Irische Datenschutzbehörde mahnt Facebook: Standardvertragsklauseln nicht gültig
Irische Datenschützer haben Facebook wissen lassen, dass Standardvertragsklauseln nicht gültig sind. Das soziale Netzwerk will aber weiter Daten gen USA senden.
(Bild: Cryptographer/Shutterstock.com)
Nachdem das Privacy-Shield-Abkommen vom Europäischen Gerichtshof (EuGH) für ungültig erklärt wurde, hat sich Facebook, wie viele andere Unternehmen, auf Standardvertragsklauseln berufen, um Daten weiterhin in die USA senden zu können. Nun hat die irische Datenschutzbehörde (DPC) klargemacht, dass diese nicht greifen. Sie hat eine vorläufige Anordnung geschickt, dass Facebook den Transfer beenden muss. Doch das soziale Netzwerk versucht es laut Datenschutzaktivist Max Schrems sogleich mit der Anwendung einer neuen Rechtsgrundlage.
Die Standardvertragsklauseln (SCC) besagen, dass Daten übermittelt werden können, wenn das Land, in das sie gesendet werden, einen vergleichbaren Standard zur Datenschutzgrundverordnung (DSGVO) hat. Genau dies ist in den USA nicht der Fall. Da Geheimdienste wie die NSA sich legal Zugang zu den Daten verschaffen können, kippte unter anderem auch das Privacy Shield und kann eben nicht von einem vergleichbaren Schutz der Daten ausgegangen werden.
Facebook bleibt sturr und malt schwarz
Die Anordnung gibt Facebook die Möglichkeit, sich zu äußern. Erst daraufhin kann aus Irland eine Anweisung ausgesprochen werden. In seiner Antwort beruft sich Nick Clegg, Vicepresident of Global Affairs und Communications, auch weiterhin auf die mögliche Wirksamkeit der Standardvertragsklauseln. Er mahnt, welche Auswirkungen es haben könnte, wenn Daten nicht mehr in die USA übertragen werden dürften: Startups könnten keine US-Cloudprovider mehr nutzen, Unternehmen könnten keine Callcenter mehr in Marokko betreiben und Familienmitglieder, die in unterschiedlichen Ländern lebten, könnten nicht mehr in Videokonferenzen miteinander sprechen.
"Wir werden in Übereinstimmung mit dem jüngsten EUGH-Urteil und bis wir weitere Anweisungen erhalten, weiterhin Daten übermitteln", schließt Clegg seine Antwort.
Schrems kritisiert Salami-Taktik
Laut dem Datenschutzaktivisten Max Schrems hat Facebook allerdings noch einen anderen Weg eingeschlagen. Demnach stützt sich die Plattform nun "auf eine angebliche 'Notwendigkeit' der Datenübertragung gemäß Artikel 49 (1)(b) DSGVO, um Daten in die USA zu übermitteln". Diese Argumentation sei von der vorläufigen Anordnung durch die irische Behörde nicht umfasst, heißt es in einem Beitrag auf der Seite von noyb, der Nichtregierungsorganisation, die Schrems gegründet hat.
"Facebook scheint es nur recht zu sein, dass sich die DPC nun lediglich auf die SCCs konzentriert, sodass Facebook am Ende dieses Verfahrens einfach die nächste Rechtsgrundlage aus dem Hut zaubern kann. Diese juristische Salami-Taktik läuft nun schon seit sieben Jahren", sagte Schrems. Der Datenschutzaktivist hat maßgeblich für den Fall des Privacy-Shields gekämpft.
Lesen Sie auch
EU-Kommission verhandelt zu neuem Privacy Shield
noyb plant, eine einstweilige Verfügung gegen die irische DPC einzureichen. Der Vorwurf lautet, dass die "DPC gegen einen Gerichtsbeschluss verstößt, indem sie das Beschwerdeverfahren (erneut) pausiert, um ein unnötiges zweites Verfahren zu einer bloßen Teilfrage der Beschwerde einzuleiten". Die Behörde müsse hinsichtlich aller rechtlichen Grundlagen zur Datenübermittlung tätig werden.
(emw)