Offener Brief deckt "geheimes" Vorgehen in Facebook-Fall auf

24 Mai 2020

Stunden nachdem die neue DSGVO am 25. Mai 2018 in Kraft getreten war, reichte die der europäische Verein noyb.eu drei Beschwerden gegen die Facebook-Gruppe ein (darunter WhatsApp und Instagram). Seither hat die irische Datenschutzbehörde (DPC) den Inhalt des endlosen Verfahrens als "geheim" deklariert und noyb.eu angewiesen sich dazu nicht öffentlich zu äußern.

Entgegen dieser angeblichen Vertraulichkeit veröffentlicht noyb.eu heute einen Offenen Brief (PDF, Englisch), in dem minutiös erklärt wird, wie die DSGVO zwei Jahre nach der Anwendbarkeit weiter (nicht) durchgesetzt wird. Selbst im Rahmen des beschriebenen Verfahrens droht der Facebook‑Gruppe jedoch möglicherweise immer noch eine Geldstrafe von bis zu 2,5 Milliarden Euro, wenn die DPC einem internen Untersuchungsbericht folgt.

Geheime Treffen zu DSGVO-Umgehung zwischen DPC und Facebook. Der offene Brief macht erstmals öffentlich, dass die irische DPC und die Facebook-Gruppe (einschließlich WhatsApp und Instagram) zehn geheime Treffen hatten, bevor die DSGVO 2018 in Kraft trat. Bei diesen Treffen behauptet Facebook, dass es zur Umgehung der strengen DSGVO-Einwilligung (Details siehe unten) „eine detaillierte direkte Zusammenarbeit [engl. Engagement] mit der DPC“ gegeben habe. Obwohl sich Facebook im jetzigen Verfahren auf diese Besprechungen beruft und hervorhebt, dass die Dokumente „von der Behörde erörtert [engl. considered]“ wurden, verweigert die Behörde jede Akteneinsicht.

Max Schrems, Vorsitzender von noyb.eu: „Es klingt sehr nach diesen geheimen ‚Tax Rulings‘, bei denen sich die Steuerbehörden heimlich mit großen Technologieunternehmen darüber einigen, wie die Steuergesetze umgangen werden können - nur dass sie das jetzt auch mit der DSGVO tun.“

Die illegale "Einwilligungs-Umgehung" von Facebook. In den Verfahren, die sich mit drei von noyb.eu vor zwei Jahren eingereichte Beschwerden beschäftigen, räumt die Facebook-Gruppe offen ein, dass sie einfach von einer streng regulierten "Einwilligung" zu einem angeblichen "Datennutzungsvertrag" mit ihren Nutzern übergegangen ist. Der Vertrag verpflichtet Facebook angeblich dazu Nutzer zu tracken, Werbung zu personalisieren oder Forschung mit Nutzerdaten zu betreiben. Laut Facebook geschah dieser Wechsel genau um Mitternacht, als die GDPR anwendbar wurde. Ein solcher „Scheingeschäft“ bei dem durch eine Umbenennung das Gesetz umgangen werden soll ist nicht neues. In allen bekannten Rechtsordnungen sind solche angeblichen Verträge nichtig.

Max Schrems: "Seit den Römern sind Umgehungsgeschäfte illegal. Was Facebook hier versuchte, ist nicht smart, sondern lächerlich. Aber es ist beunruhigend, dass die irische Datenschutzbehörde diese DSGVO-Umgehung gemeinsam mit Facebook ausbaldowert hat und das jetzt gleichzeitig ‚unabhängig‘ prüft."

In einer vom Gallup-Institut durchgeführten Studie zu dieser Umgehung glauben 64% von 1.000 Nutzern, dass sie eine Einwilligung gegeben haben. Je nach Fragestellung glaubten nur 1,6 bis 2,5%, dass sie tatsächlich einen "Datennutzungsvertrag" abgeschlossen haben, der die Verpflichtung von Facebook beinhaltet, ihre Daten für Werbung oder Forschung zu nutzen. Der Rest dachte, es handele sich um eine bloße Information, einen Vertrag ohne solche Pflichten oder konnte keinen Sinn in der Erklärung erkennen. Max Schrems: „Von 1.000 Facebook-Nutzern hat praktisch keiner den Eindruck hier einen solchen ‚Datennutzungsvertrag‘ unterschrieben zu haben.“

DPC beschränkt die rechtliche Analyse des "Vertrags" auf das Wörterbuch. Ein Grund weswegen die irische DPC kein Problem mit dem angeblichen "Datennutzungsvertrag" sehen konnte ist wohl, dass die DPC einfach entschieden hat, dass die Analyse eines solchen Vertrags außerhalb ihrer Befugnisse liegt ("ultra vires"). Anstatt den Vertrag nach dem anwendbaren Recht zu analysieren, zitierte die DPC in ihren Berichten die Definition des Worts "Vertrag" aus dem Oxford English Dictionary.

Schrems: „Es hat sich über Jahrhunderte als erfolgreich Erwiesen Recht mit Hilfe der Gesetze zu interpretieren, nicht mit dem Wörterbuch. Die irische Behörde will offensichtlich, den angeblichen ‚Datennutzungsvertrag‘ von Facebook nicht überprüfen.

