Die österreichische Datenschutzbehörde (DSB) hatte kürzlich im Rahmen eines Beschwerdeverfahrens gegen einen Betreiber eines Online-Nachrichtenportals und den US-Konzern „Meta“ zu beurteilen, ob die Verwendung von Facebook Login und Meta-Pixel im August 2020 rechtskonform erfolgte und hat entschieden, dass dies nicht der Fall war. Der Betreiber der Website hatte die Tools auf seiner Website implementiert, wodurch es zu einem rechtswidrigen Drittstaatstransfer von personenbezogenen Daten in die USA gekommen sei.
Konsequenz sei seine Haftung als Verantwortlicher im Sinne der Datenschutzgrundverordnung (DSGVO), die Entscheidung ist nicht rechtskräftig.
Datenübermittlung in die USA und Tracking
Mit Urteil vom 16. Juli 2020 erklärte der EuGH das „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, für ungültig, da dieser aufgrund des einschlägigen Rechts in den USA und der Durchführung von behördlichen Überwachungsprogrammen kein angemessenes Schutzniveau für natürliche Personen gewährleistet. Die Übermittlung personenbezogener Daten in die USA kann damit nicht mehr auf das „Privacy Shield“ gestützt werden.
Die DSGVO sieht neben den Angemessenheitsbeschlüssen der EU-Kommission grundsätzlich, aber auch weitere Möglichkeiten für einen Datentransfer in einen Drittstaat vor:
Zunächst kann ein solcher Datentransfer auf Standardvertragsklauseln (SCC) gestützt werden, die die Europäische Kommission am 7. Juli 2021 neu herausgegeben hat (EU/2021/914). Nach den neuen SCC sind Datenexporteure dazu verpflichtet, das Schutzniveau im Empfängerstaat in einem sogenannten Transfer Impact Assessment (TIA) zu prüfen, bevor die entsprechenden SCC abgeschlossen und Datenübermittlung vorgenommen werden. Durch diese Einzelfallbewertung sollen die notwendigen „ergänzenden Maßnahmen“ für die Datenübermittlung in Drittländer bestimmt und umgesetzt werden können.
Weiters besteht nach Art 49 Abs 1 lit a DSGVO die Möglichkeit, die Datenübermittlung auf die ausdrückliche Einwilligung der betroffenen Person zu stützen. Der Europäische Datenschutzausschuss vertritt bisher dazu jedoch die Auffassung, dass eine wiederholte Übermittlung nicht auf diesen Ausnahmetatbestand gestützt werden könne.
Die Verwendung von Facebook Login und Meta-Pixel ermöglichen nun ein vereinfachtes Einloggen auf Websites unter Nutzung der Facebook-Daten des Users bzw tracken User der Website und analysieren ihr Verhalten. Ähnlich wie bei Google Analytics werden dabei Cookies auf den Festplatten der Endgeräte der User gesetzt und personenbezogene Daten wie IP-Adresse udgl an Meta Irland übermittelt. Meta Irland wiederum übermittelt die Daten an Meta Platforms Inc. in die USA.
Feststellungen der österreichischen Datenschutzbehörde
Die DSB stellte im gegenständlichen Verfahren nun einen Verstoß gegen die allgemeinen Grundsätze der Datenübermittlung nach Art 44 ff DSGVO fest: Obwohl der EuGH das „Privacy Shield“, also den Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA, bereits am 16. Juli 2020 für unwirksam erklärt hatte, stützten sich der Betreiber der Website und Meta im August 2020 weiterhin auf diese Grundlage für den Drittstaatstransfer.
Die erst nach August 2020 eingeführten Standardvertragsklauseln konnten keine rechtwirksame Grundlage mehr für die Datenübermittlung in die USA im verfahrensgegenständlichen Zeitpunkt bieten.
Eine Ausnahme iSd Art. 49 DSGVO war ebenfalls nicht erfüllt, insbesondere habe der Betreiber der Website keine ausdrückliche Einwilligung für den Drittstaatstransfer eingeholt.
Websitebetreiber ist Verantwortlicher
Wichtige Aussagen sind der Entscheidung auch im Hinblick auf die Rollenverteilung zu entnehmen: Mit der Entscheidung, die Meta Tools zu implementieren, wird der Websitebetreiber Verantwortlicher und haftet für die Auswahl seiner Auftragsverarbeiter. Durch Akzeptieren der Datenverarbeitungsbedingungen von Meta Irland stimmt der Websitebetreiber der Übermittlung personenbezogener Daten seiner Websiteuser an Meta Platforms Inc. zu. Meta Irland ist laut Entscheidung der DSB als Auftragsverarbeiter, Meta Platforms Inc. als Unterauftragsverarbeiter des Websitebetreibers anzusehen.
Haftung der Websitebetreiber
Wird die Entscheidung rechtskräftig, ist die Implementierung dieser „Meta Business Tools“ durch Websitebetreiber auch unter Verwendung der neuen SSC durchaus als kritisch zu sehen. Meta Platforms Inc. unterliegt als US-Provider iSd 50 U.S. Code (FISA 702) den Zugriffsbefugnissen der US-Behörden und kann verpflichtet werden, personenbezogene Daten seiner User an US-Behörden weiterzugeben. Laut dem Transparenzbericht von Meta stellen US-Geheimbehörden auch regelmäßig derartige Anfragen. Es ist fraglich, ob die Anforderungen an das nunmehr ergänzend notwendige TIA, das diese Risiken berücksichtigen muss, unter diesen Gesichtspunkten überhaupt erfüllt werden können.
Ob die Übermittlung von personenbezogenen Daten auf Grundlage einer ausdrücklichen Einwilligung nach Art 49 Abs 1 lit a DSGVO zulässig ist, ist weiterhin nicht entschieden.
Sollte diese Vorgehensweisen ebenfalls als unzulässig beurteilt werden, drohen bei einer rechtswidrigen Verwendung der „Meta Business Tools“ jedenfalls Geldstrafen bis zu 20 Millionen EUR oder 4% des weltweiten Jahresumsatzes.
Empfehlung
Für den Fall der Rechtskraft der Entscheidung sollten die genannten Tools daher – um jedenfalls auf der rechtssicheren Seite zu sein – von Websites rasch entfernt und stattdessen datenschutzkonforme Produkte eingesetzt werden. Eine neue Abmahnwelle wie etwa nach Google Fonts erscheint nicht ausgeschlossen.
Bei Fragen steht Ihnen das KWR-Datenschutzteam zur Verfügung.