Am Donnerstag kündigte die irische Datenschutzbehörde (DPC) an, dass sie den Datentransfer zwischen Meta Platforms Ireland und der US-amerikanischen Muttergesellschaft stoppen könnte, wodurch Facebook in Europa praktisch zum Erliegen käme.
Lesen Sie hier die vollständige Erklärung von Politico.eu, die als erste darüber berichteten
<blockquote>
Am 7. Juli 2022 um 12:37 Uhr MEZ von Vincent Manancourt.
Die Europäer laufen Gefahr, dass die Social-Media-Dienste Facebook und Instagram diesen Sommer abgeschaltet werden, da die irische Datenschutzbehörde ihre Anordnung, den Datenfluss der Unternehmen in die Vereinigten Staaten zu stoppen, noch einmal verschärft hat.
Die irische Datenschutzkommission teilte ihren europäischen Kollegen am Donnerstag mit, dass sie den Facebook-Eigentümer Meta daran hindern wird, Nutzerdaten aus Europa in die USA zu übermitteln. Der Entscheidungsentwurf der irischen Aufsichtsbehörde ist ein harter Schlag gegen Metas letzte legale Möglichkeit, große Datenmengen in die USA zu übermitteln, nachdem sich der US-Tech-Riese und europäische Datenschützer jahrelang erbittert vor Gericht gestritten hatten.
Der Europäische Gerichtshof hatte im Jahr 2020 ein Abkommen zwischen der EU und den USA über den Datenverkehr, das so genannte Privacy Shield, aufgrund von Befürchtungen über die Überwachungspraktiken der USA für nichtig erklärt. Mit seinem Urteil erschwerte er auch die Verwendung eines anderen rechtlichen Instruments, das Meta und viele andere US-Firmen für die Übermittlung personenbezogener Daten in die USA nutzen, die sogenannten Standardvertragsklauseln (SCC). Die Entscheidung aus Irland von dieser Woche bedeutet, dass Facebook gezwungen ist, sich ebenfalls nicht mehr auf SCCs zu verlassen.
Meta hat wiederholt davor gewarnt, dass eine solche Entscheidung die Schließung vieler seiner Dienste in Europa, einschließlich Facebook und Instagram, zur Folge hätte.
"Wenn kein neuer transatlantischer Rahmen für den Datentransfer angenommen wird und wir nicht in der Lage sind, uns weiterhin auf SCCs zu verlassen oder andere alternative Mittel für den Datentransfer von Europa in die Vereinigten Staaten zu nutzen, werden wir wahrscheinlich nicht in der Lage sein, eine Reihe unserer wichtigsten Produkte und Dienste, einschließlich Facebook und Instagram, in Europa anzubieten", sagte Meta in einer Einreichung bei der U.S. Securities and Exchange Commission im März dieses Jahres.
Sollte die irische Sperrungsverfügung von der Gruppe der europäischen Datenschutzbehörden bestätigt werden, dürfte sie auch die Geschäftswelt aufschrecken, die sich seit dem Urteil des obersten EU-Gerichts im Jahr 2020 fragt, wie sie weiterhin Daten von Europa in die USA senden soll.
Die EU und die USA verhandeln derzeit über einen neuen Text für den Datentransfer, der es Unternehmen wie Meta ermöglichen würde, unabhängig von der irischen Anordnung weiterhin Daten über den Atlantik zu schicken. Brüssel und Washington haben sich im März auf eine vorläufige Einigung auf politischer Ebene geeinigt, aber die Verhandlungen über das juristische Kleingedruckte sind ins Stocken geraten, so dass eine endgültige Einigung nicht vor Ende des Jahres zu erwarten ist.
Ein Sprecher des irischen Datenschutzbeauftragten bestätigte, dass der Entscheidungsentwurf an die anderen europäischen Datenschutzbehörden geschickt wurde, die nun einen Monat Zeit haben, ihren Beitrag zu leisten, wollte aber keine Einzelheiten der Entscheidung nennen.
"Dieser Entscheidungsentwurf, der von den europäischen Datenschutzbehörden geprüft werden muss, bezieht sich auf einen Konflikt zwischen EU- und US-Recht, der derzeit gelöst wird", sagte ein Meta-Sprecher. "Wir begrüßen die Einigung zwischen der EU und den USA auf einen neuen Rechtsrahmen, der den weiteren grenzüberschreitenden Datentransfer ermöglichen wird, und wir erwarten, dass dieser Rahmen es uns ermöglichen wird, Familien, Gemeinschaften und Volkswirtschaften miteinander zu verbinden."
