Tracking durch Facebook laut österreichischer DSB rechtswidrig

Die österreichische Datenschutzbehörde war die erste, die feststellte, dass Google Analytics gegen die Datenschutz-Grundverordnung verstößt. Seitdem haben mehrere EU-Datenschutzbehörden nachgezogen.
Nun hat die österreichische Datenschutzbehörde eine bahnbrechende Entscheidung über das Tracking-Pixel von Facebook getroffen.

Hier sind die wichtigsten Erkenntnisse:

• Wie Google Analytics sendet auch Facebook über seine Tracking-Technologie, die auf Millionen von Websites eingesetzt wird, personenbezogene Daten aus der EU in die USA.
• In Anbetracht des Schrems-II-Urteils des EuGH zu transatlantischen Datenströmen verstoßen diese Übermittlungen nach Ansicht der Datenschutzbehörde gegen die Datenschutz-Grundverordnung.
• Das US-Schutzniveau für personenbezogene Daten aus der EU (EWR) ist immer noch unzureichend. (Die Daten könnten Gegenstand der Überwachung durch US-Geheimdienste sein)
• Die Entscheidung der DSB folgt auf eine Beschwerde der Datenschutz-NGO NOYB und Max Schrems, die auch den vollständigen Text veröffentlicht haben.
• Es ist noch unklar, ob die österreichische Datenschutzbehörde plant, auf der Grundlage dieser Entscheidung in Zukunft Sanktionen zu verhängen.

Das geplante EU-US Data Privacy Framework wird in der Entscheidung nicht erwähnt. Sollte es in der aktuellen  Form umgesetzt werden, könnte es dazu beitragen, den transatlantischen Datenverkehr zu erleichtern. Allerdings drohen dem neuen Abkommen gerichtliche Anfechtungen. Unternehmen müssen sich darauf einstellen, dass die Rechtsunsicherheit auch nach der Implementierung anhalten wird.

Die Entscheidung der DSB im Volltext | Zusammenfassung auf GDPRhub | Statement von NOYB