Facebook-Trackingdienste nicht rechtskonform nutzbar

Bei der Einbindung von Trackingdiensten wie „Facebook Login“ oder „Meta Pixel“ auf Webseiten der EU werden Daten in die USA übertragen. Die österreichische Datenschutzbehörde (DSB) entschied durch Bescheid vom 06.03.2023, dass dies gegen die Datenschutz-Grundverordnung (DSGVO) verstößt. Beschwerde hatte der Datenschutz-Verein Noyb, dessen Gründer Jurist und Datenaktivist Max Schrems ist, im August 2020 erhoben. Die Entscheidung folgt auf eine der 101 vergleichbaren Beschwerden, die Noyb in fast allen EU Staaten einreichte.

Mithilfe von Instrumenten wie Facebook Login und Meta Pixel, die auf dem Trackingansatz basieren, können sich Nutzer mit ihrem Facebook-Konto bei anderen Services anmelden. Die DSB sieht darin eine Verletzung gemäß Artikel 44 DSGVO.

Art. 44 DSGVO kann als subjektives Recht im Rahmen einer Beschwerde nach Art. 77 DSGVO geltend gemacht werden, so die DSB. Das hat schon der EUGH mit Urteil vom 16. Juli 2020 (C-311/18 Rz. 158) entschieden:

„Eine Beschwerde im Sinne von Art. 77 Abs. 1 der DSGVO, mit der eine Person, deren personenbezogene Daten in ein Drittland übermittelt wurden oder werden könnten, geltend macht, dass ungeachtet der Feststellungen der Kommission in einem nach Art. 45 Abs. 3 der DSGVO ergangenen Beschluss das Recht und die Praxis dieses Landes kein angemessenes Schutzniveau gewährleisteten, ist nämlich dahin zu verstehen, dass sie der Sache nach die Vereinbarkeit dieses Beschlusses mit dem Schutz der Privatsphäre sowie der Freiheiten und Grundrechte von Personen betrifft.“

Meta, die Mutterfirma von Facebook, beruft sich für die Datenübermittlung auf den EU-US-Angemessenheitsbeschluss (“Privacy Shield“). Dieser gewährleistete die wichtigste Grundlage für den Transfer von Kundendaten in die USA.

Bereits am 16.07.2020 hat der EuGH jedoch in dem „Schrems-II“-Urteil den EU-US-Angemessenheitsbeschluss ohne Aufrechterhaltung seiner Wirkung für ungültig erklärt, da persönliche Nutzerinformationen wie IP-Adresse, User-ID, Gespeicherte Werte in FB-Cookies, Datum und Uhrzeit des Website-Besuchs, Mobiles Betriebssystem und Browser und weitere Daten an Meta in den USA weitergegeben werden. Dort sind die Daten wiederum aufgrund des einschlägigen Rechts der USA nicht ausreichend von Überwachungs-und Zugriffmöglichkeiten – u.a. gestützt auf Section 702 der FISA (Foreign Intelligence Surveillance Act)- durch US-Geheimdienste geschützt. Es kann damit kein angemessenes Schutzniveau für natürliche Personen gewährleistet werden:

„Demzufolge lässt Section 702 des FISA in keiner Weise erkennen, dass für die darin enthaltene Ermächtigung zur Durchführung von Überwachungsprogrammen zum Zweck der Auslandsaufklärung Einschränkungen bestehen. Genauso wenig ist erkennbar, dass für potenziell von diesen Programmen erfasste Nicht-US-Personen Garantien existieren. Unter diesen Umständen ist diese Vorschrift, wie der Generalanwalt in den Nrn. 291, 292 und 297 seiner Schlussanträge der Sache nach festgestellt hat, nicht geeignet, ein Schutzniveau zu gewährleisten, das dem durch die Charta – in ihrer Auslegung durch die in den Rn. 175 und 176 des vorliegenden Urteils wiedergegebene Rechtsprechung, wonach eine gesetzliche Grundlage für Eingriffe in Grundrechte, um dem Grundsatz der Verhältnismäßigkeit zu genügen, den Umfang, in dem die Ausübung des betreffenden Rechts eingeschränkt wird, selbst festlegen sowie klare und präzise Regeln für die Tragweite und die Anwendung der betreffenden Maßnahme vorsehen und Mindesterfordernisse aufstellen muss – garantierten Niveau der Sache nach gleichwertig ist.“

Laut DSB ist Meta als Anbieter elektronischer Kommunikationsdienste im Sinne von 50 U.S.Code § 1881(b)(4) zu qualifizieren und unterliegt somit der Überwachung durch US-Geheimbehörden gemäß 50 U.S.Code § 1881a („FISA 702“). Meta ist demzufolge verpflichtet, den US Behörden personenbezogene Daten zur Verfügung zu stellen. Aus dem Transparenzbericht des Meta-Konzerns ergebe sich außerdem, dass die US-Geheimbehörden regelmäßig derartige Anfragen stellen.

Daher liege ein Verstoß gegen Art. 44 DSGVO vor.

Die DSGVO sehe in solchen Fällen Strafen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes vor. Die Datenschutzbehörden seien aber mit Strafen bisher sehr zurückhaltend, obwohl die Unternehmen 2 Urteile des EuGH mehr als 2 Jahre lang ignoriert haben, heißt es von noyb.

Nun hat erstmalig eine Aufsichtsbehörde einem Webseitenbetreiber mitgeteilt, dass die Nutzung der Facebook-Tracking-Technologie illegal sei, so Max Schrems. Europäischen Webseitenbetreiber werde daher empfohlen, keine Tools von Meta auf ihren Webseiten einzusetzen.

Diese Entscheidung folgt einer ähnlichen Entscheidung der DSB vom 22.12.2021, die besagte, dass Webseitenbetreiber in der EU Google Analytics, ein Programm zur Datenverkehrsanalyse von Webseiten, nicht rechtskonform verwenden können.