Zweite noyb "Adventlesung" aus Facebook/DPC-Dokumenten

04 Dez 2021

noyb's zweite "Adventlesung": Wie die irische Datenschutzbehörde Facebooks "DSGVO-Umgehung" in europäischen Leitlinien bringen wollte.

In dieser Woche veröffentlicht noyb im Rahmen der "Adventlesungen" drei Dokumente von der irischen Datenschutzbehörde (DPC) und Facebook: Ein Brief von Facebook an den irischen Datenschutzbeauftragten bestätigt, dass die irische Behörde 2017 und 2018 zehn Treffen mit Facebook hatte, um die Umgehung der DSGVO durch Facebook zu diskutieren und zu vereinbaren. Die weiteren Dokumente zeigen, dass die DPC diese Umgehung für "Social Media"-Konzerne in den Leitlinien des Europäischen Datenschutzausschusses (EDSA) durchsetzen wollte, aber mit harscher Kritik von anderen europäischen Datenschutzbehörden konfrontiert wurde, bis hin zu Kommentaren wie "Wir denken, dass diese Interpretation das System und den Geist der DSGVO untergräbt" oder "Damit wird die DSGVO auf ein Pro-Forma-Instrument reduziert."

Zehn Treffen zwischen Facebook und der DPC. Ab November 2017 hat sich Facebook zehn Mal mit der irischen DPC getroffen, um die Umsetzung der DSGVO zu besprechen. Bei diesen Treffen haben sich das multinationale Unternehmen und die irische Aufsichtsbehörde auf eine "Umgehung der DSGVO" geeinigt, indem die Einwilligungsklausel einfach in die Geschäftsbedingungen von Facebook verschoben wurde. So wurde behauptet, dass dadurch die strengen Regeln der DSGVO zur Einwilligung gemäß Artikel 6(1)(a) der DSGVO umgangen werden könnten, stattdessen aber Artikel 6(1)(b) für normale Verträge anwendbar sei, der keine "freiwillige", "informierte" und "spezifische" Einwilligung benötigt.

Die vorgeschlagenen EDSA-Leitlinien. Neu entdeckte Dokumente zeigen noch weitergehendes Engagement der DPC: Im Jahr 2018 startete die irische DPC dann eine Initiative auf EU-Ebene und initiierte eine Arbeitsgruppe zu Artikel 6(1)(b)  - also genau zu der Bestimmung, die zuvor mit Facebook für die DSGVO-Umgehung genutzt wurde. Die DPC leitete die Gruppe, der sich andere europäische Behörden anschlossen. Das erste Treffen fand im April 2018 statt. Welche anderen Behörden genau an der Gruppe beteiligt waren, ist aus den Dokumenten nicht ersichtlich. Im Oktober 2018 schickte die irische Behörde dann ein Schreiben, in dem ein "strenger" aber auch ein auf "Vertragsfreiheit" beruhender Ansatz skizziert wurde. "Vertragsfreiheit" war in diesem Fall ein Euphemismus dafür, dass Verantwortliche einfach alles in ihre Geschäftsbedingungen schreiben und so die DSGVO umgehen können. Die DPC übermittelte auch einen Entwurf von EDSA-Leitlinien, die den Unternehmen die Möglichkeit geben sollen, einfach eine Klausel in ihre Geschäftsbedingungen aufzunehmen. Datenverarbeitung solle damit für den Vertrag "notwendig" werden und eine Einwilligung damit nicht mehr notwendig sein.

Reaktion der anderen Datenschutzbehörden. Die Reaktionen der anderen Datenschutzbehörden waren äußerst negativ. Einige Beispiele sind (A70):"dieser Vorschlag scheint die Monetarisierung personenbezogener Daten und die Umgehung der anderen Rechtsgrundlagen zuzulassen (siehe Kommentare oben). Wir sind der Meinung, dass diese Auslegung das System und den Geist der Datenschutz-Grundverordnung untergräbt." oder (A90): "Dem ist nicht zuzustimmen. Dadurch wird die DSGVO auf ein Proforma-Instrument reduziert." oder (A103): "Das widerspricht allem, woran wir glauben (sorry, aber das ist wahr), sowie früheren A29WP-Leitlinien."

