Mögliches Verbot von Facebooks US-Datentransfers - kein Facebook mehr in Europa?

Zwar sind Übermittlungen von personenbezogenen Daten aus der EU an Empfänger in Drittstaaten, insbesondere in den USA, aus datenschutzrechtlicher Sicht höchst problematisch, finden gegenwärtig aber weiterhin in großem Umfang statt. Die irische Datenschutzbehörde hat vor kurzem allerdings einen drastischen Schritt angekündigt und erklärt, Datenübermittlungen von Facebook in die USA künftig blockieren zu wollen. Doch wie realistisch ist ein Stopp von Facebook und Instagram im europäischen Raum und was bedeutet dies insbesondere für Inhaber kommerzieller Social Media Accounts in der EU? Ein Lagebericht.

I. Wieso sind Datentransfers in die USA gegenwärtig so schwierig?

Ein behördliches Verbot der Übermittlung von personenbezogenen Daten durch Facebook aus der EU in die USA wäre sicherlich eine harte Maßnahme. Doch sie wäre nachvollziehbar und letztlich auch wenig überraschend, wenn man einen kurzen Blick auf die Entwicklungen der letzten Jahre wirft.

Bereits im Jahre 2015 erklärte der Gerichtshof der Europäischen Union (EuGH) das Datenschutz-Abkommen „Safe-Harbor“ zwischen der EU und den USA für nichtig. Das Gericht bemängelte (schon) damals den unzureichenden Schutz personenbezogener Daten europäischer Nutzer vor dem Zugriff durch Behörden, insbesondere durch Nachrichtendienste in den USA.

Es folgte der Nachfolger von Safe Harbor, das sog. „Privacy Shield“, das der EuGH aufgrund der US-Gesetze, die den dortigen Sicherheitsbehörden u.a. die Überwachung „ausländischer Kommunikation“ ermöglichen, im Sommer 2020 ebenso für ungültig erklärte.

Zwar dürfen Organisationen und Unternehmen bzw. Dienste, wie z.B. Facebook, auf der Grundlage von sog. EU-Standardvertragsklauseln, die sie mit Auftragsverarbeitern in Drittländern wie den USA vereinbaren, grundsätzlich personenbezogene Daten aus der EU in die entsprechenden Drittländer übermitteln. Allerdings gilt dies nach der EU Datenschutz-Grundverordnung (DSGVO) nur dann, wenn in dem Drittland dadurch und auch sonst insgesamt ein "angemessenes Schutzniveau" der Daten gewährleistet ist. Ob dies der Fall ist, kann von der EU-Kommission per Beschluss festgestellt werden. Ohne einen solchen Beschluss muss der jeweilige EU-Datenexporteur allerdings selbst "geeignete Garantien" für den Schutz der Daten in dem Drittland vorsehen. Solche Garantien sind nach Ansicht des EuGH vor allem dann gewährleistet, wenn die betroffenen Personen in dem Drittland über durchsetzbare Datenschutzrechte und wirksame Rechtsbehelfe verfügen, die ihnen etwa vor Gerichten zum Schutz ihrer Daten zustehen.

Nach einer Untersuchung im letzten Jahr ist die irische Datenschutzbehörde (Data Protection Commission; DPC) zu dem Ergebnis gelangt, dass die von Meta - dem US-Mutterkonzern von Facebook - getroffenen Mechanismen und Vorkehrungen zum Schutz der in die USA übermittelten Daten nicht ausreichen.

II. Was passiert jetzt auf europäischer Ebene?

Nachdem die irische Datenschutzbehörde den Europäischen Datenschutzausschuss (EDSA) über die eigene Absicht informiert hat, Datentransfers von Facebook in die USA zu verbieten, und – wie es das weitere Verfahren nach der DSGVO in solchen Fällen vorsieht – einen Entwurf für einen solchen Beschluss vorgelegt hat, folgt jetzt ein formelles Verfahren nach Artikel 60 DSGVO:

Nun haben die Datenschutzbehörden aus den anderen EU-Mitgliedstaaten Zeit, sich zu der Beschlussvorlage zu äußern und ggf. Einspruch zu erheben. Im Ergebnis werden die Datenschutzbehörden untereinander abstimmen, was aus ihrer Sicht das richtige weitere Vorgehen ist.

