24. September 2020
Die Unwirksamkeit des „Privacy Shield“ bringt Facebook in Bedrängnis. Die irische Datenschutzbehörde verbietet den Datentransfer in die USA.
Am 16.07.2020 hatte der Europäische Gerichtshof ein Grundsatzurteil zur Datenübermittlung in die USA gefällt. Danach erklärte der EuGH die „Privacy Shield“-Vereinbarung zwischen der EU und den USA für unwirksam, auf deren Grundlage Datenübermittlungen in die USA durch Unternehmen auf der Basis europäischer Standardvertragsklauseln grundsätzlich zulässig waren.
Mit dieser Entscheidung hatte von jetzt auf gleich ein Großteil der Datenübertragungen in die USA seine Rechtsgrundlage verloren. Streng genommen, dürfen nun aus der EU keine personenbezogenen Daten mehr in die USA übermittelt werden. Das ist ein Problem für die Beauftragung all jener Dienstleister, die auf Server innerhalb der USA setzen.
In der Konsequenz hatte die irische Datenschutzbehörde DPC Facebook aufgefordert, eine Übertragung personenbezogener Daten aus der EU in die USA zu unterlassen. Facebook wies darauf hin, dass ohne eine Datenübertragung in die USA zurzeit nicht geklärt sei, wie dann die Dienste von Facebook und Instagram in der EU fortgesetzt werden könnten.
Wahrlich eine Zwickmühle: Auf der einen Seite steht der Schutz personenbezogener Daten gemäß der europäischen Datenschutz-Grundverordnung (DSGVO). Auf der anderen Seite stehen rd. 410 Millionen europäische Nutzer und vor allem zahlreiche Unternehmen, die mit Hilfe von Facebook-Anwendungen im Jahr 2019 einen Umsatz in Höhe von über 200 Mrd. Euro erzielt haben.
Es ist jedoch kaum zumutbar, von allen betroffenen Unternehmen von heute auf morgen einen Dienstleister- oder Serverwechsel zu verlangen. Zu groß und zu komplex sind die in Frage stehenden Datenmassen.
Wie ernst die Anmerkung von Facebook hinsichtlich der Einschränkung der Dienste in der EU gemeint war, lässt sich von außen nur schwer bewerten. Zur Klärung der Lage wird die EU-Kommission baldmöglichst erneut in die Verhandlungen mit den USA eintreten müssen.
Die Hürden, die es angesichts der Anforderungen des EuGH für ein EU-datenschutzkonformes Abkommen zu überwinden gilt, sind jedoch hoch.