Der 12. Mai 2023 ist die Frist für Europas wichtigste Datenschutzbehörde Meta, um eine endgültige Entscheidung über eine fast zehn Jahre alte Beschwerde gegen die Übermittlung personenbezogener Daten von Facebook aus der EU in die USA zu treffen, die das Unternehmen dazu zwingen könnte, den Datenfluss zu stoppen.
Die irische Datenschutzkommission (DPC) bestätigte, dass sie heute ihre endgültige Entscheidung treffen wird.
Es ist jedoch normal, dass es zu weiteren Verzögerungen (etwas mehr als einer Woche) kommt, bevor die Entscheidung veröffentlicht wird. Das offizielle Veröffentlichungsdatum ist der 22. Mai, sofern die Details nicht durchsickern.
Die Verzögerung bei der Veröffentlichung der angenommenen Entscheidung ist einerseits auf die Tatsache zurückzuführen, dass Meta Zeit hat, das Dokument zu prüfen, um vertrauliche und/oder wirtschaftlich sensible Informationen zu identifizieren, die möglicherweise geschwärzt werden sollen, und andererseits auf einen Feiertag das betrifft eine andere beteiligte Regulierungsbehörde der EU.
Der 12. Mai-Termin für die Annahme der endgültigen Entscheidung des DPC über die Beschwerde folgt einem Zeitplan, der durch eine Streitbeilegungsentscheidung des DPC festgelegt wurde. Europäischer Datenschutzausschuss letzten Monat.
Unter Anwendung der in der Datenschutz-Grundverordnung (DSGVO) integrierten Mechanismen intervenierte das Gremium, um die Meinungsverschiedenheiten zwischen verschiedenen EU-Regulierungsbehörden über den Inhalt der Entscheidung beizulegen: eine verbindliche Entscheidung über Metaübertragungen zu treffen und dem DPC einen Monat Zeit für die Umsetzung zu geben.
Die Streitbeilegungsentscheidung des Gremiums ist noch nicht bekannt, da sie bis zur endgültigen Entscheidung des DPC (die sie umsetzen wird) nicht veröffentlicht wurde, sodass das Schicksal der europäischen Datenströme von Facebook noch ungewiss ist. .
Davon abgesehen wird davon ausgegangen, dass Meta angewiesen wird, Datenströme auszusetzen, da das Unternehmen im Herbst 2020 eine vorläufige Aussetzungsanordnung von der DPC erhalten hat.
Damals erwirkte das Unternehmen vom DPC eine Aussetzung des Verfahrens, was dazu beitrug, den Zeitplan für die Umsetzung des GPRD zu verzögern, bis die irischen Gerichte Metas Anfechtung abwiesen. Weitere Verzögerungen folgten, als der Entscheidungsentwurf des DPC zu dem Fall auf Einwände anderer EU-Datenschutzbehörden stieß, die schließlich durch die verbindliche Entscheidung des EDSA im letzten Monat gelöst wurden.
Dies bedeutet, dass das Einspruchsverfahren gegen die Verordnung ins Stocken geraten ist, aber es wird erwartet, dass Meta jede Aussetzungsanordnung vor den irischen Gerichten anfechten wird.
Das Unternehmen hat immer wieder versucht, die Situation herunterzuspielen, und behauptete in seiner jüngsten Stellungnahme, dass es sich „um einen historischen Konflikt zwischen EU- und US-Recht handelt, der derzeit gelöst wird“. Dies ist eine Anspielung auf den Entwurf einer Vereinbarung zwischen den beiden Gesetzgebern für einen neuen hochrangigen Rahmen für die transatlantische Datenübermittlung, der darauf abzielt, den Konflikt zwischen US-Überwachungspraktiken und EU-Datenschutzrechten zu lösen.
Dieser EU-US-Datenschutzrahmen, wie das Abkommen genannt wird, wird jedoch noch von den EU-Institutionen überprüft, die Bedenken geäußert haben, dass er nicht über ausreichende Sicherheitsvorkehrungen verfügt. Und erst diese Woche haben die Abgeordneten im Europäischen Parlament dies bekräftigt ein Appell an die Kommission, sich mehr Zeit für die Verbesserung des Vorschlags zu nehmen, was darauf hindeutet, dass es zu weiteren Verzögerungen bei der Annahme eines Deals kommen könnte, auf den Meta offenbar setzt, um seine Datenübertragungen zu retten.
Während die Frage der Datensperre das Hauptthema dieses DSGVO-Falls ist, sind weitere wichtige Elemente, die bei der endgültigen Entscheidung Irlands zu berücksichtigen sind, unter anderem die Frage, ob Meta angewiesen wird, europäische Benutzerdaten zu löschen, wenn sich herausstellt, dass diese illegal in die USA übertragen wurden .
Im März MLex berichtete dass mindestens zwei Datenschutzbehörden dafür Lobbyarbeit betrieben und dass Meta bei den EU-Institutionen Lobbyarbeit gegen einen solchen Schritt betrieben hat.
