»noybs« zweite »Adventlesung«: Wie die irische Datenschutzbehörde Facebooks »DSGVO-Umgehung« in europäischen Leitlinien lobbyieren wollte

In dieser Woche veröffentlicht »noyb« im Rahmen der »Adventlesungen« drei Dokumente von der irischen Datenschutzbehörde (DPC) und Facebook: Ein Brief von Facebook an den irischen Datenschutzbeauftragten bestätigt, dass die irische Behörde 2017 und 2018 zehn Treffen mit Facebook hatte, um die Umgehung der DSGVO durch Facebook zu diskutieren und zu vereinbaren. Die weiteren Dokumente zeigen, dass die DPC diese Umgehung für »Social Media«-Konzerne in den Leitlinien des Europäischen Datenschutzausschusses (EDSA) durchsetzen wollte, aber mit harscher Kritik von anderen europäischen Datenschutzbehörden konfrontiert wurde, bis hin zu Kommentaren wie »Wir denken, dass diese Interpretation das System und den Geist der DSGVO untergräbt« oder »Damit wird die DSGVO auf ein Pro-Forma-Instrument reduziert.«

Eine satirische »Aventlesung« (inspiriert von Charles Dickons »A Christmas Carol«) findet sich als Video auf noyb.eu …

Zehn Treffen zwischen #Facebook und der DPC. Ab November 2017 hat sich Facebook zehn Mal mit der irischen DPC getroffen, um die Umsetzung der DSGVO zu besprechen. Bei diesen Treffen haben sich das multinationale Unternehmen und die irische Aufsichtsbehörde auf eine »Umgehung der #DSGVO« geeinigt, indem die Einwilligungsklausel einfach in die Geschäftsbedingungen von Facebook verschoben wurde. So wurde behauptet, dass dadurch die strengen Regeln der DSGVO zur Einwilligung gemäß Artikel 6 (1) (a) der DSGVO umgangen werden könnten, stattdessen aber Artikel 6 (1) (b) für normale Verträge anwendbar sei, der keine »freiwillige«, »informierte« und »spezifische« Einwilligung benötigt.

Die vorgeschlagenen EDSA-Leitlinien. Neu entdeckte Dokumente zeigen noch weitergehendes Engagement der DPC: Im Jahr 2018 startete die irische DPC dann eine Initiative auf EU-Ebene und initiierte eine Arbeitsgruppe zu Artikel 6 (1) (b)  – also genau zu der Bestimmung, die zuvor mit Facebook für die DSGVO-Umgehung genutzt wurde. Die DPC leitete die Gruppe, der sich andere europäische Behörden anschlossen. Das erste Treffen fand im April 2018 statt. Welche anderen Behörden genau an der Gruppe beteiligt waren, ist aus den Dokumenten nicht ersichtlich. Im Oktober 2018 schickte die irische Behörde dann ein Schreiben, in dem ein »strenger« aber auch ein auf »Vertragsfreiheit« beruhender Ansatz skizziert wurde. »Vertragsfreiheit« war in diesem Fall ein Euphemismus dafür, dass Verantwortliche einfach alles in ihre Geschäftsbedingungen schreiben und so die DSGVO umgehen können. Die DPC übermittelte auch einen Entwurf von EDSA-Leitlinien, die den Unternehmen die Möglichkeit geben sollen, einfach eine Klausel in ihre Geschäftsbedingungen aufzunehmen. Datenverarbeitung solle damit für den Vertrag »notwendig« werden und eine Einwilligung damit nicht mehr notwendig sein.

Reaktion der anderen Datenschutzbehörden. Die Reaktionen der anderen Datenschutzbehörden waren äußerst negativ. Einige Beispiele sind (A70): »dieser Vorschlag scheint die Monetarisierung personenbezogener Daten und die Umgehung der anderen Rechtsgrundlagen zuzulassen (siehe Kommentare oben). Wir sind der Meinung, dass diese Auslegung das System und den Geist der Datenschutz-Grundverordnung untergräbt.« oder (A90): »Dem ist nicht zuzustimmen. Dadurch wird die DSGVO auf ein Proforma-Instrument reduziert.« oder (A103): »Das widerspricht allem, woran wir glauben (sorry, aber das ist wahr), sowie früheren A29WP-Leitlinien.«

Die Rolle von »Social Media« in den Leitlinien. Bei den Leitlinien handelt es sich um allgemeine Leitlinien für alle Wirtschaftszweige. Der Vorschlag der irischen Behörde konzentriert sich jedoch wiederholt auf »Soziale Netzwerke« und »Soziale Medien«, also genau auf den Wirtschaftszweig, in dem Facebook de facto eine Monopolstellung hat. Andere Datenschutzbehörden bemerken dies in ihren Kommentaren (A96): »Außerdem scheinen sich alle Beispiele auf soziale Netzwerke zu beziehen.« oder (A105): »Wir schlagen vor, dieses Beispiel zu streichen, da es sich erneut auf soziale Medien bezieht.« Andere Kommentare griffen explizit den Vorschlag der DPC an, dass »soziale Medien« einfach alle Daten verwenden könnten für Werbung im Rahmen eines Vertrags (A103): »Ist es möglich, Social-Media-Konten ohne Tracking und Profiling anzubieten? Ja, das ist in der Tat möglich. Daher ist das Tracking oder Profiling für die Erfüllung dieses Vertrags nicht erforderlich.«

