9. Dezember 2024 | DSGVO Information

Schrems vs Meta: Der moderne David gegen Goliath

Der Rockstar des Datenschutzes

Max Schrems, der unbestrittene Rockstar des Datenschutzes – oder sagen wir es einfach: der berühmteste Datenschutzaktivist weltweit – hat wieder zugeschlagen. In der Entscheidung C-446/21 hat der Europäische Gerichtshof (EuGH) die Datennutzung von Facebook stark eingeschränkt. Schrems und seine Datenschutzorganisation NOYB setzen damit ihre beeindruckende Erfolgsserie fort, die bereits mit der spektakulären Aufhebung von Safe Harbor und dem Privacy Shield für internationales Aufsehen sorgte.

Urteile – Schrems I und Schrems II

Werfen wir einen kurzen Blick auf die beiden Urteile, die Max Schrems zum international bekannten Datenschutzaktivisten gemacht haben.

Schrems I

Im Jahr 2013 reichte Max Schrems eine Beschwerde beim irischen Datenschutzbeauftragten ein. Sein Hauptanliegen: Facebook überträgt Nutzerdaten in die USA, wo diese Daten, laut Schrems, nicht ausreichend vor Zugriffen durch US-Behörden geschützt seien. Das war besonders nach den Enthüllungen durch Edward Snowden (NSA-Überwachungsskandal) ein brisantes Thema.

Zu dieser Zeit war die Übermittlung von Daten zwischen der EU und den USA durch das „Safe-Harbor-Abkommen“ geregelt, welches US-Unternehmen erlaubte, Daten von EU-Bürgern unter der Bedingung zu verarbeiten, dass sie angeblich ein „angemessenes“ Datenschutzniveau gewährleisten.

Der EuGH entschied 2015 in der Schrems I-Entscheidung (C-362/14), dass das „Safe-Harbor“-Abkommen ungültig ist, da es den Schutz der Daten von EU-Bürgern nicht ausreichend garantierte. Besonders kritisch war der weitreichende Zugriff der US-Geheimdienste auf diese Daten, gegen den sich die Betroffenen in der EU nicht wirksam wehren konnten. Daher mussten die Übertragungen in die USA ab sofort neuen, strengeren Regelungen unterworfen werden.

Schrems II

Nach Schrems I bemühten sich die EU und die USA um ein neues Abkommen, das „Privacy Shield“, um den transatlantischen Datentransfer zu regeln. Dieses trat 2016 in Kraft und versprach besseren Schutz für personenbezogene Daten. Doch Schrems war skeptisch. Er und seine Organisation NOYB führten den Fall erneut vor Gericht, da sie der Meinung waren, dass das Privacy Shield im Grunde nur eine leicht modifizierte Version von Safe Harbor war und somit immer noch unzureichende Schutzmechanismen für die Daten von EU-Bürgern bot.

2020 erklärte der EuGH in der Schrems II-Entscheidung (C-311/18) auch das „Privacy Shield“ für ungültig, da die USA nicht denselben Schutzstandard wie die EU bieten, insbesondere in Bezug auf den Zugriff durch Geheimdienste. Gleichzeitig betonte der EuGH, dass Unternehmen alternative Mechanismen für den Datentransfer nutzen können, wie z.B. Standardvertragsklauseln (SCCs), die jedoch ebenfalls genau überprüft werden müssen, um ein angemessenes Datenschutzniveau sicherzustellen.

Der dritte Versuch: EU-US Privacy Framework

Jetzt steht das „EU-US Privacy Framework“ auf dem Prüfstand, der dritte Anlauf, die transatlantischen Datenflüsse zu retten. Seit Juli 2023 in Kraft, ermöglicht es US-Unternehmen (wie schon beim Privacy Shield), sich selbst für den Datenschutz zu zertifizieren. So sollen Datenübermittlungen in die USA wieder möglich sein, ohne zusätzliche Schutzmaßnahmen. Aber Schrems? Der bleibt skeptisch. Für ihn sieht das neue Abkommen aus wie eine Kopie des Privacy Shield – was wiederum eine Kopie von Safe Harbor war. Und: Schrems hat schon Schritte eingeleitet, das Framework erneut vor den EuGH zu bringen.

An dieser Stelle ein Hinweis: Seien und bleiben Sie vorsichtig bei Datenübertragungen in die USA. Prüfen Sie, ob die Firmen zertifiziert sind, ob das Verarbeiten von Personaldaten (HR data) mitzertifiziert ist und prüfen Sie alle TOMs Ihres Dienstleisters kritisch. Im Zweifel: Finger weg.

Details dazu gibt’s auch in unserer Podcastfolge: Ich war noch niemals in New York 😉

Schrems vs Meta

In der Zwischenzeit konnte Schrems aber schon wieder einen Sieg gegen Meta (Facebooks Muttergesellschaft) verbuchen. In der Entscheidung (C-446/21) drehte sich alles um personalisierte Werbung – genauer gesagt um den Umfang, in dem Meta sensible Daten, insbesondere die sexuelle Orientierung seiner Nutzer für Werbezwecke verwenden darf.

Meta trackt Nutzer nicht nur auf Facebook, sondern auch auf Websites, die ihre Tools wie Cookies, Social Plugins oder Meta Pixels verwenden. Diese Daten werden genutzt, um personalisierte Werbung zu schalten.

Schrems klagte gegen die Verarbeitung seiner personenbezogenen Daten, speziell in Bezug auf seine sexuelle Orientierung. Obwohl diese Information nicht in seinem Facebook-Profil hinterlegt war, ließ sich aus den von Meta gespeicherten Daten auf seine Homosexualität schließen – und das lange, bevor er diese bei einer Podiumsdiskussion öffentlich machte. Meta hatte ihm bereits Jahre zuvor entsprechende Werbung angezeigt.

Der OGH legte dem EuGH zwei Fragen zur Klärung vor: Erstens, ob Facebook nach der DSGVO personenbezogene Daten unbegrenzt für gezielte Werbung verwenden darf, und zweitens, ob Schrems‘ öffentliche Äußerung über seine Sexualität die Verarbeitung dieser Informationen für Werbezwecke rechtfertigt.

Der EuGH entschied, dass die unbegrenzte Sammlung und Nutzung aller personenbezogenen Daten, die eine Plattform erhält – sowohl auf als auch außerhalb der Plattform – gegen den Grundsatz der „Datenminimierung“ der DSGVO verstößt. Damit wird die Nutzung von Daten durch Meta/Facebook stark eingeschränkt und diese müssen nun wohl Milliarden Daten löschen.

Bezüglich der Frage zur Selbstveröffentlichung sensibler Daten (Art. 9 Abs. 2 lit. e DSGVO) urteilte der EuGH, dass die öffentliche Bekanntgabe von Schrems‘ sexueller Orientierung nicht rechtfertigt, dass Meta ihm gezielte Werbung anzeigt.

MeineBerater-Tipp

Heute gibt’s gleich zwei Tipps:

  1. Für Nutzer sozialer Netzwerke: Überprüfen Sie Ihre Datenschutzeinstellungen. Oft können Sie mit wenigen Klicks den Schutz Ihrer Daten erheblich verbessern.
  2. Für Unternehmer: Bereiten Sie sich darauf vor, dass auch das Privacy Framework kippen könnte. Wenn Sie auf US-Dienste setzen, könnte das zu gröberen Herausforderungen führen. Setzen Sie gleich auf Anbieter aus der EU. Wir von MeineBerater helfen Ihnen gern, die richtigen Partner zu finden!

Meine Berater
News abonnierenen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.