Facebook-Datenschutz-Urteil

Facebook droht mit Rückzug wegen EuGH Datenschutz Urteil

Das Aus für 400 Millionen Facebook-Nutzer in Europa?

Vor einer Woche kündigte Facebook an, sich aus Europa zurückzuziehen, falls die EU an ihren Plänen zum Datenschutz festhält. Nachdem der EuGH im Juli das EU-US-Datenschutzabkommen für ungültig erklärt hat, ist ein Datenaustausch mit Servern in den USA an sich nicht mehr legal möglich. Auf Ersuchen des Gerichts in Luxemburg haben die irischen Datenschützer mittlerweile die Ermittlungen aufgenommen. Diese Entscheidung setzt Unternehmen wie Facebook natürlich unter erheblichen Druck. “Es sei unklar, wie Facebook und Instagram ihr Angebot in Europa aufrechterhalten könnten”, ließ die Konzernanwältin gegenüber einem Gericht in Irland verlauten.

Die aktuellen Zwistigkeiten sind ein Resultat der andauernden Debatte um die Datensicherheit. Das ursprünglich vereinbarte Safe Harbor-Abkommen regulierte den Datenaustausch zwischen Europa und den USA ab dem Jahr 2000. Nach dem Ablauf der Verträge wurde es 2015 durch die Privacy Shield Regeln abgelöst. Durch die im Jahr 2016 beschlossene Europäische Datenschutzgrundverordnung (GDPR) wurden jedoch beide Verträge hinfällig. Der EuGH hat mit seinem Urteil jetzt ganz klar festgestellt, dass Privacy Shield nicht mit den Datenschutzrichtlinien der EU kompatibel ist. Angestoßen wurde der Prozess der Facebook Ireland Ltd. durch den österreichischen Jurist Max Schrems. Als Gründer der NOYB – European Center for Digital Rights war es seine Beschwerde, die den EuGH zu einer Entscheidung veranlasste.

Reaktion auf EuGH Entscheidung

Anfang September hatte die Datenschutzregulierungsbehörde der Europäischen Union ihre vorläufige Anordnung an Facebook versendet, die dazu aufforderte, den Datentransfer über EU-Bürger in die USA auszusetzen. Dies würde Facebook faktisch dazu zwingen, EU-Benutzerdaten in Europa zu speichern und zu verarbeiten und neue Beschränkungen für den Datenaustausch zwischen den Nationen einzuführen. Da Facebook auf dem europäischen Kontinent über keine Infrastruktur verfügt, die das realisieren könnte, dürfte die Umstellung also teuer für den Konzern werden. Über kurz oder lang müsste Facebook in jedem Fall eigene Datenzentren in der EU eröffnen. Es ist schwer vorstellbar, dass ein anderes Unternehmen den Datenhunger und die Kapazitäten in Europa bereitstellen könnte, den das größte soziale Netzwerk der Welt benötigt.

Datenaustausch unter Standardvertragsklauseln

Noch vor wenigen Monaten hatte Mark Zuckerberg verlauten lassen, er sei “froh, dass sein Unternehmen von offiziellen Stellen reguliert würde, man könnte das schließlich nicht selber machen”. Im aktuellen Streit scheint Facebook aber keinesfalls klein beigeben zu wollen. In der Kommunikation mit den irischen Datenschutzbehörden hatte Facebook seinerseits versucht zu argumentieren, dass man den Datenaustausch mit den USA auch einfach über EU-Standardvertragsklauseln regeln könnte.

Doch diese Sicht ließen die Richter nicht gelten. Dabei zweifelte das Gericht nicht die Wirksamkeit der Standardvertragsklauseln grundsätzlich an, jedoch müsste ein Datenschutz auf EU-Niveau nicht nur versprochen, sondern auch realistisch umsetzbar sein. Solange klar ist, dass offizielle Stellen an verschiedenen Kommunikationspunkten in den USA Daten abgreifen und auswerten könnten, sei ein Austausch unmöglich und würde immer gegen geltendes Recht verstoßen. Das Privacy Shield Abkommen wurde damit nachträglich für unwirksam erklärt. Nur kurz später wurden auch entsprechende technische Datensperren besprochen, die vermutlich kurz vor einer Umsetzung stehen.

