Schutz persönlicher DatenFacebook droht Stopp des EU-US-Datentransfers

Nach jahrelangem Rechtsstreit gegen die Übermittlung europäischer Facebook-Daten in die USA hat das irische Höchstgericht nun erneut ein Urteil gefällt. Erkämpft hat es der Jurist Max Schrems. Ein künftiger Transfer in die USA könnte damit verhindert werden.

Mann guckt durch Fernglas mit Facebook Logo
Die USA könnten durch einen Stopp des EU-US-Datentransfers bald keine europäischen Facebook-Daten mehr überwachen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Glenn Carrie

Der Oberste Gerichtshof Irlands hat letzte Woche die Entscheidung gefällt, dass die irische Datenschutzbehörde DPC eine zweite Untersuchung gegen Facebook einleiten kann, um Facebooks EU-US-Datentransfers zu stoppen. Damit scheiterte auch der Versuch des Konzerns aus dem vergangenen Jahr, eine Blockierung der Untersuchung durchzusetzen.

Nach Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook und der DPC befindet, bedeutet die neue Entscheidung des Gerichts:

Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, Facebooks EU-US-Datentransfers zu stoppen, wahrscheinlich noch vor dem Sommer. Mit dem heutigen Urteil haben wir nun eben zwei Verfahren statt einem.

Die neue Untersuchung läuft parallel zu einem zweiten noch ausstehenden Verfahren einer Beschwerde von Max Schrems gegen Facebook aus dem Jahre 2013. In dieser Beschwerde kritisierte Schrems die Übermittlung seiner persönlichen Daten in die USA. Aufgrund US-amerikanischer Überwachungsgesetze könnten persönliche Daten an die US-Regierung übermittelt werden. Daraus folgten die zwei EuGH-Urteile „Schrems I“ und „Schrems II“, mit denen die DPC gegen Facebook ermitteln und den Datentransfer stoppen sollte.

Die DPC zögerte jedoch mit der Umsetzung der Urteile und produzierte nach Meinung von Schrems’ Organisation noyb drei „Nebenschauplätze“. Die Datenschutzbehörde leitete im Herbst vergangenen Jahres schließlich ein eigenes Beschwerdeverfahren ein und pausierte das Verfahren von Schrems. Damit wäre er von seinem eigenen Verfahren ausgeschlossen worden. Schrems reichte eine Klage vor dem irischen High Court ein. Die DPC lenkte im Fall Schrems ein und verpflichtet sich nun durch einen außergerichtlichen Vergleich, das Beschwerdeverfahren zeitlich nach dem Urteil des irischen Gerichts umzusetzen.

Ohne Privacy Shield fehlt Facebook Rechtsgrundlage

Facebook bezeichnete die Untersuchung zuvor als voreilig und einseitig. In dem Urteil des Richters des irischen High Court heißt es nun: „Ich lehne alle von Facebook Irland gestellten Forderungen ab und weise die im Verfahren gestellten Anträge zurück.“ Facebook Irland habe keine Grundlage für die Anfechtung der Entscheidung des DPC geschaffen. Die Forderungen Facebooks resultierten aus dem im Juli vergangenen Jahres gekippten Privacy Shield. Nach dem Urteil konnte Facebook jedoch weiterhin mithilfe von Standardvertragsklauseln Daten aus der europäischen Tochtergesellschaft in den US-amerikanischen Mutterkonzern weiterleiten.

Das Privacy Shield war Rechtsgrundlage für den Austausch persönlicher Daten europäischer Bürger:innen in die USA und wurde wie der Vorgänger Safe Harbor aufgrund mangelnden Datenschutzes für ungültig erklärt. Max Schrems setzte auch hier die Klage gegen das Privacy Shield durch.

Facebook äußerte bisher zu dem Urteil des irischen Gerichts, dieses könnte nicht nur für den Konzern schädlich sein, sondern ebenso für sämtliche Nutzer:innen und Unternehmen. Schrems erklärt, dass Facebook bei einem Stopp des Datentransfers künftig Daten europäischer Bürger:innen lokal speichern müsste, damit Facebook USA keinen Zugriff auf diese europäischen Daten hat. Alternativ müssten die USA ihre Überwachungsgesetze ändern – was jedoch nicht zu erwarten ist.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

9 Ergänzungen

  1. Man glaubt kaum was in Irland abgeht. Die Irische „Datenschutzbehörde“ *hust* versucht jetzt schon seit 8 Jahren Facebook vor Europäischen Gesetzen zu „schützen“. Man fragt sich schon welche lukrativen Lohn-Posten die Verantwortlichen nach ihrem Abgang aus der DPC bei Zuckerbergs Datenkrake bekommen werden.