Konflikt mit anhängigem Fall? Besonders interessant ist, dass die DPC diesen Vorschlag gemacht hat, als eine Beschwerde von »noyb« über die Umgehung der Einwilligung von Facebook bereits bei der DPC anhängig war. Anstatt eine neutrale Position als Entscheidungsträger einzunehmen, hat die DPC sogar versucht, auf europäischer Ebene Lobbyarbeit für Facebooks DSGVO-Umgehung zu betreiben.

Das Endergebnis. Die anderen Datenschutzbehörden haben das Projekt abgeschlossen und als EDSA Leitlinien 2/2019 veröffentlicht. Alle Verweise auf soziale Netzwerke und die Möglichkeit, die Einwilligung über einen angeblichen »Vertrag« zu umgehen, wurden entfernt. Die DPC wollte offenbar die Veröffentlichung dieser Leitlinien, die ihrer Vereinbarung mit Facebook nun zu 100% widersprechen, verzögern – war dabei jedoch nicht erfolgreich.

Max Schrems, Vorsitzender von »noyb.eu«: »Die Dokumente zeigen einen klaren Plan: Zuerst hat sich die irische Regulierungsbehörde mit Facebook auf eine Umgehung der DSGVO geeinigt. Dann versucht sie, diese Umgehung in europäische Richtlinien zu quetschen. Die DPC handelt eindeutig nicht im Interesse des Datenschutzes, sondern im Interesse der multinationalen US-Konzerne. Normalerweise sind es die Lobbyisten von Facebook, die Richtlinien im Interesse ihrer Branche beeinflussen wollen, hier hat sich aber die Datenschutzbehörde in einen Lobbyisten verwandelt.«

Rechtlicher Status der Dokumente. Die EDSA-Dokumente wurden vom EDSA im Rahmen der EU-Regeln zur Informationsfreiheit zur Verfügung gestellt. Das Schreiben von Facebook wurde gemäß Paragraph 17 des österreichischen Allgemeinen Verwaltungsverfahrensgesetzes (AVG) übermittelt und wurde daher nicht als vertraulich eingestuft - trotz der Aufschrift »Streng Vertraulich« und der Forderung von Facebook, dass die DPC die Dokumente nicht weitergeben darf.

Alle Dokumente: Nachfolgend finden Sie alle Dokumente, die wir im Zuge dieser Adventlesung veröffentlicht haben. Wir empfehlen dringend, zuerst unsere Ãœbersicht zu lesen, da der Leitlinien-Entwurf und die Kommentar-Nummerierung beim ersten Lesen etwas verwirrend ist. Die Autorenschaft ergibt sich aus Kommentar A89R88, da dieser nicht geschwärzt wurde und lautet: »The Irish DPC is concerned that …«, was zeigt, dass die DPC der Verfasser der Reaktionen auf diese Kommentare ist. Dies und alle weiteren Fakten wurden auch aus anderen Quellen bestätigt. Auf eine Anfrage zur Stellungnahme hat die DPC nicht reagiert und die Fakten auch nicht bestritten.

Hinweis

Bei den EDSA-Dokumenten wurden die Namen der einzelnen Datenschutzbehörden entfernt. Kommentare haben jedoch in der Regel eine Nummer, die mit »A« beginnt (zum Beispiel »A88«). Reaktionen der irischen Datenschutzbehörde auf diese Kommentare haben in der Regel ein »R« in der Nummer, das angibt, welcher Kommentar eine Reaktion auf den Kommentar nach dieser Nummer ist (»A89R88« ist also Kommentar 89, aber auch eine Reaktion auf »A88«). Bei Seiten mit zu vielen oder zu langen Kommentaren finden sich die Kommentare auf den letzten Seiten des Dokuments unter der entsprechenden Nummer, die mit »A« beginnt.

»noyb.eu« – Europäisches Zentrum für Digitale Rechte. Der Verein »noyb.eu« treibt seit Mai 2018 die Durchsetzung von Europäischen Datenschutzrechten voran und hat bisher mehr als 140 Verfahren gegen zahlreiche vorsätzliche Verstöße eingebracht – unter anderem gegen Unternehmen wie #Google, #Apple, #Facebook und #Amazon. Mehr als 4.300 Fördermitglieder ermöglichen die Arbeit von »noyb.eu«.