Die irische Datenschutzaufsicht hat angekündigt, eine Klage gegen Facebook beim EuGH wegen der Verletzung von Datenschutzvorschriften wegen der Verwendung von EU-Standardverträge einzureichen.
Datenschutzrechtlicher Hintergrund
Die Weitergabe von personenbezogenen Daten an Länder außerhalb der EU ist nur zulässig, sofern in diesen Ländern ein mit dem europäischen Datenschutzschutzsystem vergleichbares, also ein angemessenes Datenschutzniveau gewährleistet ist.
Safe Harbor-Abkommen und sein Ende 2015
Um einen Datentransfer von der EU in die USA trotz erheblicher Systermunterschiede zu ermöglichen, wurde 2000 das sog. Safe-Harbor-Abkommen zwischen den USA und der EU-Kommission geschlossen. Danach konnten sich Unternehmen aus den USA den Safe-Harbor-Vereinbarungen unterwerfen und sich öffentlich verpflichten, die darin aufgestellten Prinzipien einzuhalten. Hierzu mussten sie sich in eine Liste des US-Handelsministeriums eintragen. Verstiße ein in dieser Liste eingetragenes US-Unternehmen gegen Safe-Harbor-Regeln, hätte das Handelsministerium z.B. die Datenverarbeitung durch dieses Unternehmen stoppen oder andere Sanktionen verhängen können.
EuGH kippte Safe Harbor 2015
Der EuGH hat 2015 (EuGH, Urteil vom 6. Oktober 2015 - Safe Harbor) bekanntlich das "Safe Harbor-Abkommen" für unwirksam erklärt, da die Daten in den USA nicht ausreichend vor dem Zugriff durch Geheimdienste geschützt sind.
EU-Standardverträge Alternative nach Safe Harbor
Seit dem Kipppen von Safe Harbor führt Facebook - ebenso wie Google, Apple, Microsoft und andere US-Unternehmen - den Datenaustausch auf der rechtlichen Grundlage von EU-Standardverträgen (Model Contracts) durch (Standardvertrag Facebook Ireland - Facebook USA).
Die Umstellung von Safe-Harbor auf EU-Standardverträge ändert jedoch nichts an der Tatsache, dass der US Geheimdienst auf bei US-Unternehmen gespreicherte Daten in erheblichem Umfang zugreifen kann und auch tatsächlich zugreift. Solange die US-Gesetze es erlauben, dass die USA auf bei US-Unternehmen gespeicherte Daten zugreifen, wird der Datentransfer von der EU in die USA stets mit EU-Grundrechten kollidieren.
EU-Standardverträge dürften ebenfalls vom EuGH gekippt werden
Daher ist zu befürchten, dass der EuGH aus diesen Gründen - ebenso wie das Safe Harbor-System - auch das EU-Standardvertrags-System für nicht ausreichend hält.
Datenschutzexperten weisen bereits seit langem darauf hin, dass die EU-Standardverträge rechtlich fraglich sind. Maßgeblich seien nicht Klauseln auf dem Papier, sondern das in den USA tatsächlich gewährte Datenschutzniveau. So haben deutsche Datenschutzbehörden bereits 2013 in einer gemeinsamen Presseerklärung erklärt, dass ihnen die EU-Standardvertragsklauseln nicht (mehr) ausreichen, solange nicht die genauen Zugriffsmöglichkeiten der amerikanischen Geheimdienste geklärt sind.
