[English]Die irische Datenschutzbehörde DPC hat der, von Max Schrems in Österreich gegründeten, Datenschutzorganisation noyb eine sogenannte Take Down-Notice geschickt. Das ist eine Aufforderung, ein veröffentlichtes Dokument von der Webseite der Organisation zu nehmen. Im Dokument geht es um einen Entscheidungsentwurf der DPC, in dem ein von Facebook verwendeter Trick legalisiert werden soll. Die DPC stuft diesen Entwurf als vertraulich ein, noyb sieht dies aber anders.
Anzeige
Der Sachverhalt
Die irische Datenschutzbehörde DPC versucht hat den anderen europäischen Datenschutzbehörden einen "Entscheidungsentwurf" (PDF) bezüglich eines juristischen Tricks vorgelegt, mit dem Facebook die DSGVO umgeht. Facebooks rechtliche Argumentation ist laut Max Schrems und noyb simpel: Wird die Vereinbarung als "Vertrag" (Artikel 6(1)(b) DSGVO) statt als "Einwilligung" (Artikel 6(1)(a) DSGVO) ausgelegt, sollen die strengen Vorschriften der DSGVO für den Konzern nicht mehr gelten. Facebook könnte daher sämtliche verfügbaren Daten für alle seine Dienste nutzen – Werbung und Online-Tracking eingeschlossen. Facebook müsste Nutzer und Nutzerinnen dann nicht mehr um eine freiwillige Einwilligung bitten oder ihnen die Möglichkeit geben, diese jederzeit zu widerrufen. Diese Umstellung von "Einwilligung" auf "Vertrag" erfolgte am 25.5.2018 um Mitternacht – exakt zu dem Zeitpunkt, als die DSGVO in Europa in Kraft trat. Die Organisation noyb hat entsprechenden Dokumente veröffentlicht und in diesem Artikel zu den Details Stellung genommen.
DPC verlangt Entfernung der Dokumente
Ich bin über den nachfolgenden Tweet der Kollegen von Golem auf den betreffenden Sachverhalt gestoßen, der von Golem in diesem Artikel thematisiert wird.
Noyb hat das Ganze in diesem Artikel veröffentlicht und schreibt, dass man von der irischen DPC noyb eine Aufforderung erhalten habe, veröffentlichte Dokumente zu löschen. Es geht um den oben angesprochenen Entscheidungsentwurf der Facebook-Nutzern und -Nutzerinnen Rechte im Rahmen der DSGVO entziehen soll. Noyb werde im Schreiben aufgefordert:
Anzeige
den Entscheidungsentwurf unverzüglich von Ihrer Website zu entfernen und von jeder weiteren oder sonstigen Veröffentlichung oder Weitergabe desselben abzusehen
Noyb gibt auf ihrer Webseite die eigene Position wieder und schreibt, dass man sich selbst zensieren solle. Noyb schlägt der DPC vor, vor einem österreichischen Gericht zu klagen, um die Dokumente entfernen zu lassen. An dieser Stelle scheint der Vorgang klar …
Die Position der DPC
Ich habe mir dann das auf englisch verfasste Schreiben (PDF) der DPC mal kurz angesehen. Die irische DPC argumentiert im Schreiben, dass der eigentliche Entscheidungsprozess zwischen Behörde, Facebook (Beschwerdegegner) und dem Beschwerdeführer (hier ooyb) als vertraulich vereinbar worden sei. Das sei Noyb auch bekannt gewesen und so vereinbart worden. Die irische DPC schreibt dazu:
- In Anerkennung der Vertraulichkeit von Untersuchungsunterlagen im Rahmen des Untersuchungsverfahrens haben Sie [Schrems/noyb] zuvor angeboten "eine Geheimhaltungsvereinbarung ("NDA") oder eine andere Vereinbarung zu unterzeichnen, die den Zugang zu diesen Dokumenten auf bestimmte Personen beschränken würde". Es wurde auch ausdrücklich darauf hingewiesen dass dieser Schritt sicherstellen würde, "dass keine Informationen veröffentlicht oder außerhalb dieses Verfahrens verwendet werden …".
- In Übereinstimmung mit dem Standpunkt dieses Amtes in Bezug auf die Vertraulichkeit von Untersuchungsunterlagen, haben wir [DPC]Ihnen [noyb] bei der späteren Freigabe einer Kopie des Entwurfs des Untersuchungsberichts folgendes geschrieben: "Der Inhalt des Berichtsentwurfs und der Anhänge sollte zu diesem Zeitpunkt streng vertraulich behandelt werden, … um die Integrität des Untersuchungsprozesses zu gewährleisten, insbesondere in Anbetracht der Tatsache, dass sich der Inhalt der Materialien auf den Gegenstand einer offenen Untersuchung bezieht die von diesem Amt noch geprüft wird".
