Meta Pixel und Facebook Login: Sind sie in der EU rechtswidrig?
Meta Pixel und Facebook Login werden auf Tausenden von Websites in Europa verwendet. Ein Beschluss der österreichischen Datenschutzbehörde (DPA) vom 16. März zeigt jedoch, dass Websites, die diese Tools verwenden, möglicherweise gegen das Gesetz verstoßen.
Im vergangenen Jahr haben acht EU-Regulierungsbehörden davor gewarnt, dass ein anderes beliebtes Tool, Google Analytics, nicht mit der DSGVO vereinbar ist. Die Entscheidung der österreichischen Datenschutzbehörde zu Meta Pixel und Facebook Login wirft ähnliche Fragen auf - allerdings gibt es auch einen wichtigen Unterschied.
Hier ein Blick auf die Hintergründe der Entscheidung der österreichischen Datenschutzbehörde und eine Erklärung, warum Website- und App-Betreiber ihre Verwendung von Meta Pixel und Facebook Login vielleicht noch einmal überdenken sollten.
Der Hintergrund
Die Entscheidung der österreichischen Datenschutzbehörde geht auf eine Beschwerde der Datenschutzkampagnengruppe NOYB ("none of your business") unter der Leitung des Aktivisten Max Schrems aus dem Jahr 2020 zurück.
Schrems ist vor allem als der Mann bekannt, der zwei "Datentransferrahmen" in Gerichtsverfahren mit Facebook (jetzt Meta) und der irischen Datenschutzbehörde zu Fall brachte.
In den Fällen Meta Pixel und Facebook Login geht es um einen Verstoß gegen die EU-Vorschriften für internationale Datenübertragungen. Hier eine kurze Erklärung, wie diese Regeln funktionieren.
(#meta-pixel-and-facebook-login-privacy-and-security-risks), wenn Sie die EU-Problematik der Datenübermittlung bereits kennen.
Datenübertragungen 101
Nach dem EU-Datenschutzrecht dürfen Unternehmen personenbezogene Daten nur unter strengen Auflagen in Länder außerhalb der EU übertragen. Die Vorschriften sollen verhindern, dass Menschen in Europa von Regierungen aus "Drittländern" (Nicht-EU-Staaten) ausspioniert werden.
Die Menschen in der EU haben ein Grundrecht auf Schutz ihrer Privatsphäre und ihrer Daten, aber dennoch müssen Daten manchmal grenzüberschreitend übermittelt werden. Daher gibt es mehrere Mechanismen, die Unternehmen nutzen können, um ihre Übertragungen sicher und legal zu gestalten.
Die am häufigsten genutzten Übermittlungsmechanismen sind:
- Angemessenheitsbeschluss": Die Europäische Kommission hat die Datenschutzstandards in einem Drittland bewertet und erklärt diese Standards für "angemessen".
- "Standardvertragsklauseln" (SCCs): Eine Reihe von Klauseln, die in einen Vertrag zwischen einer EU-Organisation und einer Nicht-EU-Organisation eingefügt werden können. Der Vertrag verpflichtet die Nicht-EU-Organisation, personenbezogene Daten nach EU-äquivalenten Standards zu schützen.
Die Schrems-Fälle
Wie alle "Big Tech"-Unternehmen hat Meta seinen Sitz in den USA. Aber Tausende von EU-Unternehmen übermitteln täglich personenbezogene Daten an Meta, auch über Meta Pixel und Facebook Login. Ist das legal?
Die USA haben ein relativ einschneidendes Überwachungssystem und einen schwachen Datenschutzrahmen. Die USA haben keinen "Angemessenheitsbeschluss".
Die Europäische Kommission und die US-Regierung haben sich jedoch zweimal auf spezielle "Datenübertragungsrahmen" geeinigt, die als "Safe Harbor" und "Privacy Shield" bekannt sind. Unternehmen, die sich nach diesen Rahmenregelungen zertifizieren ließen, waren gesetzlich verpflichtet, personenbezogene Daten nach einem hohen Standard zu schützen.
