Nach mehrjährigem Rechtsstreit gegen den Transfer von europäischen Daten in die USA hat der oberste Gerichtshof Irlands in der letzten Woche nun erneut ein Urteil gefällt und dies nicht zugunsten von Facebook. Dem Unternehmen droht nun ein Verbot des Datentransfers in die Vereinigten Staaten.
Der Inhalt im Überblick
Es war einmal das EU-US Privacy Shield…
Mit einem Paukenschlag entschied der Europäische Gerichtshof im letzten Jahr, dass das lang umstrittene europäische Datenschutzabkommen mit den USA, sog. EU-US Privacy Shield, europarechtswidrig sei. Die umfassenden Zugriffsmöglichkeiten der amerikanischen Behörden auf Daten europäischer Bürger stünden den gesetzlichen Anforderungen der Datenverarbeitung nach der DSGVO entgegen, so die Urteilsgründe. Grundsätzlich zulässig blieb nach Ansicht des Gerichts jedoch die Übermittlung von Daten in die USA für Unternehmen auf Basis sogenannter Standardvertragsklauseln. Vorausgesetzt die Unternehmen unterfallen nicht den Massenüberwachungsgesetzen wie FISA 702 oder es werden zusätzliche Sicherungsmaßnahmen, wie bspw. die Verschlüsselung von Daten, gewährleistet.
Die erste Runde ging an Facebook
Die irische Datenschutzbehörde (Data Protection Commission „DPC“), der aufgrund des europäischen Hauptsitzes des Unternehmens in Irland die Aufsicht obliegt, reagierte auf das Urteil des EuGH mit einer Untersuchung und vorläufigen Anordnung zum Stopp der Übermittlung personenbezogener Daten auf Basis von Standardvertragsklauseln. Gegen diese Anordnung konnte sich Facebook zunächst erfolgreich zur Wehr setzen.
Mit Entscheidung vom 14. September 2020 erteilte das irische oberste Gericht dem US-Unternehmen die Erlaubnis, eine gerichtliche Überprüfung gegen die DPC einzureichen. Die Anordnung der Überprüfung erfolgte am darauffolgenden Tag. Die Untersuchungen des DPC über EU-US Datenflüsse wurden damit vorerst ausgesetzt.
Das Unternehmen warf der DPC vor, das Verfahren nicht ordnungsgemäß geführt zu haben, insbesondere hätte die Aufsichtsbehörde Facebook keine angemessene Frist zur Reaktion auf das Urteil des Europäischen Gerichtshofs eingeräumt. Darüber hinaus sei es nicht fair gewesen, dass ausschließlich Facebook und nicht auch andere IT-Unternehmen, die personenbezogene Daten in die USA übermitteln, ins Visier genommen würden.
Entscheidung des obersten Gerichts Irland
Das oberste Gericht Irlands hat der irischen Datenschutzbehörde nun den Rücken gestärkt und erklärt in seinem Urteil, dass die Untersuchungen des DPC zulässig gewesen seien und diese nunmehr fortgesetzt werden können. In dem Urteil, dessen Ausführungen fast 200 Seiten umfassen, führt der zuständige Richter David Barniville unter anderem aus:
„Ich weise alle von Facebook Ireland im Laufe des Verfahrens erhobenen Ansprüche zurück.“
Einen sofortigen Stopp des Datentransfers löst die Entscheidung des Gerichts jedoch nicht aus. Dies stößt auf Kritik der Datenschutzaktivisten. Der österreichische Datenschutzaktivist Maximilian Schrems, der die irische Datenschutzbehörde bereits in einer Vielzahl von Klagen zum Handeln gezwungen hat, führt hierzu aus:
„Nach acht Jahren ist die DPC nun verpflichtet, Facebooks
EU-US-Datentransfer zu stoppen, wahrscheinlich noch vor dem Sommer.“
Facebook hingegen teilt mit, dass die Entscheidung weitreichende Konsequenzen für das eigene Geschäftsmodell sowie Nutzer und andere Unternehmen haben könnte.
Datentransfer in die Vereinigten Staaten weiterhin mit hohem datenschutzrechtlichem Risiko verbunden
Die rechtliche Grundlage des Datentransfers in die Vereinigten Staaten ist weiterhin unklar. Der Einsatz von US-Dienstleistern bleibt datenschutzrechtlich bedenklich, da das Risiko der Übermittlung von personenbezogenen Daten in der Regel nicht ausgeschlossen werden kann. Es bleibt abzuwarten, welche Folgen die Entscheidung des irischen Gerichts nach sich ziehen wird.