Also ist die Position der irischen Behörde: Es ist aktuell ein Abstimmungsprozess im Gange, und auch noyb hatte Vertraulichkeit (allerdings auf freiwilliger Basis und mit bestimmten Bedingungen) vereinbart. Zwischen den Zeilen des Papiers lese ich, dass noyb nie eine Geheimhaltungsvereinbarung ("NDA") unterschrieben oder bedingungslos akzeptiert hat.
Vorgeblich unklarer Sachverhalt
Einerseits gibt es daher ein Interesse, die Öffentlichkeit über entsprechende Verfahren zu informieren. Andererseits ist es im Interesse der Beteiligten am Verfahren, wenn nicht jede interne Information an die Öffentlichkeit gelangt. Kritisch wäre es, wenn noyb im laufenden Verfahren einer Vertraulichkeitsvereinbarung zugestimmt hätte. Dann wäre es unzulässig, wenn Zwischendokumente und Entwürfe öffentlich diskutiert werden. Im IPC-Dokument wird hervorgehoben, dass NOYB sich in einem Schreiben vom 4. Oktober 2019, das an die österreichische Datenschutzbehörde gerichtet war, verpflichtet habe, die Vertraulichkeit des Untersuchungsmaterials zu wahren. Es wird zitiert:
Wir werden daher weiterhin (auf freiwilliger Basis) keine Veröffentlichung oder Weitergabe des Inhalt der Akte (wie z.B. den "Entscheidungsentwurf") vornehmen oder Inhalte kommunizieren ….
Merkwürdig ist aber, dass auf Schreiben vom 2019 verwiesen wird, aber Dokumente von 2021 vertraulich sein sollen. Hier scheint es formal ziemlich unterschiedliche Positionen von noyb und der irischen Datenschutzbehörde zu geben. Hier wäre es von Interesse, mehr Details zu haben, die noyb auch liefert.
Die Position von noyb
In ihrer Stellungnahme schreibt noyb, dass man eine betroffene Person vor der österreichischen Datenschutzbehörde (DSB) vertrete und daher § 17 des österreichischen Verwaltungsverfahrensgesetzes (AVG) unterliege. Diese sieht aber keine Einschränkungen hinsichtlich der Verwendung von Dokumenten vor, was von der österreichischen Datenschutzbehörde mehrfach bestätigt worden sei.
Dann geht noyb auch auf die oben von mir angerissene Position des irischen DPC ein, dass Vertraulichkeit vereinbart worden sei. Die Datenschutzaktivisten werfen der DPC vor, selektiv aus verschiedenen Schriftwechseln, in denen die DPC auf die Vertraulichkeit der Dokumente bestand, zitiert zu haben. Dazu heißt es:
Aus allen relevanten Dokumenten geht jedoch hervor, dass noyb diesen Standpunkt nicht akzeptiert, sondern im Interesse einer reibungslosen Zusammenarbeit zwischen der Datenschutzbehörde und der österreichischen Datenschutzbehörde von der Veröffentlichung der betreffenden Dokumente während der Untersuchung absieht. Entgegen den Andeutungen im Schreiben der Datenschutzbehörde hat noyb zu keinem Zeitpunkt eine Verpflichtung oder Zusicherung abgegeben, diese Dokumente nicht zu verwenden.
Das ist schon eine klare Position, und Max Schrems, Vorsitzender von noyb, sagt dazu:
Die DPC weiß, dass es keine rechtliche Grundlage gibt, um zu verlangen, dass wir relevante Dokumente der Öffentlichkeit vorenthalten. Stattdessen zitieren sie nun Briefe, die teilweise mehr als zwei Jahre alt sind. Wenn man diese Briefe vollständig liest, bestätigen sie alle, dass wir uns immer geweigert haben, diese Dokumente als vertraulich zu sehen.
Dieser Brief ist Teil eines allgemeinen Ansatzes der DPC, Kritik zu unterdrücken. Die DPC verlangt von Beschwerdeführern regelmäßig verschiedene 'Non Disclosure'-Vereinbarungen und bittet Journalisten sogar darum, Fragen vorab zu genehmigen. Insgesamt will die DPC jede Information in der Öffentlichkeit kontrollieren, was in einer demokratischen Gesellschaft absurd ist.