Die Europäische Kommission erließ zwei Angemessenheitsbeschlüsse für die USA, die jedoch nur für Unternehmen galten, die nach diesen Rahmenregelungen zertifiziert waren. Beide Angemessenheitsbeschlüsse wurden jedoch vom Gerichtshof der Europäischen Union (EuGH)** gekippt.
In zwei Fällen, bekannt als "Schrems I" und "Schrems II", stellte der EuGH fest, dass die Rahmenregelungen "Safe Harbor" und "Privacy Shield" die personenbezogenen Daten der Bürger nicht vor den US-Geheimdiensten schützen.
Aber denken Sie daran, dass ein Angemessenheitsbeschluss nicht die einzige Möglichkeit ist, personenbezogene Daten aus der EU zu übertragen. Eine weitere beliebte Option sind Standardvertragsklauseln (SCCs). Allerdings gibt es auch bei SCCs Probleme.
Das Problem mit Standardvertragsklauseln
In der Rechtssache Schrems II untersuchte der EuGH auch, ob SCC den Schutz personenbezogener Daten in der EU besser gewährleisten als Privacy Shield.
Das Gericht kam zu dem Schluss, dass SCCs nicht besser funktionieren als Privacy Shield. US-Unternehmen, die an SCCs gebunden sind, könnten immer noch gezwungen werden, personenbezogene Daten an die Geheimdienste weiterzugeben.
Nach Schrems II könnten Unternehmen immer noch SCCs nutzen, um Daten in die USA zu übermitteln - sie müssten aber zusätzliche Schutzmaßnahmen ergreifen, um sicherzustellen, dass das in den USA ansässige Unternehmen keinen Zugriff auf die Daten im "Klartext" hat.
Das Problem für Unternehmen wie Meta und Google besteht darin, dass sie auf personenbezogene Daten zugreifen müssen, um ihre Dienste anbieten und ihre Geschäftsmodelle aufrechterhalten zu können.
Daher haben viele Unternehmen, die die Dienste von Meta und Google nutzen, personenbezogene Daten ohne angemessene Sicherheitsvorkehrungen übertragen.
Meta Pixel und Facebook Login - Datenschutz- und Sicherheitsrisiken
Wie bereits erwähnt, konzentriert sich die Entscheidung der österreichischen Datenschutzbehörde auf die Datenübermittlung. Wir werden das weiter unten untersuchen. Neben den Datenübertragungen gibt es jedoch noch weitere Probleme bei der Verwendung von Meta Pixel und Facebook Login. Schauen wir uns diese zunächst kurz an.
Die Gewohnheiten von Meta Pixel beim Sammeln von Daten
Meta Pixel ist ein Code, der misst, wie Nutzer mit Anzeigen auf einer Website interagieren. Das Tool wird auf Tausenden von Websites eingesetzt, darunter solche von Krankenhäusern, Schulen und Behörden.
Meta Pixel kann auch einzelne Website-Besucher mit ihren Facebook-Konten verknüpfen. Dies stellt ein Risiko für den Datenschutz dar, zumal viele Organisationen vor der Verwendung des Tools keine Zustimmung einholen.
Die Aufsichtsbehörden haben bereits Unternehmen ins Visier genommen, die Meta Pixel verwenden. In den ersten beiden Monaten des Jahres 2023 verhängte die US Federal Trade Commission (FTC) Sanktionen gegen zwei Telehealth-Unternehmen, die durch die Verwendung von Meta Pixel hochsensible persönliche Daten mit Meta geteilt hatten.
Diese Fragen des Datenschutzes waren nicht ausschlaggebend für die Entscheidung der österreichischen Datenschutzbehörde, aber sie sind wichtig für jeden, der den Einsatz dieser Tools in Erwägung zieht.
