Untersuchung der irischen Datenschutzkommission gegen Facebook vorläufig gestoppt

Einem Bericht der Frankfurter Allgemeinen Zeitung (FAZ) zufolge, ist es Facebook gelungen, eine durch die irische Datenschutzkommission von Amts wegen eingeleitete Untersuchung vorläufig zu stoppen. Die Datenschutzkommission ist die für die Datenschutzaufsicht in Irland zuständige Behörde. Die Untersuchung sollte Facebooks Datenflüsse zwischen der EU und den USA überprüfen.

Der High Court von Irland, Irlands höchstes Gericht, hat Facebook gestattet, Rechtsmittel gegen die Untersuchung der Datenschutzkommission einzureichen und diese damit ausgesetzt. „Damit verbindet sich noch keine inhaltliche Einschätzung der Vorwürfe. Offensichtlich haben die irischen Richter aber Bedenken gegen das Vorgehen der Aufsichtsbehörden“, so die FAZ.

Die von der irischen Datenschutzkommission eigeleitete Untersuchung bezieht sich auf die Frage, inwieweit Facebook weiterhin personenbezogene Daten auf Basis der Standardvertragsklauseln (SCCs) in die USA transferieren darf. SCCs sind von der EU vorformulierte Verträge. Unternehmen können sie nutzen, wenn sie personenbezogene Daten an Empfänger in Ländern außerhalb des Europäischen Wirtschaftsraums (EWR), sogenannte Drittstaaten, übertragen, wobei eine Offenbarung solcher Daten einer Übertragung gleichkommt.

SCCs sollen sicherstellen, dass den personenbezogenen Daten in solchen Ländern ein ähnlicher Schutz zukommt wie im EWR. „Unternehmen sind gemäß Datenschutz-Grundverordnung (DSGVO) dazu verpflichtet, das zu gewährleisten“, so Datenschutz-Expertin Kirsten Wolgast von Pinsent Masons. Ausgenommen sind lediglich Übertragungen in solche Drittstaaten, denen die EU-Kommission ein angemessenes Datenschutzniveau ausdrücklich bescheinigt hat, wie etwa im Fall der Schweiz oder Japans.

Experten nehmen an, dass die gegen Facebook eingeleitete Untersuchung auch für zahlreiche andere Unternehmen Folgen haben könnte, die ebenfalls Kunden- oder Nutzerdaten in den Vereinigten Staaten verarbeiten, sei es nur mittels Email-Plattformen oder Cloud-Dienstleistern. Facebook sei daher lediglich ein prominentes Beispiel.

Hintergrund der Untersuchung der irischen Datenschutzkommission ist das Schrems II-Urteil des Europäischen Gerichtshofs (EuGH) vom 16. Juli 2020. „Darin hat der EuGH die grundsätzliche Gültigkeit der SCCs zwar bestätigt, zugleich aber deutlich gemacht, dass Unternehmen sich nicht allein auf die SCCs verlassen dürfen, wenn sie personenbezogene Daten an Empfänger in Drittstaaten übermitteln und das Risiko besteht, dass sie dadurch einem unverhältnismäßigen Zugriff durch Behörden des Drittstaates ausgesetzt sind, ohne dass sich die Betroffenen angemessen dagegen wehren können“, so Wolgast. Dies sei laut dem EuGH-Urteil insbesondere bei der Datenübermittlung in die USA der Fall. Dem EuGH-Urteil zufolge sind Unternehmen in solchen Fällen dazu angehalten, strenger darauf zu achten, ob die SCCs dort, wohin die Daten übermittelt werden, auch tatsächlich eingehalten werden.

Der FAZ zufolge begrüßte Facebook die Entscheidung des irischen High Court: „Internationale Datenübermittlungen sind die Grundlage der globalen Wirtschaft und unterstützen viele der Dienstleistungen, die für unser tägliches Leben von grundlegender Bedeutung sind“, wird eine Facebook-Sprecherin zitiert.

„Damit legt Facebook in gewisser Weise den Finger in die Wunde, denn diese Bedeutung dürfte es sein, die die Datenschutz-Aufsichtsbehörden bislang davon abgehalten hat, Datentransfers in die USA massenhaft zu untersagen“, so Wolgast. „Das dürfte auch genau der Punkt sein, der es nicht nur den Behörden so schwermacht, mit dem Schrems II-Urteil des EuGH umzugehen. Denn nach diesem Urteil ist schwer vorstellbar, wie ein Datentransfer in die USA derzeit datenschutzkonform gestaltet werden kann.“

Der Europäische Datenschutzausschuss (EDSA) hatte im Anschluss an das EuGH-Urteil eine Taskforce eingerichtet. Sie soll Empfehlungen ausarbeiten, die die Verantwortlichen und Auftragsverarbeiter dabei unterstützen soll, geeignete zusätzliche Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus bei der Übermittlung von Daten in Drittländer zu ermitteln und umzusetzen. Die Auswirkungen des Urteils seien jedoch weitreichend und die Kontexte der Datenübermittlung an Drittländer sehr unterschiedlich, so Andrea Jelinek, Vorsitzende des EDSA. Deshalb könne es keine Pauschallösung geben, die allen gerecht wird. Jede Organisation werde ihre eigenen Datenverarbeitungsvorgänge und -übertragungen bewerten und geeignete Maßnahmen ergreifen müssen.

„Weshalb die irische Datenschutzkommission ausgerechnet jetzt die Untersuchung angestrengt hat, ist vor dem Hintergrund, dass die aus dem Schrems II-Urteil zu ziehenden Konsequenzen auf europäischer Ebene diskutiert werden, nicht recht nachvollziehbar“, so Wolgast.