Darüber hinaus deuteten letztes Jahr durchgesickerte interne Dokumente darauf hin, dass die Datenverwaltungspraktiken des Technologieriesen, um es höflich auszudrücken, ein Chaos sind. Daher ist die Leichtigkeit, mit der Meta europäische Benutzerdaten identifizieren und isolieren könnte, wenn sie zu deren Entfernung aufgefordert wird, eine große (und sehr kostspielige) Überlegung/Komplikation.
Warum ist das so wichtig? Nun, zur Erinnerung: Wir haben kürzlich von einem Bundesgericht erfahren, dass Facebook offenbar keine Möglichkeit hat, Benutzerdaten rückwirkend zu löschen. Sie sagten, es würde bis zu einem Jahr dauern, bis alle Daten eines Benutzers vorliegen.
Jason Kint (@jason_kint) Mai 11 2023
Natürlich könnte Meta auch mit einer Geldstrafe belegt werden, wenn sich herausstellt, dass Meta Daten illegal übermittelt hat.
Das GPRD kann Bußgelder in Höhe von bis zu 4 % des weltweiten Jahresumsatzes verhängen, obwohl Meta bislang mit beachtlichem Erfolg Bußgelder verhängen konnte, die deutlich unter dem theoretischen Höchstwert lagen.
Die Interessenvertretung für Datenschutzrechte, noyb, dessen Gründer Max Schrems hinter der Beschwerde gegen den EU-US-Datentransfer von Facebook steht, schrieb an die EDPB (Europäischer Datenschutzausschuss) im Januar, um sich über die Höhe der Geldbuße zu beschweren, die das DPC Anfang des Jahres erhalten hatte. , zur illegalen Verarbeitung von Werbedaten, und argumentierte, dass die Strafe in Höhe von 390 Millionen Euro im Vergleich zum Ausmaß der Verstöße unbedeutend sei (tatsächlich schlug er vor, dass sie unter mehr als 3500 Milliarden Euro liege).
Tatsächlich hatte Irland für dieses Vergehen ein viel niedrigeres Bußgeld zwischen 28 und 36 Millionen Euro vorgeschlagen, die Regulierungsbehörde war jedoch gezwungen, es zu erhöhen, um die verbindliche Entscheidung des EDSA umzusetzen.
Ohne dieses Eingreifen des Vorstands wäre Meta mit noch mehr Problemen konfrontiert gewesen DSGVO schwach, da Millionen von Daten illegal verarbeitet werden Europäische Kontaktanzeigen für verhaltensbasierte Werbung. Es wird also interessant sein zu sehen, welche Strafen (falls überhaupt) in Irlands endgültiger Entscheidung zu den Datenübermittlungen von Facebook enthalten sind.
Allerdings sind gegen Technologiegiganten verhängte Geldstrafen oft weniger interessant als operative Anordnungen, die das Potenzial haben, Änderungen an missbräuchlichen Geschäftsmodellen zu erzwingen. Und während Meta weiterhin Daten europäischer Nutzer für verhaltensbasiertes Ad-Targeting sammelt, war das Unternehmen aufgrund der oben erwähnten Durchsetzung der GPRD zumindest gezwungen, ein Opt-out anzubieten. Etwas, das er noch nie zuvor getan hat.
Wie Meta gezwungen werden könnte, sein Geschäftsmodell zu ändern, um illegale transatlantische Datentransfers zu korrigieren, ist eine offene Frage.
Aber es besteht kein Zweifel daran, dass er sein Bestes tun wird, um jede Aussetzungsanordnung vor Gericht anzufechten, sodass er möglicherweise einen Weg finden wird, die Notwendigkeit, lange genug handeln zu müssen, hinauszuzögern, damit das Ziel mit der Einführung einer neuen US-Datenadäquanz in vollem Umfang erreicht werden kann Vereinbarung.
Wenn nicht, sind die Kosten real und erheblich.
In einer Ergebnispräsentation mit Investoren letzten Monat gab das Unternehmen zu, dass eine Anordnung zur Aussetzung des Datenflusses aus Europa Auswirkungen auf 10 % seiner weltweiten Werbeeinnahmen haben könnte.
Er hofft natürlich, dass es dazu nicht kommt, und ist zuversichtlich, dass der neue EU-US-Datentransfermechanismus rechtzeitig verabschiedet wird. Ein Unternehmenssprecher lehnte es ab, die Eventualitäten einer Anordnung zur Aussetzung des Datenflusses zu erörtern, und verwies auf die „Fortschritte“, die die Politiker auf dem Weg zu einem neuen Pakt gemacht hätten.
Aber selbst wenn die Einigung auf hoher Ebene früh genug zustande kommt, um die Schließung von Facebook in Europa in diesem Jahr zu verhindern, geht Schrems davon aus, dass das neue Rahmenwerk auf hoher Ebene „wahrscheinlich“ vom obersten Gericht der Union abgelehnt wird, wie es bereits bei den beiden vorherigen Vereinbarungen der Fall war , daher schätzt er, dass Meta sich nur „weitere etwa zwei Jahre Expansion erkaufen“ würde, bevor die Angelegenheit erneut aufkommt.
Für eine langfristige Lösung schlug er vor, dass Meta die Facebook-Infrastruktur zusammenführen muss. Aber ein so großer Umbau Ihres Unternehmens wäre natürlich auch sehr teuer.