Facebook-Anmeldung: Risiken für Datenschutz und Sicherheit
Facebook Login ist ein Single Sign-On (SSO) Tool, das es Facebook-Nutzern ermöglicht, sich über ein Facebook-Konto bei einer Website oder App eines Drittanbieters anzumelden, anstatt ein neues Konto für diese Website oder App zu erstellen. Andere Plattformen, wie Google und Twitter, bieten ebenfalls SSO-Tools an.
Die Verwendung von Facebook Login ist schnell und bequem. Die Nutzer müssen nicht mehr für jede Website oder Anwendung, bei der sie sich anmelden möchten, ein neues Konto erstellen. Dienstanbieter könnten Facebook Login hinzufügen, um die Reibungsverluste bei der Kontoerstellung zu verringern, was mehr Nutzer anziehen könnte.
Facebook Login birgt jedoch erhebliche Datenschutz- und Sicherheitsrisiken.
Bei einem [Hack im Jahr 2018] (https://www.wired.co.uk/article/facebook-hack-beach-single-sign-on-social-login) wurden über 50 Millionen "Konto-Tokens" kompromittiert. Böswillige Akteure hätten diese Token verwenden können, um sich bei den Facebook-Konten von Personen anzumelden - und bei allen Konten von Drittanbietern, die ein Nutzer über Facebook Login erstellt hat.
Facebook Login sammelt auch Daten darüber, wie Nutzer Websites von Drittanbietern nutzen. Die Dating-App Bumble hat sich früher vollständig auf Facebook Login verlassen. Aber die App [änderte diese Richtlinie] (https://bumble.com/en/the-buzz/non-facebook-login) im Jahr 2018, sodass ihre Nutzer Bumble nutzen konnten, "ohne (ihre) Daten mit Facebook teilen zu müssen".
Drei Schlussfolgerungen aus der Meta-Entscheidung der österreichischen Datenschutzbehörde
Die Entscheidung der österreichischen Datenschutzbehörde kam als Reaktion auf eine der 101 von NOYB eingereichten Beschwerden, die alle entweder Google Analytics oder Facebook Business Tools betrafen.
Die Entscheidung der DPA richtet sich nicht direkt gegen Meta.
Die Beschwerde richtete sich gegen eine Nachrichten-Website, die Meta Pixel (damals "Facebook Pixel") und Facebook Login in ihre Website integriert hatte. Der Betreiber dieser Website - nicht Meta - wurde für die Probleme mit der Einhaltung der DSGVO im Zusammenhang mit Metas Tools verantwortlich gemacht.
Sehen wir uns drei wichtige Erkenntnisse aus der Entscheidung der österreichischen Datenschutzbehörde an.
Meta Pixel und Facebook Pixel sammeln personenbezogene Daten
Um festzustellen, ob die DSGVO in diesem Fall relevant war, musste die österreichische Datenschutzbehörde feststellen, ob Meta Pixel und Facebook Login personenbezogene Daten erheben. Wie bereits erwähnt, lautet die Antwort "ja": Diese Tools sammeln personenbezogene Daten - und zwar eine ganze Menge davon.
Die DPA stellte fest, dass Meta Pixel die folgenden Daten sammelt:
- HTTP-Header-Informationen, darunter:
- IP-Adresse
- Webbrowser-Informationen
- Standort der Seite
- Dokument
- Referrer (d. h. die Website, über die der Nutzer auf die aktuelle Website gelangt ist)
- "Person, die die Website nutzt" (Metas eigene Worte)
- Pixel-ID
- Facebook-Cookie
- Button-Klick-Daten:
- Alle vom Nutzer angeklickten Schaltflächen
- Bezeichnungen dieser Schaltflächen
- Alle über Schaltflächen besuchten Seiten
- Namen von Formularfeldern (z. B. Bezeichnungen in Webformularen wie "E-Mail", "Adresse" usw.)
Entwickler können mit Meta Pixel über die Funktionen "Custom Audiences" und "Advanced Matching" von Meta auch weitere Informationen sammeln.
