Facebook: Wie weiter nach Schrems II?

Strenge Vorgaben von Aufsichtsbehörden und EuGH zum Datenschutz.^[1] 

Dr. Ulrich Hallermann, Fachanwalt für Arbeitsrecht und Datenschutzbeauftragter, Investitions- und Strukturbank Rheinland-Pfalz

I. Umgang mit Facebook in der Praxis 

In der Praxis werden soziale Netzwerke von Unternehmen stark zu Werbezwecken genutzt. Dies gilt insbesondere für Facebook, da dies vornehmlich von relevanten jungen Gruppen frequentiert wird. Facebook ist insoweit als Medium beliebt, da den Kunden zielgerichtete Werbung unterbreitet werden kann. 

Das Nutzungsentgelt für soziale Netzwerke wird dadurch gezahlt, dass die Kunden ihre personenbezogenen Daten verschenken und von den sozialen Netzwerken zu Werbezwecken verarbeiten lassen. Die Nutzer haben hiermit regelmäßig kein Problem, da sie im Gegenzug die sozialen Netzwerke “kostenlos” nutzen dürfen. 

SEMINARTIPP

5. Berliner Compliance-Tagung, 16.–17.11.2020, Berlin.

Die Probleme ergeben sich im Datenschutz. Die Verarbeitung von personenbezogenen Daten ist im Grundsatz nur zulässig, wenn der Kunde hinreichend über die Verarbeitung belehrt wird und ein rechtlicher Erlaubnistatbestand vorliegt. Eine vollständige und nachvollziehbare Belehrung ist in der Regel nicht möglich, da das Ob und Wie der Datenverarbeitung durch die sozialen Netzwerke nicht bekannt ist. Die sozialen Netzwerke haben auch kein Interesse an der Offenlegung ihrer Algorithmen, da es sich hierbei um ihr Geschäftsmodell handelt. 

II. Entscheidung des EuGH 

Die USA als Herkunftsland von Facebook bieten für die Verarbeitung von personenbezogenen Daten keinen ausreichenden Datenschutz. Das Abkommen "Privacy Shield", das den Datentransfer in die USA bislang erlaubt, wurde vom Europäischen Gerichtshof (EuGH) für ungültig erklärt. Unternehmen wie Facebook dürfen Personendaten nur noch in Länder außerhalb der EU wie die USA übertragen, wenn dort das Datenschutzniveau mit Europa vergleichbar ist (C 311/18, Schrems II). 

Hierfür bestehen zwei Möglichkeiten. Möglichkeit eins: Die EU-Kommission stellt in einem Beschluss fest, dass im Ausland ein angemessener Datenschutz gewährleistet wird. Oder Möglichkeit zwei: Der Datenschutz wird mittels sogenannter Standardvertragsklauseln sichergestellt. 

BUCHTIPP

Göhrig/Maull/Petersen (Hrsg.): Managementleitfaden Datenschutz, 2019.

Standardvertragsklauseln bleiben auch nach der Entscheidung des EuGH zulässig. Wenn Unternehmen allerdings personenbezogene Daten in Länder außerhalb der EU übertragen, müssen sie vorher genau prüfen, ob dort das erforderliche Schutzniveau tatsächlich eingehalten wird. Eine bloße schriftliche Vereinbarung allein reicht nicht aus. 

Praxistipps 

• Zum einen ist zu erörtern, ob und wie Facebook von Unternehmen zu Werbezwecken weiter genutzt werden kann. Festzuhalten bleibt, dass die Werbung bei Facebook einstweilen weiter praktiziert wird und keine offenen Verbote der Aufsichtsbehörden bekannt geworden sind. 
• Dennoch sollte in Erfahrung gebracht werden, welche Rechtsmeinung die für das Unternehmen zuständige Aufsichtsbehörde vertritt. Hier können deutschlandweit durchaus Unterschiede bestehen. Die Sichtung der Homepage ist aufgrund der Aktualität der Thematik zielführend. 
• Darüber hinaus sollte in den Vertragsverhandlungen mit Facebook nach Möglichkeit versucht werden, Vereinbarungen zum Datenschutz zu treffen, auch wenn dies in der Praxis nicht einfach sein dürfte. 
• Zum anderen muss eine Lösung für die übrigen Anwendungen eines Unternehmens gefunden werden, welche personenbezogene Daten in die USA übertragen. 
• Beispielsweise sollte auf Datenservern in der EU und den Ausschluss der Übermittlung in die USA gedrängt werden. 
• Eine weitere Möglichkeit ist der Abschluss von wirklich effektiven Standardvertragsklauseln, die nicht nur schriftlich abgeschlossen, sondern auch in der Praxis gelebt werden. Das heißt: Es muss sichergestellt werden, dass im Falle einer Übertragung von personenbezogenen Daten in die USA eine Verwendung zu Überwachungszwecken ausgeschlossen ist. Dies dürfte freilich aufgrund der Rechtslage in den USA ein schwieriges Unterfangen sein.