Facebook muss Datentransfers in die USA (vorerst) einstellen

Die für Facebook zuständige irische Datenschutzbehörde hat dem Facebook-Konzern untersagt, weiter Datentransfers in die USA auf Grundlage sogenannter Standard-Vertragsklauseln vorzunehmen. Facebook hatte sich auf diese Rechtsgrundlage berufen, nachdem der Europäische Gerichtshof im Juli 2020 das „Privacy Shield“ Abkommen zwischen der EU und den USA als nicht ausreichend eingestuft hatte. Der Gerichtshof hatte dabei aber auch erklärt, dass Standardvertragsklauseln generell eine alternative Möglichkeit seien, Datentransfers in Nicht-EU-Länder zu rechtfertigen.

Facebook hatte sich in Folge darauf berufen, schon immer auch Standardvertragsklauseln zur Grundlage von Datentransfers gemacht zu haben. Dieser Argumentation hat die irische Behörde jetzt aber — nur folgerichtig nach dem Urteil — auch deshalb eine Absage erteilt, weil bei korrekter Lesart des Urteils solche Klauseln im Fall von Datentransfers in die USA gerade nicht funktionieren. Da schon das Privacy Shield Abkommen mit dem Argument gekippt worden war, dass Vertragspartner in den USA eigentlich generell kein europäisches Datenschutzniveau anbieten können, weil die Rechtsnormen in den USA das nicht zulassen, konnte für die Beurteilung von Standardvertragsklauseln nichts anderes gelten. Denn mit dem Abschluß einer Standardvertragsklausel ändert sich ja für das beteiligte US-Unternehmen nicht die Rechtslage im eigenen Land.

Facebook führt seine europäischen Geschäfte offiziell von Europa (Irland) aus, transferiert Daten von Nutzern aber beständig auch in die USA, um sie dort auswerten und vermarkten zu können. Über die genauen Datenströme gibt Facebook nur sehr ungenaue Auskünfte, ebenso über die Vermengung von Daten der Facebook-Plattform mit dem Messengerdienst „Whatsapp“.