Vertreibung aus dem Datenhimmel
Facebook. Der Generalanwalt des EuGH plädiert dafür, dass künftig nicht nur die (dem US-Konzern wohlgesonnene) irische Datenschutzbehörde das soziale Netzwerk beaufsichtigen darf.
Der Generalanwalt des EuGH plädiert dafür, dass künftig nicht nur die irische Datenschutzbehörde das soziale Netzwerk beaufsichtigen darf.
Luxemburg. Der regulatorische Spielraum, den der US-Internetriese Facebook in der EU genießen darf, wird immer enger. Das soziale Netzwerk, dessen Europa-Hauptquartier in Irland untergebracht ist, konnte bis dato auf Verständnis seitens der irischen Datenschutzbehörde DPC hoffen – schließlich profitiert der irische Fiskus von den Steuergeldern, die das gebündelte Europageschäft von Facebook ins Land spült. Doch wenn es nach der Vorstellung von Michal Bobek, Generalanwalt des Europäischen Gerichtshofs, geht, wird DPC demnächst Konkurrenz bekommen.
In seinem am Mittwoch präsentierten Gutachten zur Rechtssache C-645/19 spricht sich der Generalanwalt dafür aus, dass bei Verstößen gegen Datenschutzvorschriften der EU nicht (wie bisher üblich) ausschließlich irische Behörden zum Zug kommen dürfen. Das Urteil der EU-Höchstrichter wird in den kommenden Monaten gefällt, doch in den allermeisten Fällen folgen sie der Argumentationslinie ihres Generalanwalts.
In dem Rechtsstreit ging es um belgische Internetnutzer, die zwar keine User von Facebook sind, aber deren Daten vom US-Konzern nichtsdestotrotz gesammelt und verwertet wurden – Facebook greift auf personenbezogene Daten zu, indem es Cookies auf den Geräten der betroffenen Personen platziert. Belgiens Datenschützer zogen deswegen vor Gericht, doch Facebook argumentierte mit Verweis auf die EU-Datenschutzgrundverordnung, dass ausschließlich die irische Datenschutzbehörde zuständig sei, da der Konzern dort sein EUHauptquartier habe. Das Berufungsgericht Brüssel, das die Causa behandelte, rief daraufhin den EuGH an, um die Frage der Zuständigkeit zu klären.
Zwar hält der EuGH-Generalanwalt in seinem Gutachten fest, dass DPC gemäß der Datenschutzgrundverordnung als „federführende Behörde für grenzüberschreitende Datenverarbeitung eine allgemeine Zuständigkeit“habe. Unter bestimmten Umständen könnten jedoch auch die nicht federführenden Behörden Verfahren wegen grenzüberschreitender Datenverarbeitung einleiten. Als Grund dafür nannte Bobek etwa besondere Dringlichkeit oder die Tatsache, dass die federführende Behörde beschlossen habe, sich nicht mit dem Fall zu befassen.
Wasser auf Schrems’ Mühlen
Dass die irischen Behörden nicht unbedingt zu den zügigsten in der EU gehören, wenn es um die Regulierung von Facebook geht, musste auch der österreichische Datenschutzaktivist Max Schrems feststellen. Seit 2013 geht Schrems gerichtlich gegen den Transfer personenbezogener Daten aus der EU in die USA vor. Im Sommer 2020 hatte der EuGH als oberste Instanz entschieden, dass der Transfer wegen der Überwachung der Daten durch US-Sicherheitsdienste nicht EU-gesetzeskonform sei. Die DPC ließ sich aber seither mit der Umsetzung des EuGH-Richtspruchs Zeit – woraufhin Schrems gegen die irische Behörde klagte. Am Mittwoch teilte der von Schrems gegründete Verein „NOYB –Europäisches Zentrum für digitale Rechte“mit, dass die Iren zugesagt hätten, das Verfahren „zügig“zu beenden. „Die DPC war sich vor Gericht mit uns weitgehend einig, dass Facebook keine Daten in die USA übermitteln darf. Allerdings hat sie in siebeneinhalb Jahren keine Entscheidung in diesem Sinne erlassen“, sagte Schrems gestern.
Probleme hat Facebook auch an einer anderen Front. Seit der Konzern die globale Datenschutzrichtlinie seiner Tochter WhatsApp geändert hat und Daten von WhatsApp-Nutzern an Facebook weiterleitet (die Änderung betrifft nicht User in der EU, die durch die Datenschutzgrundverordnung geschützt sind), laufen die User des Kommunikationsdiensts Sturm. So hat die türkische Wettbewerbsbehörde Ermittlungen gegen WhatsApp eingeleitet. Der russische WhatsApp-Konkurrent Telegram hat nach eigenen Angaben vom Dienstag binnen 72 Stunden rund 25 Mio. Nutzer dazugewonnen.