Drücken Sie Play, um diesen Artikel anzuhören
Europas oberstes Gericht sagt, Washington spiele schnell und locker mit europäischen Daten. Facebook widerspricht.
Obwohl das höchste Gericht der Europäischen Union zweimal erklärt hat, dass die Vereinigten Staaten von Amerika keinen ausreichenden Schutz für die Daten der Europäer von den amerikanischen nationalen Sicherheitsbehörden bieten, widersprechen die Anwälte des Social-Media-Riesen laut internen Dokumenten, die POLITICO eingesehen haben, weiterhin.
Ihre Schlussfolgerung, dass die USA für EU-Daten sicher sind, ist Teil der rechtlichen Argumentation von Facebook, um weiterhin Daten über den Atlantik versenden zu können.
„Zusammenfassend lässt sich aus der Gleichwertigkeitsbewertung schließen, dass die einschlägige US-Gesetzgebung und -Praxis einen Schutz personenbezogener Daten vorsieht, der im Wesentlichen dem von EU-Recht geforderten Schutzniveau entspricht“, heißt es in einem der internen Dokumente von Facebook vom Jahr 2021. Gleichwertigkeit Bewertungen werden von Unternehmen vorgenommen, um den Datenschutz in Nicht-EU-Ländern im Vergleich zu Europa zu beurteilen.
Im Juli 2020 hat der Gerichtshof der Europäischen Union (EuGH) ein Instrument zur Datenübertragung zwischen den USA und der EU namens Privacy Shield aufgehoben. Das Gericht kam zu dem Schluss, dass Washington keinen angemessenen Schutz für ins Ausland gelieferte EU-Daten bietet, weil das US-Überwachungsgesetz für europäische Standards zu aufdringlich war.
In demselben wegweisenden Urteil bestätigte das in Luxemburg ansässige Gericht die Rechtmäßigkeit eines anderen Instruments, das zum Export von Daten aus Europa verwendet wird, der sogenannten Standardvertragsklauseln (SCCs). Es lässt jedoch Zweifel aufkommen, ob diese komplexen Rechtsinstrumente verwendet werden könnten, um Daten in Länder zu transportieren, in denen EU-Standards nicht eingehalten werden können, einschließlich der USA
Zu einem ähnlichen Ergebnis kam der EuGH im Jahr 2015, als er die Vorgängervereinbarung zum Privacy Shield aufgrund der US-Überwachungsgesetze und -praktiken aufhob. In beiden Urteilen erklärten Europas höchste Richter kategorisch, Washington habe keine ausreichend hohen Datenschutzstandards.
Dennoch ist Facebook – das Unternehmen im Mittelpunkt beider Fälle – der Meinung, dass es den Argumenten des Gerichts nicht folgen sollte.
Die Anwälte des Unternehmens argumentieren in den Dokumenten, dass das Urteil des EU-Gerichts für die eigene Bewertung von Datenübertragungen in die USA durch das Social-Media-Unternehmen „nicht herangezogen werden sollte“, da sich die Feststellungen der Richter auf den Privacy Shield-Datenpakt und nicht auf den Standardvertrag beziehen Klauseln, die Facebook verwendet, um Daten in die USA zu übertragen
„Die Bewertung des US-Rechts (und der US-amerikanischen Praxis) gemäß Artikel 45 DSGVO unterscheidet sich wesentlich von der Bewertung von Recht und Praxis gemäß Artikel 46 DSGVO“, heißt es in dem Dokument. Dies bezieht sich auf die zwei verschiedenen Arten von Rechtsinstrumenten für die Datenübertragung gemäß der Datenschutz-Grundverordnung der EU und weist darauf hin, dass sich die Bewertung nach SCC von der Bewertung nach dem Privacy Shield unterscheidet.
Das Unternehmen sagt auch, dass Änderungen der US-Gesetze und -Praktiken seit dem Urteil vom Juli 2020 berücksichtigt werden sollten. Als Beispiel nennt sie die US-Aufsichtsbehörde Federal Trade Commission, die “ihre Rolle als Datenschutzbehörde mit beispielloser Kraft und Nachdruck wahrnimmt”. Diese Argumente standen im Mittelpunkt Washingtons während der laufenden transatlantischen Verhandlungen über ein neues Datenabkommen zwischen der EU und den USA.
