Tausende europäischer und US-amerikanischer Unternehmen sind auf die sichere und legale Übermittlung von Daten zwischen Rechtsordnungen angewiesen. Internationale Datenübermittlungen sind Grundlage der globalen Wirtschaft und unterstützen viele der Dienstleistungen, die für unser tägliches Leben von grundlegender Bedeutung sind.
Im Juli annullierte der Gerichtshof der Europäischen Union (EuGH) den so genannten Privacy Shield. Hierbei handelt es sich um einen Rechtsrahmen, der die Übermittlung personenbezogener Daten von der EU in die USA regelt. Gleichzeitig erklärte der EuGH, dass Standardvertragsklauseln, ein alternativer Rechtsmechanismus für die Übermittlung von Daten aus der EU in ein Drittland, weiterhin gültig sind. Die Gründe für die Aufhebung des Privacy Shield haben jedoch zu erheblicher Unsicherheit geführt – nicht nur für US-Technologieunternehmen oder alle europäischen Unternehmen, die auf Online-Dienste angewiesen sind, um neue Kunden zu erreichen, sondern für alle europäischen Unternehmen mit transatlantischen Datenströmen.
Mit der Gründung einer Arbeitsgruppe des Europäischen Datenschutzausschusses, die sich mit der Anwendung des EuGH-Urteils befassen soll, sowie einer gemeinsamen Erklärung der EU-Kommission und des US-Handelsministeriums, dass sie Gespräche über einen „verbesserten“ Privacy Shield eingeleitet haben, legen wir unsere Position dar, wie die langfristige Stabilität internationaler Datenübermittlungen gesichert werden kann. Wir unterstützen globale Regeln, die eine weltweit einheitliche Behandlung von Daten gewährleisten können.
Ein sicherer Übermittlungsmechanismus, der von den Gerichten bestätigt wird
In seiner jüngsten Entscheidung hat der EuGH aufgrund von Bedenken hinsichtlich der nationalen Sicherheitsgesetze der USA den Mechanismus des Privacy Shield für Datenübermittlungen zwischen der EU und den USA außer Kraft gesetzt. Vor der Entscheidung verließen sich mehr als 5.000 Unternehmen auf den Privacy Shield.
Obwohl das Gericht auch entschied, dass Standardvertragsklauseln weiterhin gültig bleiben (vorausgesetzt, der Datenexporteur trifft angemessene Vorkehrungen, um ein hohes Schutzniveau für die betroffenen Personen zu gewährleisten), hat seine Begründung für die Ungültigkeitserklärung des Privacy Shield eine Diskussion über die Verwendung von Standardvertragsklauseln ausgelöst.
Wie viele andere Unternehmen ist auch Facebook auf Standardvertragsklauseln angewiesen, um Daten in Länder außerhalb der EU, einschließlich der Vereinigten Staaten, zu übermitteln. Seit dem EuGH-Urteil im Juli hat Facebook hart daran gearbeitet, die vom Gerichtshof dargelegten Schritte zu befolgen, um zu gewährleisten, dass wir weiterhin Daten auf sichere Weise übermitteln können. Dazu gehört, dass wir über robuste Schutzmaßnahmen verfügen, wie z.B. Verschlüsselung nach Industriestandard und Sicherheitsmaßnahmen, sowie über umfassende Richtlinien, die regeln, wie wir auf rechtliche Anfragen nach Datenherausgabe reagieren.
Die irische Datenschutzkommission (IDPC) hat eine Untersuchung der von Facebook kontrollierten EU-US-Datenübermittlungen eingeleitet und angedeutet, dass die Standardvertragsklauseln in der Praxis nicht für EU-US-Datenübermittlungen verwendet werden können. Das Verfahren ist zwar noch nicht abgeschlossen, aber falls man dem Ansatz folgen sollte, könnte er weitreichende Auswirkungen auf Unternehmen haben, die sich auf Standardvertragsklauseln verlassen, sowie auf die Online-Dienste, auf die sich viele Menschen und Unternehmen verlassen.