Noyb wirft der DPC vor, dass sie seit langem ein System der Einschränkung des öffentlichen Engagements und der Transparenz verfolge und sich dabei auf einen weitreichende Ausnahmeregelung des irischen Gesetzes über die Informationsfreiheit beziehe. noyb hat, so die Aussage der Datenschutzaktivisten, gemäß Artikel 80 DSGVO die Aufgabe, mit den Behörden zusammenzuarbeiten und die Entwicklung der DSGVO zu verfolgen. Dazu können auch die Veröffentlichung von Entscheidungen gehören, die für die Öffentlichkeit von Bedeutung sind, sofern dies gesetzlich zulässig ist. Noyb schreibt, dass viele europäische Datenschutzbehörden selbst aktiv Entscheidungen veröffentlichen, um die Öffentlichkeit transparent zu informieren. Max Schrems schreibt dazu:
Wir haben ein sehr positives Verhältnis zu den Behörden, auch wenn es unterschiedliche Auffassungen gibt. In einer demokratischen Gesellschaft ist es normal, dass die Akteure der Zivilgesellschaft die Entscheidungen von Behörden auch in Frage stellen. Die DPC ist die einzige öffentliche Einrichtung, die ich kenne, die solche Kritik nicht akzeptiert und extreme Anstrengungen unternimmt, um die öffentliche Debatte zum Schweigen zu bringen.
Ähnliche Artikel:
Facebook-Klage von Max Schrems landet vor dem EuGH
Datenschutz-Sammelklage von Max Schrems gegen Facebook
Wie Irlands IDPC systematisch Google, Facebook & Co. vor DSGVO-Verfahren schützen
Facebook droht mit Rückzug aus der EU wegen Datenschutzauflagen
WhatsApp kassiert 225 Millionen Euro DSGVO-Strafe
EuGH kippt EU-US-Datenschutzvereinbarung "Privacy Shield"
Anzeige
Mal wieder eine interessante Geschichte. Da ich nicht bei FB bin habe ich die Umstellung nicht mitbekommen.
Auf meine Nachfrage bei Bekannten und Freunden die bei FB sind, ob sie wissen das sie einen Vertrag abgeschlossen haben erntete ich ungläubiges Staunen. Keiner wusste das!
Nun will ich keine repräsentativen Umfragen starten und nehme einfach mal an, dass der große Rest der FB-Kunden ebenfalls keinerlei Kenntnis von einem Vertragsabschluss hat. Da fragt man sich dann was FB eigentlich geworden ist. Es scheint FB ist nicht besser als dubiose Callcenter bei denen man selbst auf unverfängliche Fragen tunlichst nicht mit "Ja" antworten sollte, anderen Falls wird einem ein Vertag untergeschoben …
Die DPC scheint, zumindest wenn ich diesen Artikel hier richtig einordne, FB bei dieser dubiosen Masche zu unterstützen. Da fragt man sich doch echt was da hinter den Kulissen wirklich noch so alles los ist…
Ich sehe bis heute diese … DPC ganz auf der Seite solcher Tec-Unternehmen. Irland zeigt Europa seinen Mittelfinger und freut sich über Steuereinnahmen. Aber auch bei uns rulez money.
"Auf meine Nachfrage bei Bekannten und Freunden die bei FB sind, ob sie wissen das sie einen Vertrag abgeschlossen haben erntete ich ungläubiges Staunen. Keiner wusste das!"
Wie sollten sie auch? Dazu müssten sie ja einmal im Leben durchlesen, was sie da abnicken. Auch wenn die Masche perfide ist, so ist auch eine gehörige Selbstschuld dabei.
Generell frage ich mich, was das für eine "Datenschutzbehörde" sein soll. Im Sinne der Bürger handelt sie offenbar nicht. Ist sowieso sehr merkwürdig, dass die irische Behörde für so etwas zuständig ist und keine der EU. Der Interessenskonflikt (Datenschutz vs. Firmensitze mitsamt den Folgen) ist doch unübersehbar. Solch eine Behörde sollte man ersatzlos streichen, wenn sie eh nur der Vertuschung dient.
Es ist komplexer – selbst wer das durchliest und sogar versteht, hat das Problem, dass er i.d.R. ohne juristische Vollausbildung nicht sofort rafft, dass er eine Vereinbarung schließt und keine Zustimmung. War mir bisher auch nicht so klar.
Nebenbemerkung: Wer FB privat nutzt, sollte schon drüber nachdenken, den Exit zu machen. Ich selbst stehe aktuell vor dem Problem, dass ich da einen Großteil der Leserschaft in den Admin-Gruppen (Deutsch, Englisch) erreiche – da könnte der Exit vermutlich mit der Einstellung meiner Blogs zusammen fallen. Aber in FB komme ich andererseits nur als Blogger vor. Einziges Problem ist noch das Tracking, was FB ggf. über viele Webseiten versuchen könnte. Und FB bietet mir bei einer Anmeldung zumindest das Setzen von granularen Zustimmungs-Cookies an.
Ich sag mal so, die meisten AGBs sind so verfasst, dass der Normalo nicht 100%ig durchblickt.