DPC feiert den Abschluss von 1 von 6 Schritten in zwei Jahren. In einer öffentlichen Erklärung am vergangenen Freitagabend nannte das DPC überraschenderweise die drei von noyb.eu ausgelösten Verfahren als Beispiele für große Fortschritte in der Arbeit der Behörde. Dabei brauchte die DPC zwei Jahre um nur einen von 6 Schritten ihres Verfahrens bei WhatsApp und Instagram und zwei von 6 Schritten bei Facebook abzuschließen (siehe Tabelle). Angesichts der Tatsache, dass das DPC allein im Jahr 2019 7.125 Beschwerden und keine einzige DSGVO-Strage gegen einen privaten Akteur meldete, ist das kaum ein Erfolg.

Max Schrems: „Die etwa 10.000 Beschwerdeführer in Irland müssen sich für dumm verkauft fühlen, wenn die dortige Datenschutzbehörde versucht einen von sechs Schritten nach zwei Jahren als Erfolg zu verkaufen."

Selbst Kopieren des eigenen Berichts dauerte 10 Monate. Dass die Behörde zwei Berichtsentwürfe (Schritt 1 von 6 im irischen Verfahren) zu WhatsApp und Instagram als Erfolg verkaufen wollte, erschien noch grotesker als noyb.eu feststellte, dass die Berichte zu 76 bis 82% gleichlautend mit einem Facebook-Bericht aus 2019 sind.

Max Schrems: "Wir haben die Berichtsentwürfe zu Instagram und WhatsApp durch eine Software zur Plagiatserkennung laufen lassen. Das Ergebnis: 76% bzw. 82% waren identisch mit einem Berichtsentwurf aus dem letzten Jahr zu Facebook. Es scheint, dass die Behörde allein 10 Monate gebraucht haben, um den eigenen Berichtsentwurf zu kopieren. Zum Vergleich: In Österreich muss in 6 Monaten das ganze Verfahren fertig sein."

DPC-Bericht: Verletzung von Transparenzregeln. Strafe könnte Milliarden betragen. Obwohl die DPC die Umgehung der DSGVO durch Facebook nicht überprüfen wollte, stellt ein interner Untersuchungsbericht dennoch eine Verletzung der Transparenzregeln in Artikel 5 DSGVO fest, da die Nutzer von Facebook, WhatsApp und Instagram nicht angemessen über die Rechtsgrundlagen informiert wären. Sollte die DPC diese Ansicht beibehalten, müsste sie eine "wirksame, angemessene und abschreckende" Strafe von bis zu 4% des Jahresumsatzes (bis zu € 2,5 Milliarden) verhängen.

Max Schrems: „Im Kern sagt der Bericht Facebook kann die Nutzer schon verarschen - nur eben offensichtlicher. Aber auch das würde bedeuten, dass Facebook, Instagram und WhatsApp die Daten aller europäischen Nutzer entgegen der DSGVO verarbeitet. Selbst wenn die DPC nur bei diesem Punkt hart bleibt, könnte sich die Strafe auf bis zu 2,5 Milliarden Euro belaufen.

Die Europäische Kommission und die Datenschutzbehörden müssen Maßnahmen ergreifen. In dem Offenen Brief fordert noyb.eu auch die Europäische Kommission auf, Maßnahmen gegen Irland zu ergreifen. Mit etwa 10.000 Beschwerden in zwei Jahren und keinerlei Geldstrafen gegen private Akteure ist es offensichtlich, dass Irland das EU-Recht nicht wirksam umsetzt.

Der Offene Brief fordert auch die anderen europäische Datenschutzbehörden auf, Maßnahmen zu ergreifen, wenn Kollegen ihren Verpflichtungen nicht nachkommen. Während die DSGVO die Kooperation sehr ungenau regelt, erlaubt die DSGVO aber andere Börden aufzufordern, bestimmte Maßnahmen zu ergreifen oder ein "Dringlichkeitsverfahren" einzuleiten, wenn Kollegen inaktiv sind.

Schrems: "Einige Datenschutzbehörde haben ja schon öffentlich gesagt, dass sie über Irland frustriert sind, aber man kann auch was tun. Die DSGVO sieht vor, dass die Behörden sich auch gegenseitig überwachen. Solche Anträge haben wir zum Beispiel jetzt bei der österreichischen Datenschutzbehörde gestellt.“

Um die Kooperation zu unterstützen, hat noyb.eu alle relevanten Dokumente zu den anhängigen Verfahren an die anderen europäischen Datenschutzbehörden geschickt, obwohl der irische DPC ausdrücklich darauf bestanden hat, dass noyb.eu diese Dokumente nicht an Kollegen weitergeben darf.

Hintergrund zu noyb.eu. noyb.eu ist eine europäische gemeinnützige Datenschutzorganisation, die versucht, die Durchsetzung der DSGVO sicherzustellen. noyb.eu wird von mehr als 3.200 unterstützenden Mitgliedern finanziert. Zum 15-köpfigen Team gehören Datenschutzjuristen und Informatiker aus verschiedenen EU-Mitgliedsstaaten. Bislang hat noyb.eu mehr als 20 DSGVO-Verfahren zu verschiedenen Themen und gegen Unternehmen wie Amazon, Apple, Google, Facebook, DAZN, SoundCloud und Netflix eingebracht.