorliegenden Unterlagen hat Facebook aufgrund des EuGH-Urteils vom 16.6.2020 keinerlei Maßnahmen ergriffen.
Max Schrems, Vorsitzender von noyb.eu: "Facebook ignoriert das EU-Recht nun schon seit 8,5 Jahren. Die jetzt veröffentlichten Dokumente zeigen, dass Facebook einfach sagt, dass der EuGH unrecht hat. Es ist eine unglaubliche Ignoranz gegenüber dem Rechtsstaat, die in Irland ohne Konsequenzen bleibt. Kein Wunder, dass Facebook dieses Dokument vertraulich behandeln will. Es zeigt auch, dass Facebook eigentlich rechtlich 'nackt' ist - was zu massiven Strafen und "
Vier Dokumente. noyb macht den Inhalt der vier relevanten Dokumente transparent: Ein "Outline"-Dokument stellt klar, dass Facebook in drei Schritten zu dem Schluss kommt, dass es trotz zweier EuGH-Urteile weiterhin Daten in die USA übermitteln darf: Das erste Dokument widerspricht direkt zwei EuGH-Urteilen, in denen festgestellt wurde, dass US-Überwachungsgesetze gegen EU-Grundrechte verstoßen. Stattdessen vertritt Facebook in einem "Equivalence Assessment" die Auffassung, dass die Gesetze der EU und der USA tatsächlich gleichwertig sind. Zweitens heißt es in dem "Factor Assessment" von Facebook, dass das Risiko für die Nutzer:innen minimal ist - auch dies steht im direkten Widerspruch zu den Urteilen des EuGH. In einem dritten Dokument werden in Facebooks "Record of Safeguards" verschiedene Maßnahmen genannt, die eine Verletzung des EU-Rechts ausgleichen sollen. Tatsächlich ist keine dieser Maßnahmen für US-Massenüberwachung relevant. Es handelt sich um eine Liste von Mindeststandards (gemäß Artikel 32 DSGVO), die unabhängig von den US-Überwachungsgesetzen gelten und von praktisch jeder kleinen Webseite befolgt werden.
Während die umfangreichen 86 Seiten versuchen, den Eindruck einer ausgefeilten Analyse zu erwecken, ist das Kernelement der Bewertung von Facebook in der Schlussfolgerung der TIA von Facebook zusammengefasst:
Mit anderen Worten: Facebook behauptet einfach, das US-Recht sei dem EU-Recht "gleichwertig", obwohl der Europäische Gerichtshof in zwei Entscheidungen das Gegenteil festgestellt hat.
Deeper Dive: noyb hat vier Videos erstellt, in denen Zusammenfassungen aller vier Dokumente vorgelesen werden. Dies ist Teil eines "Deep Dive" in diese Dokumente, in dem auch der Inhalt dieser Dokumente näher erläutert wird. Klicke hier für den "Deep Dive". In Anbetracht des Risikos, dass Facebook und die irische Datenschutzbehörde ungerechtfertigte aber teure Klagen gegen noyb erheben könnten, haben wir uns entschlossen, die Dokumente im Detail zu lesen und zu beschreiben, damit sich jeder ein Bild von den Dokumenten machen kann und das Risiko von "SLAPP"-Klagen durch Facebook oder die irische Datenschutzbehörde minimiert wird.
Keine Entscheidung der DPC trotz Verpflichtung. Die zugrundeliegende Beschwerde ist seit 2013 anhängig und war Gegenstand von fünf irischen Verfahren und zwei Verfahren vor dem Europäischen Gerichtshof, die über 10 Millionen Euro gekostet haben. Einen groben Überblick über den Fall gibt es in der untenstehenden Grafik. Im Jahr 2020 hat der EuGH erneut ausdrücklich festgestellt, dass die Datenschutzbehörde "verpflichtet ist ... Übermittlung ... in ein Drittland auszusetzen oder zu verbieten" (Randnummer 121). Auch in der jüngsten Einigung zwischen der Datenschutzbehörde und Herrn Schrems wurde noch am 12.1.2020 eine rasche Entscheidung versprochen. 8,5 Jahre nach der ersten Beschwerde ist immer noch keine Entscheidung in Sicht - und das, obwohl der Datenschutzbeauftragte wiederholt die Klärungen "begrüßte", die durch die jeweiligen Niederlagen vor den Gerichten erreicht wurde. Selbst wenn eine erste Entscheidung des DPC ergehen würde, würde sie vermutlich mehrere Berufungsgerichte in Irland für Jahre beschäftigen. Gleichzeitig scheint der Fall für Facebook nicht zu gewinnen: Rechtlich ist der Kontzern "nackt" und muss mit massiven Strafen und einem massiven Umbau des Geschäfts mit einer EU- und eine US-Einheit rechnen.
SCC-Update der Europäischen Kommission von Facebook missbraucht? Grundlage für Facebooks "Transfer Impact Assessment" ist Klausel 14 der neuen "Standardvertragsklauseln", die von der Europäischen Kommission am 4.6.2021 erlassen wurden. Dieses neue Regelwerk wurde anwendbar, da die irische DPC über ein Jahr keine Entscheidung zur Beschwerde getroffen hat. Damit wurde Facebook erlaubt weiterhin ständig zu neuen Rechtsgrundlagen für Datenübermittlungen zur gewechselt (erst "Safe Harbor", dann "Privacy Shield" und die alten SCCs und jetzt die neuen SCCs). Zusätzlich zu diesen verschiedenen Rechtsgrundlagen hat Facebook vor kurzem auch die "vertragliche Notwendigkeit" und die "Einwilligung" für alle Datenübermittlungen gemäß Artikel 49(1) der DSGVO angeführt. Bislang scheint die DPC diese neuen Argumente überhaupt nicht untersucht zu haben.
Schrems:"Die irische DPC ist extrem langsam und hat ihre Verfahren nicht im Griff. Facebook wechselt ständig zu einem anderen Argument, während die DPC noch nicht einmal über die Beschwerde von 2013 entschieden hat. Facebook dominiert dieses Verfahren - und nicht die DPC."
Mögliche "SLAPP-Klage" von DPC und Facebook. Angesichts zahlreicher Drohungen trotz einer klaren Rechtsgrundlage für diese Veröffentlichungen muss noyb leider mit unbegründeten "SLAPP-Klagen" (siehe eine großartige Zusammenfassung von John Oliver, leider nur auf YouTube) durch die DPC und/oder Facebook Ireland Limited rechnen. Es ist nicht unwahrscheinlich, dass Facebook oder die DPC versuchen werden, einen Fall nach Irland oder Großbritannien zu bringen, da diese Rechtssysteme extrem teuer sind und eine perfekte Gerichtsbarkeit bieten, um eine NGO zu ruinieren. Wir haben daher die entsprechenden Dokumente in diesen Ländern teilweise blockiert.