Der Irische Surpreme Court hat die Beschwerde Facebooks zurückgewiesen, dass im Verfahren gegen Facebook ein Vorabentscheidungsverfahren vor den Europäischen Gerichtshof (EuGH) erbeten wurde. In diesem werden unter anderem die EU-Standardvertragsklauseln (SCCs) als Grundlage der Verarbeitung personenbezogener Daten von EU-Bürgern in den USA angezweifelt.
Auch diesmal ist Max Schrems (Österreich) wieder beteiligt, der auch schon mit seinem Verfahren gegen Facebook, das Ende des Safe Harbor Abkommens eingeläutet hatte.
Er ist immer noch der Auffassung, dass Facebook seine Rechte als EU-Bürger im Bereich des Datenschutzes bricht, so Schrems gegenüber dem Indipentent.
Die Kernfrage
Die Kernfrage lautet: “Sind die EU-Standardvertragsklauseln (SCCs) für die von Facebook bezeichneten Datenwege/Übertragungen gültig?”
Die Weitergabe
Die Richterin Frau Costello wies den EuGH 11 Fragen zur Gültigkeit von Entscheidungen der EU Kommission über die Genehmigung der SCC. Gegen diese Vorlage des irischen Gerichtes hatte Facebook vor dem Irischen Surpreme Court Beschwerde eingelegt.
Der DPC (Helen Dixon/ Datenschutzbehörde) äußert nun auch Bedenken. Sie ist für die Beschwerde von Herrn Schrems zuständig. Sie hat bespielsweise Bedenken über die “mass indicriminate processing” von Daten der US Behörden, also die Massenüberwachung. Dies wurde durch die US Regierung verneint.
Die Anwälte des DPC sagen weiterhin, dass sie Bedenken haben, ob die im Rahmen des Privacy Shield vorgesehenen Maßnahmen mit dem Rechtsbehelf vergleichbar sind, der den EU-Bürgern aufgrund der Verletzung von Datenschutzrechten gemäß Artikel 47 der EU-Charta zur Verfügung steht.
Ergebnis
Der EuGH wird sind mit den EU Standardvertragsklauseln beschäftigen müssen und konkret die 11 Fragen des irländischen Gerichtes im Wege des Vorabentscheidungsverfahrens beantworten.
Mögliche Konsequencen für Clouddienstanbieter und Kunden
90% der Clouddienstanbieter wie AWS, Google, Amazon, Uber, Dropbox oder auch Facebook nutzen die EU-Standardvertragsklauseln als Basis für die Datenverarbeitung von personenbezogenen Daten in ihren US Rechenzentren.
Die reine Microsoft Cloudlösung in Deutschland (MCD = Microsoft Cloud Deutschland) wurde zu Gunsten der Globalen Lösung mit mehr lokalen Rechenzentren in Frankreich, Schweiz, Schweden und Deutschland abgekündigt. Jedoch auch diese würde uns im Fall der EU-Standardvertragsklauseln auch nicht helfen, den diese waren auch Teil der MCD Lösung.
Die Konsequenzen sind klar: Beendigung der Datenübertragung von personenbezogenen Daten
Dies wird jedoch nur möglich sein, wenn die Software nicht mehr genutzt wird. Dies bedeutet, dass eine Nutzung nicht mehr in Betracht kommt und damit die Arbeit still steht oder Ausweichlösungen geschaffen werden müssen. Hierzu sollte es in den Unternehmen im Rahmen des Risikomanagementes immer einen Plan B geben.
via