Ohne Privacy Shield: Es wird eng für Facebooks Datentransfer in die USA
Ein Urteil erlaubt der irischen Datenschutzbehörde, nach dem Aus für den Privacy Shield die transatlantischen Datenübermittlungen Facebooks zu untersagen.
(Bild: Cryptographer/Shutterstock.com)
Rückschlag für Facebook im Dauerstreit über den Transfer personenbezogener Informationen durch die irische Tochterfirma an den Mutterkonzern in den USA: Das Oberste Gericht Irlands, der High Court, wies am Freitag die Forderung des Internetkonzerns zurück, eine von Amts wegen eingeleitete Untersuchung der irischen Datenschutzbehörde zu den Übermittlungen zu blockieren. Eine Entscheidung der Data Protection Commission (DPC) in dem seit acht Jahren bearbeiteten Fall rückt damit näher.
Richter stärkt Position der DPC
Facebook hatte in dem jüngsten Schlenker der Auseinandersetzung im September zunächst einen Etappensieg erzielt: Der High Court genehmigte damals das Ersuchen des Konzerns, eine vorläufige Anordnung der DPC zum Stopp der umkämpften Datentransfers auf Basis von Standardvertragsklauseln (SVK) gerichtlich überprüfen zu lassen. Das nun vorliegende Ergebnis dieser Kontrolle durch den High Court dürfte dem Social-Media-Giganten aber nicht zusagen. Richter David Barniville schreibt in dem 197 Seiten langen Urteil (PDF-Datei): "Ich lehne alle Ersuchen von Facebook Irland ab." Er wies zugleich die von dem Unternehmen im Verfahren gestellten Anträge zurück.
Der DPC erteilt Barniville den Bescheid, er habe ihren Vorwurf des Verfahrensmissbrauchs und der Zweckentfremdung geprüft. Diesen habe die Behörde zwar im Lauf der Anhörung zurückgenommen. Er sei trotzdem zu dem Schluss gekommen, "dass es keine Grundlage für diesen Vorwurf gibt und gab". Die Anschuldigungen hätten nicht erhoben werden dürfen und viel früher zurückgezogen werden müssen.
Schrems: "Facebook hat auf allen Ebenen verloren"
Mit der Untersuchung, die Facebook als voreilig sowie einseitig bezeichnete und daher stoppen wollte, reagierte die DPC auf ein Urteil des Europäischen Gerichtshofs (EuGH) vom Juli. Dieser hatte fünf Jahre nach dem von ihm erklärten Aus für das Datenschutzabkommen Safe Harbor zwischen der EU und den USA auch das Nachfolgekonstrukt Privacy Shield gekippt. Eine Weitergabe persönlicher Informationen etwa auf Basis von SVK hielten die Luxemburger Richter unter strengen Voraussetzungen und verknüpft mit zusätzlichen Schutzvorkehrungen vor der in den USA möglichen Massenüberwachung prinzipiell weiterhin für möglich.
"Facebook hat auf allen Ebenen verloren", kommentierte der Österreicher Max Schrems die Entscheidung des High Court. Der Jurist hatte mit seiner Beschwerde 2013 in der ursprünglichen Auseinandersetzung nach den Snowden-Enthüllungen den Stein ins Rollen gebracht. Das erneute Intermezzo hat ihm zufolge nur das laufende Verfahren wieder ein paar Monate blockiert und diesem ein weiteres hinzugefügt. Der Aktivist sieht die DPC nun endgültig verpflichtet, "Facebooks EU-US-Datentransfers zu stoppen, wahrscheinlich noch vor dem Sommer".
Juristische Verwicklungen auf drei Nebenschauplätzen
Anstatt die EuGH-Urteile zügig umzusetzen, produzierte die DPC laut Schrems Organisation noyb mittlerweile drei Nebenschauplätze. Das ursprüngliche Beschwerdeverfahren habe die Behörde auf unbestimmte Zeit "pausiert". Damit wäre Schrems letztlich aus seinem eigenen Fall ausgeschlossen worden, sodass er ebenfalls eine Überprüfung der neuen Untersuchung der Kommission beantragt habe. Kurz vor der Verhandlung vor dem High Court habe die DPC auch außergerichtlich eingelenkt und einen Vergleich geschlossen (PDF-Datei). Dieser verpflichte die Behörde, das Beschwerdeverfahren zügig nach dem Urteil des irischen Gerichts durchzuführen.
Im Herbst 2020 hatte die DPC drei Wochen für die Anhörung der Parteien und weitere drei für die endgültige Entscheidung vorgesehen. Ähnliche Fristen sind in dem Vergleich mit Schrems vereinbart. Jede nationale Entscheidung der irischen Datenschutzbehörde müsste zudem voraussichtlich noch vom Europäischen Datenschutzausschuss (EDSA) genehmigt werden. Die dortige Einspruchsfrist beträgt vier Wochen. Facebook müsste im Anschluss "die meisten Daten aus Europa lokal speichern", schätzt der Beschwerdeführer. Nur so könnte das Unternehmen einen Zugriff durch US-Sicherheitsbehörden verhindern. Die andere Option wäre, "dass die USA ihre Überwachungsgesetze ändern".
Facebook: "Schädlich für Nutzer und andere Unternehmen"
Die DPC begrüßte die Gerichtsentscheidung, äußerte sich aber nicht zum weiteren Vorgehen. Facebook erklärte, dass die geplante Anordnung nicht nur für den Konzern, "sondern auch für Nutzer und andere Unternehmen schädlich sein könnte". Die größere Frage, wie Daten um die Welt bewegt würden, bleibe von erheblicher Bedeutung für tausende europäische und US-amerikanische Firmen. Man habe sich an die europäischen Regeln gehalten, auf die Standardvertragsklauseln verlassen und zusätzliche angemessene Schutzmaßnahmen ergriffen.
(tiw)
