Die Entscheidung der irischen Datenschutzbehörde im Fall Meta hat für Aufregung gesorgt. Wegen unzulässiger Datenübermittlung in die USA hat diese nämlich gegen den US-Konzern Meta ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt. Es handelt sich hiermit um das höchste Bußgeld, welches seit in Kraft treten der DSGVO verhängt wurde. Zudem wurde Meta verpflichtet, die Datenverarbeitung innerhalb von 6 Monaten rechtskonform zu gestalten.

Das Bußgeld gegen Meta führt nicht nur dazu, dass Meta seine Datenschutzaktivitäten neu überdenken muss, sondern setzt auch eine klare Richtung für andere Unternehmen ihre Datentransfers erneut zu überprüfen, auch wenn sie die Entscheidung nicht direkt betrifft. Meta kündigte an gegen diese in Berufung zu gehen.

Diese prägende Entscheidung verdeutlicht:

1. Erstens, es wird festgestellt, dass das bestehende US-Recht kein ausreichendes Datenschutzniveau bietet, da es nicht die gleichen Standards wie das EU-Recht bietet.
2. Weiters wird festgehalten, dass weder die Standartvertragsklauseln von 2010 noch die von 2021 alleine den unzureichenden Schutz des US-Rechts kompensieren können.
3. Zuletzt, werden die von Meta ergriffenen ergänzenden Maßnahmen als nicht ausreichend erachtet, um den unzureichenden Schutz zu kompensieren.

Die ergänzenden Maßnahmen sind nach Meinung der Behörde unzureichend, da vertragliche Regelungen nicht die rechtlichen Defizite durch staatliche Überwachungsmaßnahmen kompensieren können. In der Entscheidung wird aber deutlich, dass technische Maßnahmen das unzureichende Schutzniveau ausgleichen können. Allerdings hat Meta nicht nachweisen können, dass die technischen Maßnahmen im konkreten Fall ausreichend waren.

Datenübertragungen in sogenannte Drittländer immer mehr im Fokus der Datenschutzbehörde

Diese Entscheidung wird großen Einfluss auf die künftige Praxis der grenzüberschreitenden Datenübermittlung haben. Die Entscheidung der irischen Datenschutzbehörde zeigt, dass Drittlandtransfers und die Notwendigkeit ein angemessenes Schutzniveau für Betroffene zu schaffen, immer mehr im Fokus der Datenschutzbehörden stehen. Das gilt für alle Datenübertragungen in sogenannte Drittländer. Also Länder, die nicht Teil des Europäischen Wirtschaftsraumes sind.

Wenn personenbezogene Daten in ein Drittland übertragen werden, beispielsweise weil ein Anbieter einer Software verwendet wird, der seinen Sitz in einem Drittland hat, müssen momentan die von der Europäischen Kommission veröffentlichten Standardvertragsklauseln abgeschlossen werden. Die Entscheidung der irischen Datenschutzbehörde zeigt aber, dass zusätzlich noch weitere, vor allem technische, Sicherheitsmaßnahmen erforderlich sind, um einen Datentransfer rechtmäßig durchführen zu können.

Der neue transatlantische Datenschutzrahmen 

Nach der Außerkraftsetzung des Safe Harbor- und des Privacy Shield-Abkommens durch den EuGH mit den Entscheidungen Schrems I und II wurde der internationale Datentransfer außerhalb des EWR deutlich erschwert. Damit besteht für Unternehmen großer Handlungsbedarf, denn sie müssen eine Reihe notwendiger datenschutzrechtlicher Maßnahmen setzen, um einen legalen Datentransfer in die USA gewährleisten zu können.

Letztes Jahr wurde das neue Abkommen Trans Atlantic Data Privacy Framework angekündigt. Es handelt sich um ein bilaterales Abkommen.  Dieses Abkommen soll die Defizite, die in dem Schrems II Urteils festgestellt wurden, kompensieren. Beispielsweise soll der Zugriff der US-Geheimdienste auf ein notwendiges und verhältnismäßiges Maß beschränkt werden. Zusätzlich soll ein besserer Rechtsschutz für EU-Bürger sichergestellt werden. Zuletzt sollen die betroffenen Unternehmen zur Selbstzertifizierung durch das U.S. Department of Commerce verpflichtet werden.

Welche Folgen hat das neue Abkommen?

Eine Datenübermittlung kann höchstwahrscheinlich erst legitimiert werden, wenn ein Unternehmen nach dem neuen Abkommen zertifiziert ist. Das Abkommen selbst wird Datentransfers in die USA also voraussichtlich nicht schon legitimieren. Bereits stattgefundene Datenübermittlungen können dadurch nicht legitimiert werden.

Was bedeutet dies für Unternehmen?

Aktuell ist es weiterhin schwierig Datentransfers in die USA zu legitimieren, da der bloße Abschluss von Standardvertragsklauseln nicht ausreicht. Es muss daher immer im Einzelfall beurteilt werden, ob ausreichende technische Maßnahmen bestehen, die zum Beispiel einen Zugriff auf die Daten durch US-Behörden verhindern.

Wenn möglich sollten daher Anbieter aus der EU verwendet und Datentransfers in die USA vermieden werden. Sichere Datenübertragungen werden voraussichtlich erst mit dem neuen Abkommen möglich sein. Wann dieses Abkommen wirklich vereinbart wird und ab wann ein Datentransfer in die USA dadurch rechtssicher möglich ist, steht aktuell leider noch nicht fest.