Die Rolle von "Social Media" in den Leitlinien. Bei den Leitlinien handelt es sich um allgemeine Leitlinien für alle Wirtschaftszweige. Der Vorschlag der irischen Behörde konzentriert sich jedoch wiederholt auf "Soziale Netzwerke" und "Soziale Medien", also genau auf den Wirtschaftszweig, in dem Facebook de facto eine Monopolstellung hat. Andere Datenschutzbehörden bemerken dies in ihren Kommentaren (A96): "Außerdem scheinen sich alle Beispiele auf soziale Netzwerke zu beziehen." oder (A105): "Wir schlagen vor, dieses Beispiel zu streichen, da es sich erneut auf soziale Medien bezieht." Andere Kommentare griffen explizit den Vorschlag der DPC an, dass "soziale Medien" einfach alle Daten verwenden könnten für Werbung im Rahmen eines Vertrags (A103): "Ist es möglich, Social-Media-Konten ohne Tracking und Profiling anzubieten? Ja, das ist in der Tat möglich. Daher ist das Tracking oder Profiling für die Erfüllung dieses Vertrags nicht erforderlich."

Konflikt mit anhängigem Fall? Besonders interessant ist, dass die DPC diesen Vorschlag gemacht hat, als eine Beschwerde von noyb über die Umgehung der Einwilligung von Facebook bereits bei der DPC anhängig war. Anstatt eine neutrale Position als Entscheidungsträger einzunehmen, hat die DPC sogar versucht, auf europäischer Ebene Lobbyarbeit für Facebooks DSGVO-Umgehung zu betreiben.

Das Endergebnis. Die anderen Datenschutzbehörden haben das Projekt abgeschlossen und als EDSA Leitlinien 2/2019 veröffentlicht. Alle Verweise auf soziale Netzwerke und die Möglichkeit, die Einwilligung über einen angeblichen "Vertrag" zu umgehen, wurden entfernt. Die DPC wollte offenbar die Veröffentlichung dieser Leitlinien, die ihrer Vereinbarung mit Facebook nun zu 100% widersprechen, verzögern - war dabei jedoch nicht erfolgreich.

Max Schrems, Vorsitzender von noyb.eu: "Die Dokumente zeigen einen klaren Plan: Zuerst hat sich die irische Regulierungsbehörde mit Facebook auf eine Umgehung der DSGVO geeinigt. Dann versucht sie, diese Umgehung in europäische Richtlinien zu quetschen. Die DPC handelt eindeutig nicht im Interesse des Datenschutzes, sondern im Interesse der multinationalen US-Konzerne. Normalerweise sind es die Lobbyisten von Facebook, die Richtlinien im Interesse ihrer Branche beeinflussen wollen, hier hat sich aber die Datenschutzbehörde in einen Lobbyisten verwandelt."

Rechtlicher Status der Dokumente. Die EDSA-Dokumente wurden vom EDSA im Rahmen der EU-Regeln zur Informationsfreiheit zur Verfügung gestellt. Das Schreiben von Facebook wurde gemäß § 17 des österreichischen Allgemeinen Verwaltungsverfahrensgesetzes (AVG) übermittelt und wurde daher nicht als vertraulich eingestuft - trotz der Aufschrift "Streng Vertraulich" und der Forderung von Facebook, dass die DPC die Dokumente nicht weitergeben darf.

Alle Dokumente: Nachfolgend finden Sie alle Dokumente, die wir im Zuge dieser Adventlesung veröffentlicht haben. Wir empfehlen dringend, zuerst unsere Übersicht zu lesen, da der Leitlinien-Entwurf und die Kommentar-Nummerierung beim ersten Lesen etwas verwirrend ist. Die Autorenschaft ergibt sich aus Kommentar A89R88, da dieser nicht geschwärzt wurde und lautet: "The Irish DPC is concerned that... ", was zeigt, dass die DPC der Verfasser der Reaktionen auf diese Kommentare ist. Dies und alle weiteren Fakten wurden auch aus anderen Quellen bestätigt. Auf eine Anfrage zur Stellungnahme hat die DPC nicht reagiert und die Fakten auch nicht bestritten.

