Etwas regt sich in Irland. Twitter und WhatsApp könnten die ersten großen Technologieunternehmen sein, die von der Irischen Datenschutzaufsicht mit einer Geldstrafe belegt werden. Irgendwann.
Der Inhalt im Überblick
Twitter und WhatsApp unter Beobachtung
Am 22. Mai 2020, also knapp zwei Jahre nach Anwendbarkeit der DSGVO, legte die Irische Aufsichtsbehörde (DPC) einen Entwurf für die Entscheidung an den Europäischen Datenschutzausschuss vor, um diesen mit involvierten Aufsichtsbehörden abzustimmen. Gemäß dem One-Stop-Shop-Mechanismus haben involvierte Aufsichtsbehörden (in diesem Fall alle) nun einen Monat Zeit, um die Entscheidung zu prüfen und begründete und sachdienliche Einwände zu erheben, falls sie mit der Argumentation des DPC nicht einverstanden sind.
Der DPC äußerte sich nicht näher zum Inhalt der vorläufigen Twitter-Entscheidung. Laut Reuters hängt die vorläufige Entscheidung mit einer 2019 durchgeführten Untersuchung zusammen. Gegenständlich war ein Bug in der Twitter-App für Android, der dazu führte, dass geschützte Tweets von Nutzern öffentlich gemacht wurden. Der Entscheidungsentwurf der Behörde konzentriert sich auf die Frage, ob Twitter gegen Meldepflichten gem. Art. 33 DSGVO bei Vorliegen eines Datenschutzvorfalls verstoßen hat.
Daneben hat die DPC in seiner Verlautbarung auf eine weitere vorläufige Entscheidung an das Facebook-eigene Unternehmen WhatsApp aufmerksam gemacht. Im Verfahren gegen WhatsApp geht es um mögliche Verstöße gegen Transparenzvorgaben aus Art. 12 bis 14 DSGVO, insbesondere bezüglich der Weitergabe von Daten an die Muttergesellschaft Facebook Inc. im Zusammenhang mit der Nutzung von WhatsApp.
Die Datenübermittlung von Kundendaten von WhatsApp an Facebook war schon Gegenstand einer Untersagungsverfügung des Hamburgischen Datenschutzbeauftragten, die im Jahr 2018 durch das OVG Hamburg bestätigt wurde.
Nadelöhr Irische Aufsichtsbehörde
In letzter Zeit wurde die Kritik an der Untätigkeit der Irischen Aufsichtsbehörde, die im Wesentlichen für alle relevanten amerikanischen „Big-Tech-Unternehmen“ für Europa zuständig ist, immer lauter. Die Problematik hatten wir in früheren Blogbeiträgen ausführlich erörtert (z.B. diesem oder diesem Artikel). Kündigen sich nun die ersten Bußgelder durch die Irische Aufsichtsbehörde gegen Internetriesen an?
Die DPC hatte sich offensichtlich schon an ersten Bußgeldern auf Grundlage der DSGVO geübt. So wurde mit Bekanntgabe in Sachen Twitter / Facebook beiläufig im letzten Absatz erwähnt, dass ein Bußgeld gegen die inländische Jugendschutzbehörde „Tusla Child and Family Agency“ verhängt wurde.
„Hochgradig ineffizient und teilweise kafkaesk“
Auf den Tag genau 2 Jahre nach Anwendbarkeit der DSGVO (Herzlichen Glückwunsch auch von uns!) veröffentlichte heute das unter anderem von Max Schrems gegründete europäische Zentrum für digitale Rechte (noyb – ein Akronym für „None of your Business“) einen lesenswerten Offenen Brief an alle Europäischen Datenschutzbehörden, den Europäische Datenschutzausschuss, die Europäische Kommission und das Europäische Parlament, mit dem sich die Datenschutzaktivisten die Irische Aufsichtsbehörde zur Brust nehmen und die schleppenden Verfahren der Behörde gegen US-amerikanische Internetriesen kritisieren.
Interessant im Zusammenhang mit dem nunmehr vorgelegten Entscheidungsentwurf des DPC sind die im Offenen Brief beschriebenen Erfahrungen mit der Irischen Aufsichtsbehörde bezüglich eingereichter Beschwerden gegen Facebook, WhatsApp und Instagram. Noyb beschreibt das Verwaltungsverfahren der Irischen Aufsichtsbehörde als „hochgradig ineffizient und teilweise kafkaesk“.
Das interne Verwaltungsverfahren lasse sich in 6 Stufen einteilen:
- Entwurf eines Untersuchungsberichts,
- Finaler Untersuchungsbericht,
- Entwurf einer Entscheidung,
- Finale Entscheidung,
- Entwurf EU Entscheidung,
- Finale EU-Entscheidung.
Die Aktivisten monieren, dass in ihrem Fall zwischen der initialen Beschwerde gegenüber dem DPC und dem 1. Entwurf eines Untersuchungsberichts ganze 13 Monate vergangen wären. Zwischen Beschwerde und dem finalen Untersuchungsbericht (2. Stufe) seien 22 Monate, daher knapp 2 Jahre vergangen.