    1. Lass doch die Verschwörungstheorien weg, das hilft niemandem. Die DPC ist Exekutivbehörde und damit schlicht an die Weisungen der Regierung gebunden.

  2. Wenn Facebook künftig die Daten in der EU speichern müsste, haben die US-Behörden aber trotzdem Zugriff, da dies der US-Gesetze (PATRIOT-Act und CLOUD-Act) vorschreiben.

  3. Stephan/Martin: Facebook müsste meines Wissens komplett in die EU umziehen, um sich dem Patriot Act entziehen zu können.

    Aber wie kann es sein, dass Nicht-EU-Länder wie die USA einfach in unser Rechtssystem eingreifen (dürfen)? Welche Konsequenzen hat das für unser Rechtssystem und unser Vertrauen in die hiesige Justiz allgemein?

    Diese Frage wurde und wird bis heute weder politisch noch medial ausführlich diskutiert…warum wohl?

  4. Schrems, unser Robin Hood , gegen den Datenreichtum der Konzerne.

    Wofür haben wir eigentlich hochrangige, hochbezahlte bestens ausgebildete, fachlich kompetente staatliche (Bundes) Datenschützer ?

  5. Ich möchte gerne eine evt. noch nicht veröffentlichte Information weitergeben:

    https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Datenschutzpraxis/FacebookFanpages.html/
    Da Facebook und die Fanpage-Betreiber gemeinsam Verantwortliche sind, müssen diese eine Vereinbarung treffen, in der geregelt ist, wer welche Pflichten nach der Datenschutz-Grundverordnung (DSGVO) erfüllt, insbesondere was die Wahrnehmung der Rechte der Fanpage-Besucher angeht, und wer welchen Informationspflichten nachkommt. Von besonderer Bedeutung ist auch die Rechenschaftspflicht. Diese verlangt, dass Verantwortliche die Rechtmäßigkeit von Datenverarbeitungsvorgängen, die ihrer Verantwortung unterliegen, prüfen, gewährleisten und nachweisen können müssen.

    Die Auswirkungen des EuGH-Urteils sind offen: Werden Behörden und Unternehmen auf Fanpages verzichten, weil sie den Anforderungen des Datenschutzes, nicht nachkommen können oder wird Facebook seine Verarbeitung offen legen oder werden sich andere, datenschutzkonforme soziale Netzwerke entwickeln? Auf jeden Fall sollte die direkte Kommunikation von Behörden mit den Bürgerinnen und Bürgern über sichere Kanäle abgewickelt werden, etwa über SSL-verschlüsselte Formulare oder über De-Mail.

    Es betrifft die Behörden, m.E. auch Öffentlich Rechtlichen Medien.
    Leider gibt es kein Veröffentichungsdatum beim BFDI (warum eigentlich nicht?)

  6. Ich habe gerade noch einer Artikel gefunden (es geht um die Nutzung von Whatsapp) :
    https://www.bfdi.bund.de/DE/Fachthemen/Inhalte/Telefon-Internet/Datenschutzpraxis/WhatsApp.html
    Zitat:
    „Allein durch die Versendung von Nachrichten werden jedes Mal Metadaten an WhatsApp übermittelt. Es ist davon auszugehen, dass diese dann unmittelbar an Facebook weitergegeben werden. Allein aus der Tatsache, dass zum Beispiel ein/e Bürger/in mit einer Bundesbehörde kommuniziert hat, sowie der Häufigkeit der Nachrichten lassen sich Rückschlüsse ziehen. Diese tragen – wenn auch nur als kleiner „Mosaikstein“ – zur verstärkten Profilbildung bei Facebook bei.
    Hierauf hat der BfDI die Bundesbehörden auch in einem Rundschreiben hingewiesen.
    Rundschreiben WhatsApp“

    Das Rundschreiben :
    https://www.bfdi.bund.de/SharedDocs/Downloads/DE/DokumenteBfDI/Rundschreiben/Allgemein/2020/Rundschreiben-Nutzung-WhatsApp.html?nn=339138
    Zitat: „… Einsatz von WhatsApp für eine Bundesbehörde ausgeschlossen ist…“

    Faceebook / Twitter selbst ist also zugelassen ??
    Unsere Behörden (stand heute):
    https://de-de.facebook.com/Bundesregierung
    https://twitter.com/bundestag
    https://twitter.com/hashtag/bundestagsnachrichten?src=hashtag_click

    Warum übernimmt das denn nicht der ÖRR, statt ausländische PRIVATE Unternehmen ??
    Hier ist schon eher der Datenschutz gewährleistet.

    https://www.bfdi.bund.de/DE/Fachthemen/Themen-Positionen/Themen-Positionen_node.html

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.