View source at politico.eu.
</blockquote>Die Datenschutzbehörde hat einen Beschluss zur Einstellung der Datenübermittlung von Meta an Facebook verfasst und dem Europäischen Datenschutzausschuss vorgelegt. Die Datenschutzbehörden anderer EU-Mitgliedstaaten haben einen Monat Zeit, um ihre Ansichten und Einwände einzubringen, bevor der Beschluss umgesetzt wird, aber das Verfahren wird wahrscheinlich länger dauern. Der Schritt könnte die größte Störung in der Geschichte des Social-Media-Riesen bedeuten. Der DPC hat den Inhalt des Entwurfs nicht bekannt gegeben.
Zu Beginn dieses Jahres erklärte Facebook, dass die Verfügbarkeit seiner Produkte beeinträchtigt werden könnte, wenn es nicht in der Lage ist, Daten ins Ausland zu übertragen. Dieses Szenario scheint nun kurz davor zu stehen, Realität zu werden.
(Update: Der Europäische Datenschutzbeauftragte hat sich direkt in den Fall eingeschaltet. Am Ende wurde Meta zu einer Rekordstrafe von 1,2 Milliarden Euro verurteilt und angewiesen, die US-Datenübermittlung für Facebook auszusetzen. Die Bedingungen für die Aussetzungsanordnung stehen noch aus, und die Gefahr eines Blackouts von Facebook ist realer denn je. Wir haben ausführlich über diese Entscheidung berichtet)
- Facebook und Schrems. Eine lange Geschichte
- Durchgreifende Maßnahmen gegen Google Analytics
- Privacy Shield 2.0
- Auswirkungen des Facebook-Verbots
- Abschließende Gedanken
Facebook und Schrems. Eine lange Geschichte
Der Entscheidungsentwurf ist das Ergebnis eines langen und komplexen Rechtsstreits zwischen Max Schrems und Facebook. Vor neun Jahren reichte der Datenschutzaktivist Max Schrems bei der Datenschutzbehörde eine Beschwerde über die Datenübermittlung von Facebook ein, da er nach den Snowden-Enthüllungen Bedenken hinsichtlich des Datenschutzes hatte. Der Fall landete zweimal vor dem EU-Gerichtshof, der in den bahnbrechenden Fällen Schrems I und II zwei Rahmenregelungen für Datenübermittlungen zwischen der EU und den USA für ungültig erklärte.
Schrems II hat die Datenübermittlung in die USA erschwert, da der Gerichtshof die Notwendigkeit hervorhob, wirksame Schutzmaßnahmen gegen die Überwachung durch die USA zu ergreifen - was für europäische Unternehmen schwierig und oft unmöglich ist.
Nach dem US-Überwachungsgesetz gilt Facebook als "Anbieter elektronischer Kommunikationsdienste" und ist daher verpflichtet, auf Anfrage Daten an den US-Geheimdienst weiterzugeben. Das bedeutet, dass US-Behörden auf die personenbezogenen Daten von EU-Bürgern zugreifen können.
Das Mandat der Datenschutz-Grundverordnung ist einfach: der Schutz der Privatsphäre der europäischen Daten. Dies kann nicht gewährleistet werden, wenn personenbezogene Daten aus der EU an Facebook-Server in den USA übermittelt werden.
Durchgreifende Maßnahmen gegen Google Analytics
Das Schrems-II-Urteil führte erst Anfang dieses Jahres zu einer Reaktion der Datenschutzbehörden, als die DSB (Österreich) die Verwendung von Google Analytics verbot. CNIL (Frankreich) folgte schnell, und Garante (Italien) verbot Google Analytics ebenfalls letzte Woche. Weitere EU-Mitgliedstaaten werden in den kommenden Monaten wahrscheinlich folgen.
(Aktualisierung: Finnland und Norwegen haben sich gegen Google Analytics ausgesprochen - obwohl die Ergebnisse der norwegischen Behörde noch vorläufig sind. Außerdem hat Dänemark in einer Pressemitteilung im Wesentlichen die gleiche Haltung eingenommen.
