Datenschutz: Formelle Rüge für Facebook durch französische Datenschutzaufsicht
Die französische CNIL hat Facebook formal gerügt. Es sei nicht mehr zulässig, Nutzerdaten auf Safe-Harbor-Basis in die USA zu übertragen. Derweil herrscht Konfusion darüber, auf welche Rechtsgrundlage sich Facebook überhaupt derzeit beruft.
(Bild: dpa, Jens Büttner/Archiv)
Als erste europäische Datenschutzbehörde macht die französische CNIL nun ernst in Sachen Safe Harbor. Am heutigen Dienstag erteilte sie Facebook offiziell eine Rüge wegen diverser Datenschutzverstöße, insbesondere aber, weil der Konzern nach wie vor persönliche Daten seiner europäischen Nutzer auf Basis des Safe-Harbor-Abkommens in die USA übermittle, obwohl der Europäische Gerichtshof diese Regelung am 6. Oktober 2015 für ungültig erklärt hat.
Die Rüge wurde sowie dem US-Mutterkonzern als auch der europäischen Tochter Facebook Ireland Limited zugestellt. Facebook hat eine dreimonatige Frist erhalten, alle gerügten Umstände zu beseitigen. Sollte dies nicht geschehen, wird die französische Datenschutzbeauftragte Isabelle Falque-Pierrotin einen "Berichterstatter" beauftragen, der über Sanktionen gegenüber dem Konzern entscheiden soll.
Safe Harbor oder nicht?
Facebook selbst betont stets, die Grundlage für die Daten-Übermittlung sei nicht die Safe-Harbor-Vereinbarung, sondern andere Regelungen gemäß der weiterhin geltenden EU-Datenschutzverordnung. Damit widerspricht der Konzern allerdings seiner eigenen, heute gültigen "Datenrichtlinie", die die Nutzer abnicken sollen. Darin heißt es wörtlich:
"VI. So funktionieren unsere globalen Dienste
Facebook, Inc. hält sich an die vom US-Handelsministerium veröffentlichten Safe-Harbor-Bestimmungen für den Datenverkehr zwischen den USA und der EU bzw. den USA und der Schweiz bezüglich der Sammlung, Nutzung und Einbehaltung von Informationen aus der Europäischen Union. Unsere Zertifizierung kannst du auf der Safe-Harbor-Webseite einsehen.
In Verbindung mit unserer Teilnahme am Safe-Harbor-Programm werden wir Streitigkeiten zwischen dir und uns bezüglich unserer Richtlinien und Verfahren durch TRUSTe beilegen. Du kannst mit TRUSTe Kontakt über deren Webseite aufnehmen. Für die in dieser Richtlinie beschriebenen Zwecke kann Facebook Informationen intern innerhalb seiner Unternehmensgruppe oder an Dritte weitergeben. Informationen, die im Europäischen Wirtschaftsraum ('EWR') gesammelt werden, können für die in dieser Richtlinie beschriebenen Zwecke beispielsweise in Länder außerhalb des EWR übertragen werden."
Alles rechtens?
Der österreichische Datenschutzaktivist Maximilian Schrems hatte allerdings bereits im November 2015 andere Informationen von Facebook erhalten. In einer Beschwerde an den Hamburgischen Datenschutzbeauftragten vom 1. Dezember 2015 erklärte er, einen Brief von Facebook erhalten zu haben, wonach die Datenübermittlung zwischen "Facebook Ireland Ltd" und "Facebook Inc" auf den sogenannten Standardvertragsklauseln unter der Entscheidung 2010/87/EU basiere.
Eine solche Basis würden die europäischen Datenschutzbeauftragten wohl so lange tolerieren, bis die Nachfolgeregelung "EU-US-Privacy Shield" geprüft und in Kraft ist. Auf Nachfrage von heise online wollte Facebook heute nicht mitteilen, auf welche Rechtsgrundlage man sich bei der Übertragung personenbezogener Daten aus Europa in die USA beruft. "Der Schutz der Privatsphäre unserer Nutzer hat für Facebook oberste Priorität und ist Teil jeglicher Entwicklungen. Wir sind davon überzeugt, dass wir europäischem Datenschutzrecht entsprechen und werden uns dazu gerne mit der CNIL zu deren Bedenken austauschen", ließ der Konzern lediglich wissen.
Der für Facebook Deutschland zuständige Hamburgische Datenschutzbeauftragte Johannes Caspar prüft derzeit die Beschwerde von Schrems, wie sein Sprecher am heutigen Dienstag gegenüber heise online bestätigte. Auch ihm sei noch nicht klar, auf welche Rechtsgrundlage sich Facebook berufe. Deshalb habe er einen Fragenkatalog an die Facebook GmbH gesendet. Die Frist zur Beantwortung laufe am 15. Februar aus.
[Update 09.02.2015, 16 Uhr]
Facebook hat in einem Statement mitgeteilt, dass man als Rechtsgrundlage für die Übertragung von personenbezogenen Daten von der EU in die USA nicht nur auf das Safe-Harbor-Abkommen setze. Man habe vielmehr wiederholt erklärt, dass auch "andere Methoden" zur Anwendung kommen, um den Datentransfer rechtmäßig durchzuführen.
Die Rüge der CNIL habe man erhalten und sei dabei sie zu überprüfen. Nach einer ersten Bewertung könne man bereits sagen, dass die Dinge, die die CNIL kritisiert, keineswegs nur Facebook, sondern viele andere Internet-Unternehmen genauso betreffen würden. Man werde mit der CNIL in Kontakt treten und der Behörde Rede und Antwort stehen. (hob)
