Die irische Datenschutzbehörde DPC (Data Protection Commission) hat Facebook eine Abmahnung zugestellt.  Das US-Unternehmen, dessen Europazentrale in Dublin sitzt, soll in Zukunft keine Daten mehr aus Europa nach Amerika übertragen. Dies soll auch dann nicht gestattet sein, wenn sich das Unternehmen auf Standardvertragsklauseln der EU beruft.

Anfang August hatte die DPC den US-Konzern im Hinblick auf seinen Datentransfer überprüft, weil die Behörde durch anonyme Facebook-Insider von Datenübertragungen bei Facebook Wind bekam, die nicht mit dem EU-Datenschutzrecht konform waren. Facebook hat anscheinend nach wie vor Daten von europäischen Usern in die USA transferiert, obwohl die von der Kommission im Schnellverfahren ausgehandelte Richtlinie „US-EU Privacy Shield“ schon im Juli 2020 vom EuGH gekippt wurde.

Doch berief sich Facebook beim Umgang mit den Daten von EU-Bürgern nicht auf die Richtlinie des Privacy Shield, sondern auf die EU-Standardvertragsklauseln. Sie, so argumentiert Facebook, erlauben die Speicherung und Verarbeitung von EU-Daten ausserhaölb der Union.

Jedoch sind diese Standardvertragsklauseln nicht auf die USA anwendbar, weil das dortige Datenschutzrecht nicht das Niveau der europaweiten Datenschutzgrundverordnung (DSGVO) erreiche. So jedenfalls argumentiert die DPC.

Im Jahr 2000 hatte das EU-Parlament „Safe Harbor“ verabschiedet, ein Regelwerk, das den Datenaustausch mit den USA erlaubte und davon ausging, dass US-Gatenschutzgesetze dem EU-Standard genbügen würden. 2015 kippte der EuGH nach der Klage eines Datenschützers dieses Regelwerk, das der USA ein relativ gutes Datenschutz-Zeugnis ausstellte. Daraufhin arbeitete die EU-Kommission in Zusammenarbeit mit der US-Regierung erneut eine Konzeption aus, das Privacy Shield. Auch diese Vereinbarung hat das höchste europäische Gericht jetzt verworfen. 

Jetzt kann sich Facebook nicht mal mehr auf die Standardvertragsklauseln berufen, die bislang immer als Ausweg galten, wenn EU-Daten ausserhalb der EU gespeichert werden sollen. Wie es jetzt konkret weitergehen soll, ist indes unklar. Facebook sieht bisher noch keine Veranlassung zu handeln und nutzt weiterhin die Standardvertragsklauseln, weil die Zuckerberg-Company auf der Gültigkeit dieser beharrt. Anweisungen von politischer Seite sollen im Oktober vorliegen. Das finale Urteil der DSC könnte einen Präzedenzfall schaffen, wie grosse US-Konzerne künftig mit Daten von EU-Nutzern umgehen können. 

Facebook stellt sich auf den Standpunkt, dass das Unternehmen bereits grossen Wert auf die Datensicherheit der User lege und schon jetzt mit aufwendigen Tools arbeite, um personenbezogene Daten zu verschlüsseln. Ausserdem sei der Austausch von Daten über den Atlantik für die US-Wirtschaft wie für die europäische Wirtschaft von grosser Bedeutung. Viele europäische Unternehmen würden auf Produkte und Services von Facebook vertrauen. Somit würde eine Ablehnung des bisherigen Vorgehens grosse wie kleine Firmen in Europa hart treffen. Dies teilte das Unternehmen auf seinem eigenen Blog mit.