Vorliegend dürfte man sich bei der Prüfung des Verstoßes von Twitter gegen Art. 33 DSGVO auf Stufe 5 bewegen. Bei der Mitteilung gegenüber WhatsApp wegen Verstößen gegen die Transparenzpflichten wohl auf Stufe 3.
Copy & Paste im Schneckentempo
Die Untersuchung der Datenschutzaktivisten ergaben weiter, dass die zur Verfügung gestellten Entwürfe der Untersuchungsberichte zu den Beschwerden zu Instagram und WhatsApp zu 82 % identisch mit dem Entwurf des Untersuchungsberichts zu der Beschwerde gegenüber Facebook gewesen sei, jedoch mit 10 Monaten Verspätung zur Verfügung gestellt wurden, und so anscheinend selbst das Copy & Paste ungewöhnlich lange gedauert habe.
Die Datenschutzaktivisten gehen davon aus, dass jede nachteilige Entscheidung zulasten von Twitter, Facebook und co. von den Unternehmen gerichtlich angegriffen wird. Bei der derzeitigen Geschwindigkeit sei daher in der Mehrzahl der Fälle mit einer Entscheidung erst nach mehr als zehn Jahren zu rechnen, bis alle Berufungen entschieden und ein endgültiges Urteil getroffen wurde. Aus diesem Grund äußerte der Hamburgische Datenschutzbeauftragte gegenüber Politico, dass sein Büro zurückhaltend sei, kleinere, lokale Unternehmen wie Xing zu untersuchen, während dessen größter amerikanischer Rivale LinkedIn in einem seit Jahren laufenden Verfahren von der irischen Behörde immer noch nicht sanktioniert wurde. Denn viele Unternehmen würden sich bei ihm beschweren, dass ein fairer Wettbewerb im europäischen Binnenmarkt aufgrund der unterschiedlichen Durchsetzung der DSGVO in den EU-Staaten nicht möglich sei.
Maximilian Schrems fasst daher treffend die traurige Wahrheit wie folgt zusammen: Die DSGVO ist nur so stark wie ihre schwächste Aufsichtsbehörde.
Liebes Team,
beim Lesen der von mir generell sehr geschätzten Beiträge Ihrer Seite stellt sich mir die Frage, ob es bzgl. der „Bedenken“ bzgl. Twitter und Co. nicht konsequent wäre, als Datenschützer, die entsprechend „als problematisch“ erkannten sozialen Medien zu meiden und damit (wie der LFD BW) mit gutem Beispiel voran zu gehen. Ihr eigenes Unternehmen hat ja z. B. (noch) einen entsprechenden Auftritt bei Twitter.
Das ist eine berechtigte Frage, die wir uns so auch seit 10 Jahren regelmäßig stellen und auch ausschlaggebend dafür ist, dass wir nur diesen Social Media Auftritt betreiben. Wir sind damals zu dem Ergebnis gekommen, dass wir trotz aller datenschutzrechtlichen Probleme die Nutzung von Twitter im Gegensatz zu z.B. Facebook bei uns für vertretbar halten.
Ausschlaggebend dafür war, u.a. dass eine pseudonyme Nutzung des Netzwerks möglich ist und für die Ansicht der Inhalte kein Account nötig ist. Mit einem entsprechen konfigurierten Browser können die Tweets dort auch datenschutzfreundlich abgerufen werden. Seit der Anwendung der DSGVO hat sich zudem auf dieser Plattform unter dem #TeamDatenschutz eine Community gebildet, deren Austausch wir sehr schätzen und die schnell, relevante Informationen und kluge Gedanken zu datenschutzrechtlichen Themen teilt.
Das Letzte was wir wollen ist unsere Leser gegen ihren Willen zur Nutzung solcher Plattformen zu bewegen. Deshalb versuchen wir z.B. dort viel diskutierte Themen auch in unserem Blog zu behandeln und verweisen bei ausschweifenden Fragen und Diskussionen auf den Kommentarbereich unseres Blogs, damit alle Leser etwas davon haben.
Klar verstehen wir die Entscheidung des LfDI BW aufgrund des fehlenden Vertrags zur Gemeinsamen Verantwortlichkeit, Twitter zu verlassen. Auch ist dieser Schritt für eine Behörde letztlich konsequent, da sie über das Grundgesetz nach Art. 20 III GG an Gesetz und Recht gebunden ist. Letztlich ging uns der Schritt zu weit. Denn auf der einen Seite würde eine entsprechende Vereinbarung im Vergleich zur aktuellen Situation für die Privatsphäre der Nutzer keinen wirklichen Gewinn bringen. Anderseits würde uns und unseren Lesern der Merhwert der Twitter Nutzung entgehen.
Vielen Dank für Ihre Ausführungen!