Facebook wird von irischer Datenschutzbehörde ermahnt
Die irische Datenschutzbehörde hat Facebook in einer vorläufigen Anordnung dazu aufgefordert, keine personenbezogenen Daten von EU-Bürgern in die USA zu übermitteln. Facebook kündigte an, dass man weiter Daten in die USA übermitteln werde. Hintergrund des Streits ist das im Juli vom EuGH für ungültig erklärte Privacy-Shield-Abkommen.
Das Privacy-Shield-Abkommen regelte den Austausch von personenbezogenen Daten zwischen den USA und der EU. Weil in den USA kein ausreichender Schutz vor Überwachung gewährleistet werden könne erklärte der EuGH das Privacy-Shield-Abkommen im Juli für ungültig. Doch Facebook übermittelte weiter Daten in die USA und berief sich dabei auf sogenannte Standardvertragsklauseln. Auch dieses Vorgehen wurde jetzt von der irischen Datenschutzbehörde (DPC) für ungültig erklärt.
Kein ausreichender Datenschutz in den USA
Der EuGH hatte die Möglichkeit der Datenübertragung auf Grundlage der Standardvertragsklauseln zwar nicht prinzipiell untersagt, gleichwohl jedoch festgestellt, dass in den Staaten, in welche die Daten übermittelt werden sollen, ein der DSGVO vergleichbarer Standard gewährleistet werden muss. Da sich in den USA Geheimdienste wie die NSA legal Zugang zu den Daten beschaffen können, ist ein solches vom EuGH gefordertes Schutzniveau in den USA gerade nicht vorhanden. Dies hatte der EuGH bereits im Juli im Rahmen des Verfahrens zum Privacy-Shield-Abkommen festgestellt. Die DPC vertritt nun offenbar eine ähnliche Auffassung, weshalb sie Facebook auffordert, die Datenübermittlung einzustellen.
Facebook stellt sich quer
Bevor die irische Datenschutzbehörde eine endgültige Maßnahme treffen kann, hat Facebook noch einmal die Gelegenheit eine Stellungnahme abzugeben. Facebooks Kommunikationschef Nick Clegg beruft sich weiterhin auf die mögliche Wirksamkeit der Standardvertragsklauseln. Er erklärte, dass man in Übereinstimmung mit dem jüngsten EuGH-Urteil weiter Daten übermitteln werde. Außerdem warnt er vor den möglichen Konsequenzen eines Verbots der Datenübermittlung in die USA. Startups würden keine US-Cloudprovider mehr nutzen können und Familienmitglieder, die in unterschiedlichen Ländern wohnen, könnten keine Videokonferenzen mehr abhalten. Datenschutzaktivist Max Schrems, der das Privacy-Shield-Verfahren angestoßen hat, erklärt, dass Facebook sich für die Datenübermittlung neben den Standardvertragsklauseln nun auch auf eine Notwendigkeit der Datenübertragung gemäß Art. 49 Abs. 1 S. 1 b) DSGVO stützt. Diese Argumentation sei aber von der DPC nicht umfasst, was zur Folge habe, dass Facebook am Ende dieses Verfahrens die nächste Rechtsgrundlage „aus dem Hut zaubere“, so Schrems. Aus diesem Grund will die von Schrems gegründete Nichtregierungsorganisation „noyb“ eine einstweilige Verfügung gegen die irische Datenschutzbehörde einreichen, damit sie hinsichtlich aller rechtlicher Grundlagen zur Datenübermittlung tätig wird. Anderenfalls verstoße sie gegen einen Gerichtsbeschluss, indem sie das Beschwerdeverfahren pausiert, um ein unnötiges zweites Verfahren zu einer bloßen Teilfrage der Beschwerde einzuleiten, so der Vorwurf von „noyb“.
Neue Verhandlungen schon gestartet
Insgesamt dürfte die vorläufige Anordnung der DPC den Druck auf die USA und die EU erhöhen, das Privacy-Shield-Abkommen nach den Vorgaben des EuGHs nachzubessern. Verhandlungen diesbezüglich sind bereits im August gestartet. Dass diese mitten im US-Präsidentschaftswahlkampf abgeschlossen werden scheint jedoch eher unwahrscheinlich. Laut Schrems sei es für eine befriedigende Lösung mittelfristig erforderlich, dass die USA ihre Überwachungsgesetze ändern. Auch die Standardvertragsklauseln werden im Moment überarbeitet und sollen bis Jahresende dem Urteil des EuGHs angepasst werden.