Die Datenschutzbehörde stellte fest, dass Facebook Login die folgenden Daten sammelt:
- IP-Adresse
- Benutzer-Agent-String
- Mobiles Betriebssystem und Browser
- Informationen über die Website des Drittanbieters
- Datum und Uhrzeit des Besuchs
- Sprache der Website
- Standort (z. B. Land)
- URL der Website
- Bildschirmauflösung
- Benutzer-ID
- Cache-Zugriffstoken
- Andere technische Website-Daten
- Cookie-Daten
Meta kann alle diese Daten im Klartext sehen, und sie wurden alle an die US-Server von Meta gesendet.
Einige dieser Informationen mögen für sich genommen keine "personenbezogenen Daten" sein. Allerdings kann jede der oben genannten Informationen personenbezogene Daten sein, wenn sie mit einer Person in Verbindung gebracht werden.
So können beispielsweise Daten wie die Bildschirmauflösung und der Typ des mobilen Browsers für das "Fingerprinting" verwendet werden, d. h. für die Identifizierung eines Benutzers auch ohne Bezug auf einen Benutzernamen oder eine ID, wenn sie mit weiteren Datenpunkten kombiniert werden. Das Datum und die Uhrzeit eines Website-Besuchs können, wenn sie mit einer Person verknüpft werden, Informationen über diese Person preisgeben.
Meta hatte keine Sicherheitsvorkehrungen für die Übertragung getroffen
Die österreichische Datenschutzbehörde stellte fest, dass Meta den US-Überwachungsgesetzen "EO 12223" und "FISA 702" unterliegt. Diese Gesetze würden Meta dazu verpflichten, personenbezogene Daten auf Anfrage an die US-Geheimdienste zu übermitteln.
Die Datenschutzbehörde stellte außerdem fest, dass Meta keine technischen Maßnahmen ergriffen hat, die den Zugriff auf personenbezogene Daten durch die US-Geheimdienste verhindern würden.
NOYB reichte seine Beschwerde gegen Meta im August 2020 ein. Das war nach dem Fall Schrems II und der Ungültigkeitserklärung von Privacy Shield. Aber es war, bevor Meta einen alternativen Übermittlungsmechanismus eingerichtet hatte.
Meta erstellte schließlich einen Nachtrag zu seiner Datenverarbeitungsvereinbarung, der SCCs einschloss. Diese neue Vereinbarung war jedoch zum Zeitpunkt der Beschwerde noch nicht in Kraft. Meta behauptete immer noch, sich auf das Privacy Shield zu berufen, das zu diesem Zeitpunkt ungültig war.
Die österreichische Datenschutzbehörde befand daher, dass die Übermittlung personenbezogener Daten durch die Website an Meta unrechtmäßig war.
Aber denken Sie daran: In diesem Fall war letztlich die Website, die die Tools von Meta verwendet, für die Einhaltung der Übermittlungsgarantien verantwortlich - nicht Meta selbst.
Das Problem wäre wahrscheinlich auch mit SCCs bestehen geblieben
Da zum Zeitpunkt der Beschwerde keine Übermittlungsgarantien vorhanden waren, steht außer Frage, dass die Website durch die Übermittlung personenbezogener Daten an Meta gegen die Datenübertragungsregeln der DSGVO verstoßen hat.
Was aber, wenn NOYB seine Beschwerde später eingereicht hätte, nachdem Meta SCCs implementiert hatte? Das Ergebnis wäre mit ziemlicher Sicherheit dasselbe gewesen.
Das wissen wir aus den Entscheidungen zu Google Analytics. Google hatte zwar SCC eingeführt, aber das Unternehmen konnte immer noch auf personenbezogene Daten aus der EU im Klartext zugreifen. Daher wurde festgestellt, dass Unternehmen, die Google Analytics nutzen, immer noch gegen die DSGVO verstoßen.
Selbst jetzt, wo die SCC eingeführt sind, scheint Meta nicht die technischen Maßnahmen ergriffen zu haben, die zum Schutz der Daten der Bürger erforderlich sind.
Daher ist die Verwendung von Meta Pixel oder Facebook Login höchstwahrscheinlich immer noch illegal im Sinne der DSGVO.