Unter welchen Voraussetzungen ist der Datenaustausch zulässig?

Grundsätzlich ist es möglich Daten unter Anwendung der EU-Standardvertragsklauseln auch mit Ländern außerhalb der EU zu tauschen. Um persönliche Informationen von EU-Bürgern zu exportieren, muss eine von zwei Bedingungen erfüllt sein. Entweder muss die Europäische Kommission feststellen, dass im Zielland eine angemessene Sicherheit der Datenverarbeitung garantiert ist oder das Unternehmen kann selbst garantieren, dass bestimmte Regeln zum Datenschutz umgesetzt werden. Für die Kombination Facebook in den USA sah das Gericht zum aktuellen Zeitpunkt keine der beiden Möglichkeiten als gegeben. Da Facebook gemäß der amerikanischen Gesetzgebung jederzeit gezwungen sein kann, Daten von Nutzern an die Behörden weiterzugeben, ist die Sicherheit der EU-Bürger nicht sichergestellt.

Reaktionen in den sozialen Medien

Auf Twitter reagierten die User hauptsächlich mit Humor. Die Reaktionen reichten von: “Wird auch langsam Zeit” bis zu “Auf Nimmerwiedersehen”. Manche Nutzer gaben aber auch zu bedenken, dass Facebook sich vorerst gar nicht aus Europa zurückziehen kann. Alleine die vertraglichen Pflichten, die das Unternehmen für Produkte wie Oculus Rift eingegangen ist, binden Facebook noch für mehrere Jahre an die EU. Auch sollte nicht vergessen werden, dass Europa auch ohne Datenaustausch in die USA immer noch ein äußerst lukrativer Markt ist. Aus wirtschaftlicher Sicht wäre Facebook also gut beraten mitzuspielen.

Facebooks Zukunft in Europa

Nimmt man alle diese Punkte zusammen, scheint es doch äußerst unwahrscheinlich, dass Facebook sich aus Europa zurückziehen würde. Die Aussagen des Unternehmens scheinen also eher leere Drohungen zu sein. Wie auch immer Facebook sich der Lage anpasst, es gibt wenig Anhaltspunkte dafür, dass das soziale Netzwerk sich den Reformen der EU langfristig widersetzen kann.

So wie es aussieht, wird der Plan des europäischen Parlaments also aufgehen. Das Ergebnis wäre ein besserer Datenschutz in Europa, der vor allem auch den hier vorherrschenden Gesetzen unterworfen ist. Dass die USA keinen Respekt vor den Daten der Europäer haben, wissen wir bereits aus der NSA-Affäre um den Whistleblower Edward Snowden.

Für wen gilt das Urteil?

Die Umsetzung des EU-Datenschutzniveaus ist natürlich nicht auf Facebook beschränkt. Auch alle anderen Unternehmen, die mit Servern in den USA arbeiten sind ebenso betroffen. Die einzige Ausnahme besteht, wenn man mit Menschen in den USA kommuniziert oder Geschäfte in den USA tätigt. In beiden Fällen liegt es im Ermessensbereich des Bürgers, welche Daten preisgegeben werden. Bei Interaktionen mit USA Bürgern oder Unternehmen lässt es sich kaum vermeiden, dass Daten auch über die Accounts der Kommunikationspartner verarbeitet werden. Eine Verarbeitung im Land des Verkäufers oder Empfängers liegt daher in der Natur der Sache. Wer jedoch anderweitig Daten in die USA überträgt, insbesondere ohne explizite Einwilligung der Nutzer, sollte dies schnellstens ändern.

Qualifizierter Datenschutz

Falls Sie jetzt Fragen zum Datenschutz auf Ihrer Webseite haben oder Sie selbst mit Geschäftspartnern in den USA kommunizieren, beraten wir Sie jederzeit gerne über die möglichen Lösungen.