Im Streit mit der irischen Datenschutzbehörde hat der amerikanische Internetkonzern Facebook einen Etappensieg errungen. Der irische High Court hat am Montagabend die Untersuchungen der Datenschutzkommission wegen möglicher Verstöße beim Transfer von Daten in die Vereinigten Staaten vorerst gestoppt. Damit verbindet sich noch keine inhaltliche Einschätzung der Vorwürfe. Offensichtlich haben die irischen Richter aber Bedenken gegen das Vorgehen der Aufsichtsbehörden. Eine Facebook-Sprecherin begrüßte die Entscheidung des irischen Gerichts. „Internationale Datenübermittlungen sind die Grundlage der globalen Wirtschaft und unterstützen viele der Dienstleistungen, die für unser tägliches Leben von grundlegender Bedeutung sind“, sagte sie.
Das ist eine neue Wendung in einem Verfahren, das weitreichende Folgen auch für etliche andere Unternehmen haben könnte, die Unternehmensdaten oder Informationen ihrer Kunden über IT-Anbieter in den Vereinigten Staaten verarbeiten. Das soziale Netzwerk Facebook ist dabei nur ein besonders prominentes Beispiel, doch letztlich betrifft es selbst Unternehmen, die amerikanische E-Mail-Plattformen oder Cloud-Anbieter nutzen. In der vergangenen Woche hatte die irische Datenschutzbehörde mit der Nachricht für Überraschung gesorgt, dass sie nach langen Jahren der Untätigkeit ein Verfahren gegen den amerikanischen Konzern einleitet, in dem sie die genutzten Standardvertragsklauseln zur Datenabwicklung in Frage stellte.
Ein Paukenschlag vom EuGH
Das für Irland untypische Einschreiten hat eine bewegte Vorgeschichte: Anlass war ein aufsehenerregendes Urteil des Europäischen Gerichtshofs, das im Juli weit über Facebook hinaus für Wirbel sorgte. Darin erklärten die Europarichter das europäische Datenschutzabkommen mit den Vereinigten Staaten („Privacy Shield“) für europarechtswidrig, weil es EU-Bürgern keinen ausreichenden Schutz gegen Datenschutzverstöße etwa von Geheimdiensten in den Vereinigten Staaten gewährt. Das betraf rund 5000 Unternehmen, die sich beim Datentransfer auf dieses Abkommen beriefen.
Viel weitreichender könnten indes die Auswirkungen der Richterschelte im Bezug auf die EU-Standardvertragsklauseln sein. Die Kritik der Europarichter erstreckte sich nämlich auch auf diese Musterklauseln, die die EU Unternehmen eigentlich zur Verfügung stellt, um Rechtssicherheit zu schaffen. Die Richter erklärten diese zwar nicht für unwirksam, doch die Unsicherheit über die rechtlichen Folgen ist seitdem groß. Unternehmen, die diese Klauseln nutzen, leben derzeit mit dem Risiko, dass Aufsichtsbehörden im Einzelfall gegen diese Klauseln einschreiten. Dies ist bei Facebook nun geschehen.
Dabei sorgte auch der Zeitpunkt für Verwunderung. Derzeit ist eine Arbeitsgruppe des Europäischen Datenschutzausschusses damit beschäftigt, die Auswirkungen auf die Praxis zu beurteilen. Die EU-Kommission und der amerikanische Handelsminister führen Gespräche, wie der transatlantische Datenverkehr künftig geregelt werden kann. Eine Lösung allerdings ist nicht in Sicht, denn das Problem liegt in dem sehr unterschiedlichen Niveau des Datenschutzes: Während amerikanische Geheimdienste und Strafverfolgungsbehörden weitreichende Befugnisse haben, gelten in Europa seit mehr als zwei Jahren die strengen Regeln der europäischen Datenschutz-Grundverordnung.
Die Rechtslage gilt also als weitgehend ungeklärt, deshalb wird das Einschreiten der bis dato zögerlichen irischen Behörde sowohl bei Datenschützern als auch auf Unternehmensseite mit Argwohn betrachtet. „Es fehlt das Vertrauen in die irischen Datenschutzbehörden“, sagt etwa der Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink. Bei den wenigen Untersuchungen in der Vergangenheit seien solche Nachrichten lediglich der Auftakt zu extrem langwierigen Verfahren gewesen. Seiner Ansicht nach werden viele Datenübertragungen auf Dauer mit dem Makel der Illegalität behaftet sein. Es bleibe nur, den Schaden zu minimieren.
Pragmatische Lösungen
Dazu seien große amerikanische Unternehmen auch bereit, berichtet der Datenschützer. Sie willigen ein, die Standardvertragsklauseln durch Haftungszusagen zu ergänzen. Darin erklären die Unternehmen, EU-Bürgern mögliche Schäden zu ersetzen, die ihnen durch amerikanische Datenschutzverstöße entstehen. In anderen Fällen allerdings werden Datenschützer jedoch darauf dringen, dass deutsche Unternehmen zu datenschutzkonformen europäischen Anbieter wechseln, warnte Brink. Inzwischen gibt es zum Beispiel mehrere Cloud-Anbieter, auf die amerikanische Behörden keinen Zugriff haben und die zusichern, dass die Informationen nur in Deutschland gespeichert werden.