III. Wann kann man mit einer Entscheidung der europäischen Datenschutzaufsicht rechnen?

Da einige wichtige Fragen im Beschlussentwurf nicht enthalten bzw. insgesamt noch offen sind, ist damit zu rechnen, dass einige Datenschutzbehörden Einspruch gegen die Beschlussvorlage erheben werden.

Außerdem ist in jedem Fall zu erwarten, dass Meta das irische Rechtssystem nutzen wird, um ein ggf. ausgesprochenes Verbot von Datentransfers in die USA zu verhindern oder möglichst lange hinauszuzögern. Es könnte somit noch einige Zeit dauern, bis eine endgültige Entscheidung vorliegt.

IV. Werden Facebook und Instagram in Europa eingestellt?

Man könnte zum jetzigen Zeitpunkt meinen, der Blick von Facebook und Instagram in die Zukunft sei düster. Falls es dem Mutterkonzern Meta nicht gelingt, die Datenübermittlungen in die USA aufrechtzuerhalten, droht Meta damit, bestimmte Produkte und Dienste, wie Facebook und Instagram, in Europa nicht mehr anzubieten, also einzustellen. Unternehmen, die diese Dienste zum eigenen Marketing nutzen, müssten sich und ihre Werbeaktivitäten dementsprechend gehörig umstellen.

Allerdings erscheint ein baldiges Ende dieser Dienste nicht allzu wahrscheinlich. Zum einen liegt das daran, dass Facebook die Verarbeitung der Nutzerdaten grundsätzlich auch ausschließlich in europäischen Rechenzentren vornehmen könnte, wodurch transatlantische Datentransfers überflüssig würden. Zum anderen arbeiten die EU-Kommission und die US-Regierung bereits intensiv an einem neuen transatlantischen Datenschutzrahmen als Nachfolger des Privacy Shield. Die EU-Kommission geht jedenfalls davon aus, dass

"auf der Grundlage des neuen Rahmens […] Daten frei und sicher zwischen der EU und den beteiligten US-Unternehmen fließen können."

Solange US-Nachrichtendienste allerdings weiterhin umfangreiche gesetzliche Befugnisse haben, in den USA auf personenbezogene Daten von EU-Bürgern zuzugreifen, kann es - jedenfalls aus Sicht der Datenschützer - keinen sicheren Datenschutzrahmen geben, der den kritischen Blicken des EuGH standhalten kann.

V. Was bedeutet dies alles für Online-Händler und Influencer?

Mit höherer Wahrscheinlichkeit kann gegenwärtig davon ausgegangen werden, dass Facebook und Instagram, und auch andere Dienste, die Daten in die USA übermitteln, auch in nächster Zeit verfügbar sein werden und - mit datenschutzrechtlichen Risiken - im Online-Handel etwa für Werbung genutzt werden können.

Online-Händler, die solche Plattformen etwa für eigene kommerzielle Zwecke nutzen, müssen sich allerdings auf weitere Anpassungen im Datenschutz gefasst machen. Zu Veränderungen dürfte es insbesondere jedenfalls dann kommen, sobald ein neuer transatlantischer Datenschutzrahmen verabschiedet wird.

Für eine möglichst datenschutzkonforme Nutzung kommerziell genutzter Social Media Accounts stellt die IT-Recht Kanzlei ihren Mandanten stetig angepasste Datenschutzerklärungen u.a. für Facebook und Instagram zur Verfügung. Zudem informieren wir unsere Mandanten im Rahmen unseres Update-Services über die aktuellen Entwicklungen auch in diesem Bereich.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.