Ob man in diesem konkreten Fall einen Vertrag abschließt oder eine Zustimmung abgibt oder was auch immer, macht hier in der Praxis wirklich nicht den großen Unterschied. Das Endergebnis ist letztendlich dasselbe und zu Ungunsten des Nutzers. Und genau so ist doch seit Jahren und auch kein Geheimnis mehr. Genauso, dass man den FB-Konzern komplett meiden sollte.
Nun ist es so, FB hätte 2018 gegen die DSGVO verstoßen und wollte das durch den Vertrag umgehen. Glaubt wirklich jemand, dass wenn da jetzt ganz fett "Vertrag" und die daraus folgenden Unterschiede gestanden hätte, dass das eine signifikante Anzahl der Nutzer nicht akzeptiert hätte? Bei WA haben wir es doch gesehen, fast alle haben die neuen Konditionen letztendlich akzeptiert. Die Nutzer haben sich über die Jahre einfach abhängig gemacht und sind somit erpressbar.
Aber sind wir ehrlich, die Wenigsten lesen sich heute Verträge oder Einverständniserklärungen komplett durch. Und dann wundert man sich über Werbung die man erhält… Auch wenn Teile nur schwer bis gar nicht zu verstehen sind, so sollte man sich zumindest die Mühe machen.
Kernpunkt in diesem Artikel ist jedoch die irische Datenschutzbehörde, die den europäischen Nutzern einen fetten Tritt in den Hintern verpassen möchte.
FB ist ein eigen Ding mit zwei Gesichtern. Wer da seine Zielgrupe wiederfindet braucht es und sieht zugleich die Schädlichkeit von FB selbst. Kenne das nur zu gut als ich dort eine eigene FB-bezogene Software supportete. Das ist ein wenig wie der Tanz auf dem Vulkan oder Geschäfte mit dem Teufel zu machen.
Dem Denkanstoß zum FB-Exit kann ich nur zustimmen, besser gestern als heute schnell weg da. Es gibt sehr viel bessere Alternativen, angewiesen ist man auf FB schon lange nicht mehr.
… gleichzeitig liegt es doch auch in der Hand aller Admins, wie sich die Digitalisierung weiter in die Zukunft entwickelt. Die Abhängigkeit vom Smartphone und die Elektromobilität sind ebenfalls Aufgaben in diesem Umfeld, die vor uns liegen. Wollen wir irgendwann überall lückenlos überwacht werden oder sollten wir uns gerade jetzt wieder an Snowden erinnern?
Der "FB Exit" ist nicht ganz so einfach wie man sich das vorstellt. Zum einen will man da dann vielleicht auch seine Postings löschen – das artet schon aus. Zumindest war dem vor 1-1/2 Jahren so als ich dort aufräumte. mehr als 50 ging nicht. Dann wurde unterschieden zwischen Postings und "Timeline" – beides in einem Rutsch ging nicht – nur welches jetzt dasjenige welche ist – suchen du must!!!
Mein "Exit" besteht darin, das ich da nie reinschaue – nur wenn ich beruflich muss – ja beruflich, da habe ich dann auch noch eine FB Seite. Ok, tut (mir) ja nicht weh!
Anfang des Jahres war ich dann mal wieder Beruflich auf FB – huch, was ist den das jetzt – total umgebaut, nichts findet man wieder – hässlich wie die Nacht – oder "wenn's Schee macht". Naja, gemacht was getan werden musste und tschüsss bis irgendwann in ein paar Monaten / Jahre!
Ich finde etwas interessantes im Netz – auf FB / Instagram, Flicker, Xing oder sonstwo? Wenn ich es sofort ohne großen Tamtam sehen kann ist das toll und wenn's brauchbar ist kann man das mal im Auge behalten. Aber vorgeblendet "Anmelden?" – "AD Blocker aus" – "Werbefilmchen" – "Cookie-Turbo-Nerv-Anzeigen" – Tschau-taschau, war wohl dann doch nicht wichtig.
Und die DPC – wer bekommt den dort die Taschen gefüllt? Hhhmm??? Ist wie in einem großen Haus in Berlin – die Singen auch die Lieder der Sponsoren …
Kann man gut mit leben – ehrlich!
Eurpoa und Datenschutz … Läuft. Nicht, wirklich.
Datenschutz ist nur um die "normalen" Leute zu erpressen. Solange sich nicht mal die öffentliche Hand hier in Deutschland – egal wo und wer – sich darum schert, so ist das ganze nur eine stinkende Gurke.
Aber wir warten mal ab. Noch habe ich zu viel zu tun. Es wird vielleicht auch andere aufstoßen und so mir vorher schon etwas einleiten. Jedenfalls das EU-Parlament pennt.