Österrikiska DSB: Metaspårningsverktyg olagliga
I ett banbrytande beslut i ett av noybs 101 klagomål har den österrikiska dataskyddsmyndigheten (DSB) beslutat att användningen av Facebooks spårningspixel direkt bryter mot GDPR och det så kallade "Schrems II"-beslutet om transatlantiska dataflöden. Under 2020 beslutade EU-domstolen att användningen av amerikanska leverantörer strider mot GDPR, eftersom amerikanska övervakningslagar kräver att amerikanska företag, som Facebook, tillhandahåller användarnas personuppgifter till amerikanska myndigheter.
- Beslut av österrikiska DSB (på tyska)
- Autotolkad version avbeslutet (EN)
- Sammanfattning av ärendet på GDPRhub (EN)
eU-domstolens avgörande från 2020 slår igenom i den verkliga världen. I juli 2020 slog EU-domstolen fast att en överföring till amerikanska leverantörer som omfattas av FISA 702 och EO 12.333 strider mot reglerna om internationella dataöverföringar i GDPR. EU-domstolen ogiltigförklarade därmed överföringsavtalet "Privacy Shield", efter att ha ogiltigförklarat det tidigare avtalet "Safe Harbor" 2015. Även om detta sände chockvågor genom teknikbranschen har amerikanska leverantörer och EU:s dataexportörer i stort sett ignorerat fallet. Precis som Microsoft, Google eller Amazon har Facebook förlitat sig på så kallade "standardavtalsklausuler" och "kompletterande åtgärder" för att fortsätta dataöverföringar och lugna sina europeiska affärspartners. Därför lämnade noyb i augusti 2020 in 101 klagomål mot webbplatser som fortfarande använder Google Analytics och Facebooks spårningsverktyg trots tydliga domstolsbeslut.
"Facebook har låtsats att dess kommersiella kunder kan fortsätta att använda dess teknik, trots två domar från EU-domstolen som säger motsatsen. Nu har den första tillsynsmyndigheten sagt till en kund att det är olagligt attanvända Facebooks spårningsteknik." - Max Schrems, ordförande för noyb.eu
Olaglig dataöverföring via Facebook Login och Meta Pixel. DSB: s beslut att förklara Google Analytics olagligt gäller också för verktygen "Facebook Login" och "Meta Pixel" som tillhandahålls av Meta: Om dessa verktyg används överförs data oundvikligen till USA, där data riskerar att övervakas av underrättelsetjänsten. Europeiska webbplatsoperatörer rekommenderas därför att inte inkludera några verktyg från Meta på sina webbplatser.
Beslutet är relevant för nästan alla webbplatser i EU. Många webbplatser använder Facebooks spårningsteknik för att spåra användare och visa personlig reklam. När webbplatser inkluderar denna teknik vidarebefordrar de också all användardata till det amerikanska multinationella företaget och vidare till NSA. Även om EU-kommissionen fortfarande siktar på att offentliggöra det tredje avtalet om dataöverföring mellan EU och USA, innebär det faktum att amerikansk lag fortfarande tillåter massövervakning att denna fråga inte kommer att lösas inom en snar framtid.
Långsiktig lösning. I det långa loppet verkar det finnas två alternativ: Antingen anpassar USA det grundläggande skyddet för utlänningar för att stödja sin teknikindustri, eller så måste amerikanska leverantörer lagra utländska data utanför USA. Det är välkänt att Meta på grund av sitt USA-baserade system kategoriskt inte kan säkerställa att uppgifterna om europeiska medborgare inte fångas upp av amerikanska underrättelsetjänster.
Ingen påföljd. Det finns ingen information om huruvida en påföljd utfärdades eller om DSB planerar att också utfärda en påföljd. GDPR föreskriver påföljder på upp till 20 miljoner euro eller 4 % av den globala omsättningen i sådana fall, men dataskyddsmyndigheterna verkar ovilliga att utfärda böter, trots att de personuppgiftsansvariga har ignorerat två domar från EU-domstolen i mer än två år.