Privacy Shield 2.0
Ein Sprecher von Facebook wies darauf hin, dass das Problem derzeit gelöst wird, und bezog sich dabei auf ein neues Abkommen zwischen den USA und der EU, das die weitere Übermittlung von Daten ermöglichen wird. Das sogenannte Privacy Shield 2.0. Allerdings ist das Abkommen noch lange nicht abgeschlossen. Sowohl die EU(hier) als auch die USA(hier) kündigten eine neue Vereinbarung über einen neuen Rahmen für den transatlantischen Datentransfer an, aber es wurde noch kein Rechtsdokument vorgelegt.
Max Schrems (ja, der von der Rechtsprechung) merkte an:
"Der endgültige Text wird mehr Zeit brauchen; sobald er vorliegt, werden wir ihn zusammen mit unseren US-Rechtsexperten eingehend analysieren. Wenn er nicht im Einklang mit dem EU-Recht steht, werden wir oder eine andere Gruppe ihn wahrscheinlich anfechten. Am Ende wird der Europäische Gerichtshof ein drittes Mal entscheiden. Wir gehen davon aus, dass die Angelegenheit innerhalb weniger Monate nach einer endgültigen Entscheidung wieder vor dem Gerichtshof verhandelt wird.
Update: Der neue Rahmen für die Datenübermittlung zwischen der EU und den USA ist auf dem Weg. US-Präsident Joe Biden unterzeichnete im Oktober 2022 eine Durchführungsverordnung und die Europäische Kommission veröffentlichte zwei Monate später einen [Entwurf eines Angemessenheitsbeschlusses] für die USA. Zusammen sollen diese beiden Rechtsakte die Grundlage für den Transatlantischen Datenschutzrahmen bilden.
Der neue Rahmen ist in mancherlei Hinsicht noch problematisch und wird sicherlich vor Gericht angefochten werden. Auch im EU-Parlament stößt er auf Widerstand. Wir sehen einem weiteren Schrems-Urteil entgegen, und es ist schwer zu sagen, wie es ausgehen wird.
Auswirkungen des Facebook-Verbots
Ein ungelöster Konflikt über die transatlantische Datenübermittlung könnte erhebliche Auswirkungen auf (fast) alle Europäer haben. Es klingt unrealistisch, dass Facebook für EU-Bürger nicht verfügbar sein soll, aber das könnte sehr wohl Realität werden.
Im Februar erklärte die Leiterin der Datenschutzbehörde Helen Dixon gegenüber der Nachrichtenagentur Reuters, dass sich eine Entscheidung nicht unmittelbar auf WhatsApp auswirken würde, da das Unternehmen einen anderen Datenverantwortlichen hat.
Es klingt hart, aber endlich zeigt die Datenschutz-Grundverordnung ihre Zähne. Datenschutz ist ein Menschenrecht und sollte auch als solches behandelt werden. Google und Facebook sind durch die Monetarisierung unserer Daten zu den größten Monopolunternehmen der Welt geworden. Dieses Modell bekommt Risse, da immer mehr Verbraucher Datenschutz fordern.
Abschließende Gedanken
Wir haben Simple Analytics gegründet, weil uns der Datenschutz am Herzen liegt. Unser "Kampf" richtet sich hauptsächlich gegen Google, denn Simple Analytics ist eine datenschutzfreundliche Alternative zu Google Analytics, aber es geht noch weiter. Wir glauben an ein unabhängiges Web, das freundlich zu den Besuchern von Websites ist.
Um ein offeneres Web zu schaffen, müssen wir eine andere Denkweise annehmen. Wir müssen Wege finden, um uns nicht mehr auf die größten Werbeunternehmen der Welt zu verlassen. Wir müssen wirklich herausfinden, wie wir uns von diesen datenfressenden Bestien unabhängig machen können.
Um dies zu ändern, brauchen wir Alternativen, die uns dies ermöglichen. Und ja, wir sind voreingenommen, weil wir eine datenschutzfreundliche Alternative zu Google Analytics entwickelt haben. Aber wenn diese Botschaft bei Ihnen Anklang findet, sollten Sie sich all diese in der EU ansässigen Alternativen für digitale Produkte ansehen und sich selbst davon überzeugen.