Unternehmen müssen zwar bei ihrer eigenen Beurteilung von Drittstaatenregelungen das Urteil des EU-Gerichts berücksichtigen, können aber theoretisch von den Feststellungen des Gerichts abweichen, wenn sie dies in einer bestimmten Situation für gerechtfertigt halten. Das bedeutet, dass Unternehmen wie Facebook theoretisch weiterhin Daten aus Europa versenden können, wenn sie nachweisen, dass sie ausreichend geschützt sind.
„Eine nach EU-Recht durchgeführte Transferfolgenabschätzung sollte [the court’s findings] Übertragungen in die USA berücksichtigen, aber es ist immer noch eine Bewertung, die jedes Unternehmen für seine spezifischen Übertragungen im Rahmen von SCCs vornimmt, für die es verantwortlich ist, wenn die Rechtmäßigkeit dieser Übertragung angefochten wird oder angefochten wird”, sagte Gabriela Zanfir-Fortuna von der Denkfabrik Zukunft des Datenschutzforums.
Auch so, Mehrere von POLITICO kontaktierte Rechtsexperten sagten, sie könnten nicht erkennen, wie Facebook angesichts des Gerichtsurteils zu dem Schluss kommen könnte, dass der US-Schutz im Wesentlichen dem der EU entspricht. Dies gelte insbesondere für Facebook, da die firmeneigenen Datentransfers im Zentrum des Falles standen.
Die Enthüllungen üben erneut Druck auf die irische Datenschutzkommission (DPC) aus, die 2013 erstmals eine Beschwerde gegen Facebooks Datenübermittlung vom österreichischen Aktivisten Max Schrems erhielt. Diese Beschwerde führte zu den sogenannten Schrems I- und Schrems II-Urteilen des EuGH, die zu dem Schluss kamen, dass der US-Schutz nicht den EU-Standards entspricht.
In einer vorläufigen Entscheidung im September 2020 schlug die irische Datenschutzbehörde vor, dass Facebook nach dem Urteil vom letzten Juli die Übertragung von Daten in die USA einstellen muss, muss die Entscheidung jedoch noch endgültig festsetzen, obwohl Facebook die Untersuchung der Agentur im Mai abgelehnt hat. Dublin hat jetzt die Macht, Facebook daran zu hindern, EU-Daten in die USA zu übertragen
Wenn die irische Aufsichtsbehörde diese Entscheidung durchsetzt, wäre dies ein schwerer Schlag für Facebooks Bemühungen, den Datenfluss während der laufenden Diskussionen zwischen der EU und den USA über einen neuen Datenübertragungspakt aufrechtzuerhalten.
Das irische DPC sagte, es könne sich nicht dazu äußern, da es eine offene Untersuchung zu dieser Angelegenheit habe.
Ein Facebook-Sprecher sagte: „Wie andere Unternehmen haben wir uns an die Regeln gehalten und uns auf internationale Übertragungsmechanismen verlassen, um Daten sicher und geschützt zu übertragen. Unternehmen brauchen klare, globale Regeln, gestützt auf eine starke Rechtsstaatlichkeit, um den transatlantischen Datenverkehr langfristig zu schützen.“
Das interne Dokument des Unternehmens weist auch auf das Abkommen der EU über den Datenfluss mit Großbritannien hin, das Brüssel im Juni genehmigt hat, um seine positive Einschätzung der USA zu untermauern
„Es ist klar, dass die britische Regelung, die die Kommission gemäß Artikel 45 DSGVO als angemessen erachtet hat, in einigen wichtigen Punkten einen ähnlichen Ansatz wie die USA in Bezug auf die Einschränkung der Datenschutzrechte im Zusammenhang mit der Überwachung von Kommunikation verfolgt. “ lautet das Dokument.
In einem separaten Dokument, in dem Faktoren aufgeführt sind, die für seine Datenübertragungen relevant sind, versucht Facebook, das Risiko eines Datenzugriffs durch US-Behörden herunterzuspielen.
Es stellt fest, dass die 234.998 Datenanfragen, die es im Jahr 2020 von US-Behörden erhalten hat, „einen winzigen Bruchteil“ der Gesamtzahl der Nutzer darstellen, die Facebook auf rund 3,30 Milliarden schätzt.
Mark Scott trug zur Berichterstattung bei.
Willst du mehr Analyse von POLITIK? POLITIK Pro ist unser Premium Intelligence Service für Profis. Von Finanzdienstleistungen bis hin zu Handel, Technologie, Cybersicherheit und mehr bietet Pro Echtzeit-Intelligenz, tiefe Einblicke und bahnbrechende Erkenntnisse, die Sie benötigen, um einen Schritt voraus zu sein. Email [email protected] um eine kostenlose Testversion anzufordern.