Die DSB hat in einem von NOYB gegen einen Websitebetreiber und META angestrengten Verfahren erklärt, dass die Einbindung des Facebook Tracking Pixels (im
Sommer 2020) gegen die DSGVO verstößt. Der Bescheid ist nicht rechtskräftig
Der Spruch des Bescheides
Der Beschwerde wegen Beschwerdepunkt A) wird teilweise stattgegeben und es wird festgestellt, dass als Folge der Entscheidung der Erstbeschwerdegegnerin als datenschutzrechtliche Verantwortliche, die Facebook Business Tools „Facebook Login“ und „Facebook Pixel“ auf der Website zu implementieren, zumindest am 12. August 2020 personenbezogene Daten des Beschwerdeführers (dies sind zumindest einzigartige Nutzer-Identifikations-Nummern, IP-Adresse und Browserparameter) an die Zweitbeschwerdegegnerin in die USA übermittelt wurden (Datenübermittlung), obwohl die Erstbeschwerdegegnerin für diese Datenübermittlung kein angemessenes Schutzniveau gemäß Art. 44 DSGVO gewährleistet hat.“
Kurzinterpretation
a)
Der Websitebetreiber ist Verantwortlicher iSd DSGVO für die Implementierung des „Facebook
Login“ und des „Facebook Pixel“ auf der Website.
b)
Wenn dies am 12.8.2020 der Fall war, wurden personenbezogene Daten in die USA an Meta übermittelt, ohne dass ein angemessenes Schutznvieau
gewährleistet wird. Dies war DSGVO-widrig.
Was wurde nicht entschieden?
Wenn eine „Einwilligung mit Risikohinweis“ iSd Art 49 (1) a DSGVO vorliegt, könnte uU eine Rechtmäßigkeit der Datenübertragung in die USA gegeben sein.
Wenn sich die Art und Weise der Verarbeitung der personenbezogenen Daten (nach dem 12.8.2020) durch Meta geändert hat, zB dies nach Europa verlagert wurde (wie zB bei Google Ireland Ltd.), dann erfolgt keine direkte Datenübermittlung in die USA. Diese Situation ist nicht entschieden.
Drohen neue Abmahnungen?
Es ist nicht absehbar, ob jemand diese Entscheidung der DSB zum Anlass nimmt, Abmahnungen mit Unterlassungsansprüchen oder auch Schadenersatzansprüchen wegen der unrechtmäßigen Weiterleitung von personenbezogenen Daten in ein unsicheres Drittland (nach dem Vorbild der Google-Fonts-Abmahnungen) auszusprechen.
Jede/r Websitebetreiber:in sollte sich daher überlegen, ob die Einbindung von „Facebook“ oder anderer US-Dienst direkt auf der Website wirklich in der Form notwendig ist, und dies in die Entscheidung einfließen lassen, ob er/sie diesen Dienst nicht beendet.
Wenn man zum Schluss kommt, dass die Verbindung von Facebook und der Homepage derart unerlässlich ist, dann sollte zumindest eine entsprechende Einwilligung mit Risikohinweis iSd Art 49 (1) lit a DSGVO bei Aufruf der Website erfolgen.
Erst wenn der/die Nutzer:in zugestimmt hat, sollten die entsprechenden technischen Implementierungen freigeschaltet werden, und der „Pixel“ zu feuern beginnen.
Hier der Link zur (nicht rechtskräftigen) Entscheidung der DSB.
Kommentar schreiben