Hinweis: Bei den EDSA-Dokumenten wurden die Namen der einzelnen Datenschutzbehörden entfernt. Kommentare haben jedoch in der Regel eine Nummer, die mit "A" beginnt (z. B. "A88"). Reaktionen der irischen Datenschutzbehörde auf diese Kommentare haben in der Regel ein "R" in der Nummer, das angibt, welcher Kommentar eine Reaktion auf den Kommentar nach dieser Nummer ist ("A89R88" ist also Kommentar 89, aber auch eine Reaktion auf A88"). Bei Seiten mit zu vielen oder zu langen Kommentaren finden sich die Kommentare auf den letzten Seiten des Dokuments unter der entsprechenden Nummer, die mit "A" beginnt.

Here you can watch a video with many of these comments read out by noyb staff and current or former noyb trainees:

Role of "Social Media" in the Guidelines. The guidelines are general guidelines for any industry sector, however the DPC proposal is repeatedly focusing on "social networks" and "social media", so exactly the industry sector where Facebook has a de facto monopoly. Other DPAs notices this in their comments (A96): "Furthermore, all the examples seem to relate to social networks." or (A105) “We suggest removing this example, as this refers again to social media." Other comments explicitly attacked the DPC's suggestion that "social media" could just use all data for advertisement under a contract (A103): "Is it possible to provide social media accounts without tracking and profiling? Yes, in fact it is. Therefore, tracking or profiling is not necessary for the performance of that contract."

Conflict with pending Case? It is especially interesting that the DPC has made these proposals, when a complaint by noyb on Facebook's consent bypass was already before the regulator. Instead of taking a neutral position, DPC has even tried to lobby for Facebook's GDPR bypass on the European level.

The End Result. The subgroup has finished the project and published them as EDPB Guidelines 2/2019. All references to social networks and the option to bypass consent via an alleged "contract" were removed, against the DPC's position. The DPC seems to have proposed to delay the publication of the guidelines that go contrary to their agreement with Facebook, but was not successful with delaying the (now highly unfavourable) guidelines either. According to POLITICO, the DPC was the only DPA voting against the final guidelines.

Max Schrems, chairperson of noyb.eu: "The documents show a clear plan: First the Irish regulator agreed on a GDPR bypass with Facebook. Then it tries to squeeze this bypass into European guidelines. The DPC clearly does not act in the interest of data protection, but in the interest of US multinationals. Usually it is Facebook lobbyists that try to influence guidelines in the interest of their industry sector, here the regulator has turned into a lobbyist."

Legal Status of Documents. The EDPB documents were provided by the EDPB under the EU freedom of information rules. The letter by Facebook was provided under § 17 of the Austrian Administrative Act (AVG) and was therefore not deemed confidential - despite being stamped "strictly confidential" and Facebook's demand that the DPC may not share the documents.

All Documents: Below you can find all documents we published for this advent reading. We highly recommend to also read our overview first, as the draft document is slightly confusing when read the first time. Comment A89R88 is especially relevant, as it was not blackened and says "The Irish DPC is concerned that...", showing that the DPC is the author of these reactions. We have confirmed this via additional sources and digital fragments in the documents. The DPC did not react when asked for a comment, but also did not deny authorship.

Note: For the EDPB documents, it should be noted that the names of individual DPAs were removed. However, comments usually have a number starting with "A" (like "A88") reactions by the Irish DPC to these comments, usually have an "R" in the number, which indicates which comment this is a reaction to the comment after that number ("A89R88" is therefore comment 89, but also a reaction to A88"). On pages with too many comments, the comments can be found on the final pages of the document, under the relevant number starting with "A".