Ein Mangel an sicheren und rechtmäßigen internationalen Datenübermittlungen würde der Wirtschaft schaden und das Wachstum datengetriebener Unternehmen in der EU beeinträchtigen, gerade während wir uns um eine wirtschaftliche Erholung von COVID-19 bemühen. Die Auswirkungen wären für große und kleine Unternehmen in diversen Branchen spürbar. Im schlimmsten Fall könnte dies bedeuten, dass ein kleines Technologie-Start-up in Deutschland nicht mehr in der Lage wäre, einen Cloud-Anbieter mit Sitz in den USA zu nutzen. Ein spanisches Produktentwicklungsunternehmen könnte nicht mehr in der Lage sein, seinen Betrieb über mehrere Zeitzonen hinweg zu betreiben. Ein französischer Einzelhändler könnte feststellen, dass er keinen Callcenter in Marokko mehr unterhalten kann.
Die Auswirkungen würden über die Geschäftswelt hinausgehen und könnten sich auf wichtige öffentliche Leistungen etwa im Gesundheits- und Bildungsbereich auswirken. In der irischen Corona–Tracking-App heißt es, dass Irland sich auf Standardvertragsklauseln als einen von mehreren Mechanismen verlässt, um Daten an einen seiner Auftragsverarbeiter in den USA zu übermitteln. Internationale Cloud-Anbieter und E-Mail-Plattformen bieten Schulen, Universitäten und Krankenhäusern in ganz Europa Leistungen an. Millionen von Menschen nutzen täglich Videokonferenz-Software, um mit Freunden und Familienangehörigen, die in verschiedenen Ländern leben, in Kontakt zu bleiben.
Klare globale Regeln zum Schutz der Verbraucher
Unternehmen brauchen klare, globale Regeln, die durch ein starkes Rechtsstaatsprinzip untermauert werden, um transatlantische Datenströme langfristig zu schützen.
Die EU hat bei der Schaffung eines Rahmens für den Datenschutz, der die Nutzer schützt und befähigt, eine Vorreiterrolle übernommen. Die Regeln zum Schutz der Privatsphäre werden sich weiter entwickeln und globale Regeln können die einheitliche Behandlung von Daten unabhängig davon, wo sie gespeichert sind, gewährleisten. Facebook begrüßt daher die bereits laufenden Bemühungen zwischen EU- und US-Gesetzgebern, das Potenzial für einen „verbesserten“ EU-US-Rahmen – einen Privacy Shield Plus – zu bewerten. Diese Bemühungen müssen berücksichtigen, dass die EU-Mitgliedstaaten und die USA beide Demokratien sind, die gemeinsame Werte und Rechtsstaatlichkeit teilen, kulturell, sozial und kommerziell tief miteinander verbunden sind und sehr ähnliche Datenüberwachungsbefugnisse und -praktiken haben.
Wir sind uns bewusst, dass der Aufbau eines nachhaltigen Rahmens, der reibungslose Datenflüsse in andere Länder und Rechtssysteme unterstützt und gleichzeitig sicherstellt, dass die Grundrechte der EU-Nutzer respektiert werden, keine leichte Aufgabe ist und Zeit braucht. Während die politischen Entscheidungsträger auf eine nachhaltige, langfristige Lösung hinarbeiten, sollten die Regulierungsbehörden einen verhältnismäßigen und pragmatischen Ansatz wählen, um Störungen für die vielen tausend Unternehmen zu minimieren, die sich wie Facebook in gutem Glauben auf diese Mechanismen verlassen, um Daten auf sichere Weise zu übertragen.
Unsere Priorität ist es zu gewährleisten, dass unsere Nutzer, Werbetreibenden, Kunden und Partner weiterhin die Dienste von Facebook in Anspruch nehmen können, während wir ihre Daten weiter schützen. Wir werden Daten weiterhin in Übereinstimmung mit dem jüngsten EuGH-Urteil übermitteln, bis wir weitere Orientierungshilfe erhalten.
Hinweis: Dies ist eine Gefälligkeitsübersetzung. Im Zweifelsfall gilt die englische Originalversion.