Schutz persönlicher DatenFacebook droht Stopp des EU-US-Datentransfers

Nach jahrelangem Rechtsstreit gegen die Übermittlung europäischer Facebook-Daten in die USA hat das irische Höchstgericht nun erneut ein Urteil gefällt. Erkämpft hat es der Jurist Max Schrems. Ein künftiger Transfer in die USA könnte damit verhindert werden.

Mann guckt durch Fernglas mit Facebook Logo
Die USA könnten durch einen Stopp des EU-US-Datentransfers bald keine europäischen Facebook-Daten mehr überwachen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Glenn Carrie

Der Oberste Gerichtshof Irlands hat letzte Woche die Entscheidung gefällt, dass die irische Datenschutzbehörde DPC eine zweite Untersuchung gegen Facebook einleiten kann, um Facebooks EU-US-Datentransfers zu stoppen. Damit scheiterte auch der Versuch des Konzerns aus dem vergangenen Jahr, eine Blockierung der Untersuchung durchzusetzen.

Nach Jurist Max Schrems, der die Klage gegen Facebook erhob und sich seit Jahren im Rechtsstreit mit Facebook und der DPC befindet, bedeutet die neue Entscheidung des Gerichts:

Facebook hat auf allen Ebenen verloren. Das Verfahren hat das irische Verfahren am Ende nur wieder ein paar Monate blockiert. Nach acht Jahren ist die DPC nun verpflichtet, Facebooks EU-US-Datentransfers zu stoppen, wahrscheinlich noch vor dem Sommer. Mit dem heutigen Urteil haben wir nun eben zwei Verfahren statt einem.

Die neue Untersuchung läuft parallel zu einem zweiten noch ausstehenden Verfahren einer Beschwerde von Max Schrems gegen Facebook aus dem Jahre 2013. In dieser Beschwerde kritisierte Schrems die Übermittlung seiner persönlichen Daten in die USA. Aufgrund US-amerikanischer Überwachungsgesetze könnten persönliche Daten an die US-Regierung übermittelt werden. Daraus folgten die zwei EuGH-Urteile „Schrems I“ und „Schrems II“, mit denen die DPC gegen Facebook ermitteln und den Datentransfer stoppen sollte.

Die DPC zögerte jedoch mit der Umsetzung der Urteile und produzierte nach Meinung von Schrems’ Organisation noyb drei „Nebenschauplätze“. Die Datenschutzbehörde leitete im Herbst vergangenen Jahres schließlich ein eigenes Beschwerdeverfahren ein und pausierte das Verfahren von Schrems. Damit wäre er von seinem eigenen Verfahren ausgeschlossen worden. Schrems reichte eine Klage vor dem irischen High Court ein. Die DPC lenkte im Fall Schrems ein und verpflichtet sich nun durch einen außergerichtlichen Vergleich, das Beschwerdeverfahren zeitlich nach dem Urteil des irischen Gerichts umzusetzen.

Ohne Privacy Shield fehlt Facebook Rechtsgrundlage

Facebook bezeichnete die Untersuchung zuvor als voreilig und einseitig. In dem Urteil des Richters des irischen High Court heißt es nun: „Ich lehne alle von Facebook Irland gestellten Forderungen ab und weise die im Verfahren gestellten Anträge zurück.“ Facebook Irland habe keine Grundlage für die Anfechtung der Entscheidung des DPC geschaffen. Die Forderungen Facebooks resultierten aus dem im Juli vergangenen Jahres gekippten Privacy Shield. Nach dem Urteil konnte Facebook jedoch weiterhin mithilfe von Standardvertragsklauseln Daten aus der europäischen Tochtergesellschaft in den US-amerikanischen Mutterkonzern weiterleiten.

Das Privacy Shield war Rechtsgrundlage für den Austausch persönlicher Daten europäischer Bürger:innen in die USA und wurde wie der Vorgänger Safe Harbor aufgrund mangelnden Datenschutzes für ungültig erklärt. Max Schrems setzte auch hier die Klage gegen das Privacy Shield durch.

Facebook äußerte bisher zu dem Urteil des irischen Gerichts, dieses könnte nicht nur für den Konzern schädlich sein, sondern ebenso für sämtliche Nutzer:innen und Unternehmen. Schrems erklärt, dass Facebook bei einem Stopp des Datentransfers künftig Daten europäischer Bürger:innen lokal speichern müsste, damit Facebook USA keinen Zugriff auf diese europäischen Daten hat. Alternativ müssten die USA ihre Überwachungsgesetze ändern – was jedoch nicht zu erwarten ist.

Du möchtest mehr kritische Berichterstattung?

Unsere Arbeit bei netzpolitik.org wird fast ausschließlich durch freiwillige Spenden unserer Leserinnen und Leser finanziert. Das ermöglicht uns mit einer Redaktion von derzeit 15 Menschen viele wichtige Themen und Debatten einer digitalen Gesellschaft journalistisch zu bearbeiten. Mit Deiner Unterstützung können wir noch mehr aufklären, viel öfter investigativ recherchieren, mehr Hintergründe liefern - und noch stärker digitale Grundrechte verteidigen!

 

Unterstütze auch Du unsere Arbeit jetzt mit deiner Spende.

7 Ergänzungen

  1. Man glaubt kaum was in Irland abgeht. Die Irische „Datenschutzbehörde“ *hust* versucht jetzt schon seit 8 Jahren Facebook vor Europäischen Gesetzen zu „schützen“. Man fragt sich schon welche lukrativen Lohn-Posten die Verantwortlichen nach ihrem Abgang aus der DPC bei Zuckerbergs Datenkrake bekommen werden.

    1. Lass doch die Verschwörungstheorien weg, das hilft niemandem. Die DPC ist Exekutivbehörde und damit schlicht an die Weisungen der Regierung gebunden.

  2. Wenn Facebook künftig die Daten in der EU speichern müsste, haben die US-Behörden aber trotzdem Zugriff, da dies der US-Gesetze (PATRIOT-Act und CLOUD-Act) vorschreiben.

  3. Stephan/Martin: Facebook müsste meines Wissens komplett in die EU umziehen, um sich dem Patriot Act entziehen zu können.

    Aber wie kann es sein, dass Nicht-EU-Länder wie die USA einfach in unser Rechtssystem eingreifen (dürfen)? Welche Konsequenzen hat das für unser Rechtssystem und unser Vertrauen in die hiesige Justiz allgemein?

    Diese Frage wurde und wird bis heute weder politisch noch medial ausführlich diskutiert…warum wohl?

  4. Schrems, unser Robin Hood , gegen den Datenreichtum der Konzerne.

    Wofür haben wir eigentlich hochrangige, hochbezahlte bestens ausgebildete, fachlich kompetente staatliche (Bundes) Datenschützer ?

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.