Oostenrijkse DSB: Meta tracking tools onwettig
In een baanbrekende beslissing in een van noybs 101 klachten, heeft de Oostenrijkse gegevensbeschermingsautoriteit (DSB) besloten dat het gebruik van Facebook's tracking pixel direct in strijd is met de GDPR en het zogenaamde "Schrems II" besluit over trans-Atlantische gegevensstromen. In 2020 besloot het Hof van Justitie (HvJEU) dat het gebruik van Amerikaanse providers in strijd is met de GDPR, aangezien Amerikaanse bewakingswetten Amerikaanse bedrijven, zoals Facebook, verplichten om persoonsgegevens van gebruikers te verstrekken aan Amerikaanse autoriteiten.
- Besluit van de Oostenrijkse DSB (DUITS)
- Automatisch vertaald besluit (EN)
- Samenvatting van de zaak op GDPRhub (EN)
uitspraak HvJEU 2020 slaat aan. In juli 2020 oordeelde het HvJEU dat een overdracht aan Amerikaanse providers die onder FISA 702 en EO 12.333 vallen, in strijd is met de regels voor internationale gegevensoverdrachten in de GDPR. Het HvJEU heeft bijgevolg de doorgifteovereenkomst "Privacy Shield" nietig verklaard, nadat het de vorige overeenkomst "Safe Harbor" in 2015 nietig had verklaard. Hoewel dit schokgolven door de techindustrie stuurde, hebben Amerikaanse providers en gegevensexporteurs uit de EU de zaak grotendeels genegeerd. Net als Microsoft, Google of Amazon heeft Facebook vertrouwd op zogenaamde "Standard Contract Clauses" en "aanvullende maatregelen" om gegevensoverdrachten voort te zetten en zijn Europese zakenpartners te kalmeren. Daarom heeft noyb in augustus 2020 101 klachten ingediend tegen websites die ondanks duidelijke rechterlijke uitspraken nog steeds Google Analytics en Facebook Tracking tools gebruiken.
"Facebook heeft gedaan alsof zijn commerciƫle klanten zijn technologie kunnen blijven gebruiken, ondanks twee arresten van het Hof van Justitie die het tegendeel beweren. Nu heeft de eerste regelgever een klant verteld dat het gebruik van Facebook-trackingtechnologie illegaal is." - Max Schrems, voorzitter van noyb.eu
Illegale doorgifte van gegevens via Facebook Login en Meta Pixel. De beslissing van de DSB om Google Analytics illegaal te verklaren, geldt ook voor de "Facebook Login" en "Meta Pixel" tools die Meta aanbiedt: Als deze tools worden gebruikt, worden gegevens onvermijdelijk doorgegeven aan de VS, waar de gegevens het risico lopen van toezicht door inlichtingendiensten. Europese websitebeheerders wordt daarom geadviseerd geen tools van Meta op hun websites op te nemen.
Besluit relevant voor bijna alle EU-websites. Veel websites gebruiken de trackingtechnologie van Facebook om gebruikers te volgen en gepersonaliseerde reclame te tonen. Wanneer websites deze technologie opnemen, sturen ze ook alle gebruikersgegevens door naar de Amerikaanse multinational en vervolgens naar de NSA. Hoewel de Europese Commissie nog steeds streeft naar publicatie van de derde overeenkomst inzake gegevensoverdracht tussen de EU en de VS, betekent het feit dat de Amerikaanse wetgeving nog steeds bulksurveillance toestaat dat deze kwestie niet snel zal worden opgelost.
Oplossing op lange termijn. Op lange termijn lijken er twee opties te zijn: Ofwel past de VS de basisbescherming voor buitenlanders aan om hun techindustrie te ondersteunen, ofwel zullen Amerikaanse providers buitenlandse gegevens buiten de Verenigde Staten moeten hosten. Het is bekend dat Meta door zijn in de VS gevestigde systeem categorisch niet kan garanderen dat de gegevens van Europese burgers niet worden onderschept door Amerikaanse inlichtingendiensten.
Geen sanctie. Er is geen informatie of er een sanctie is opgelegd en of de DSB van plan is ook een sanctie op te leggen. De GDPR voorziet in boetes tot 20 miljoen euro of 4% van de wereldwijde omzet in dergelijke gevallen, maar gegevensbeschermingsautoriteiten lijken niet bereid boetes uit te delen, ondanks het feit dat voor de verwerking verantwoordelijken twee arresten van het HvJEU meer dan twee jaar lang hebben genegeerd.