Meta muss wegen der Übermittlung europäischer Nutzerdaten in die USA eine Rekordstrafe bezahlen.
REUTERS / LAURE ANDRILLON

Zehn Jahre ist es mittlerweile her, dass Edward Snowden die strenggeheimen Massenüberwachungsprogramme der US-amerikanischen National Security Agency (NSA) aufgedeckt – und einen weltweiten Skandal ausgelöst hat. Der Vorfall rückte damals auch große Internetplattformen wie Facebook ins Rampenlicht. Diese übermitteln die Daten europäischer Nutzerinnen und Nutzer in die USA, wo sie potenziell von den Behörden abgegriffen werden können. Der österreichische Datenschützer Max Schrems reichte deshalb eine Beschwerde bei der irischen Datenschutzbehörde (DPC) gegen den Facebook-Konzern ein. Es folgte ein langwieriger Rechtsstreit, der nun unangenehme Folgen für Meta haben dürfte.

Die DPC hat entschieden, dass der IT-Konzern eine Rekordstrafe von 1,2 Milliarden Euro bezahlen muss. Außerdem darf er keine weiteren personenbezogenen Daten von Europäerinnen und Europäern mehr an die USA übermitteln, heißt es in einer Aussendung von Schrems' Datenschutz-NGO Noyb. Grund dafür ist, dass Meta in den Vereinigten Staaten per Gesetz dazu verpflichtet ist, den Behörden Zugriff auf Nutzerinnendaten zu gewähren. Solange personenbezogene Daten aus Europa in die USA übertragen werden, bedeutet das für Menschen also potenziell, dass ihre persönlichen Informationen in die Massenüberwachungssysteme der USA eingespeist werden könnten.

Unklare Regeln für Datenübertragung

Diese Gefahr ist nicht neu. 2020 führte die wackelige Rechtslage dazu, dass der Europäische Gerichtshof (EuGH) ein Abkommen zur sicheren Übertragung von Daten zwischen den USA und der EU (Privacy Shield) gekippt hat. An einem Nachfolger samt neuen Sicherheitsmaßnahmen wird zwar gearbeitet, Massenüberwachung soll aber weiterhin erlaubt bleiben.

Zur aktuellen Entscheidung sagt Max Schrems, dass "Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen". Sollten die USA ihre Überwachungsgesetze nicht anpassen, werde Meta seine Systeme umstrukturieren müssen. Die einfachste Lösung wäre laut dem Datenschützer, dass im US-Recht klare Garantien verankert werden. Es bestehe auf beiden Seiten des Atlantiks "Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung braucht". Dieser Grundsatz habe in den USA bisher aber nur für die eigenen Bürger gegolten. "Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren."

Berufung

Noyb geht davon aus, dass Meta Berufung gegen die Entscheidung einlegen wird, erwartet allerdings nicht, dass diese in wesentlichen Punkten aufgehoben wird. Der EuGH habe bereits in zwei anderen Fällen entschieden, dass es keine gültige Rechtsgrundlage für die Datenübermittlung zwischen den USA und der EU gibt. Gemeint sind damit die Urteile zum Privacy Shield und dessen Vorgänger, also dem Safe-Harbor-Abkommen. Laut Schrems könne Meta bloß die Zahlung der 1,2 Milliarden Euro hinauszögern.

Kritik übt die Datenschutz-NGO auch an der irischen Datenschutzbehörde. Diese habe im Laufe der vergangenen zehn Jahre immer wieder probiert, den Fall zu blockieren. Ursprünglich habe sie Schrems' Beschwerde als "frivol" zurückgewiesen. Als dieser bis vor den EuGH zog, habe die Behörde argumentiert, dass Meta sogenannte Standardvertragsklauseln verwendet habe und man deshalb nicht tätig werden könne. Schlussendlich, so die Noyb-Aussendung, habe die DPC versucht, den IT-Konzern vor einem Bußgeld und der Löschung übermittelter Daten zu bewahren. Am Ende des Tages hat der Europäische Datenschutzausschuss die irische Behörde dazu verpflichtet, die Strafe zu verhängen.

Die Entscheidung richtet sich ausschließlich gegen Facebook. Andere Meta-Plattformen wie Instagram sind nicht betroffen. Dennoch ist die US-Regierung unter Zugzwang, die eigenen Überwachungsgesetze so weit anzupassen, dass vergleichbare Strafen gegen weitere Unternehmen verhindert werden. Eine mögliche Lösung wären entsprechende Änderungen des in Arbeit befindlichen Privacy Shield 2.0. Das Abkommen soll den Datentransfer zwischen den USA und der Europäischen Union erleichtern und regeln. Solange die Vereinigten Staaten für Massenüberwachung weiterhin auf europäische Daten zugreifen dürfen, ist allerdings mit massiver Gegenwehr von Datenschützern zu rechnen.

"Gefährlicher Präzedenzfall"

Meta sieht das naturgemäß etwas anders. In einer Stellungnahme schreiben Nick Clegg, President Global Affairs bei Meta, und Jennifer Newstead, Chief Legal Officer bei Meta, dass sie von der Entscheidung enttäuscht seien. Meta sei als einziges Unternehmen herausgegriffen worden, obwohl tausende andere Firmen denselben rechtlichen Mechanismus anwenden würden, um ihre Dienste in Europa anzubieten.

"Diese Entscheidung ist fehlerhaft, ungerechtfertigt und schafft einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA übertragen", schreiben die Meta-Repräsentanten. Es gehe in diesem Fall nicht um die Datenschutzpraktiken eines Unternehmens, stattdessen handle es sich um einen grundlegenden Rechtskonflikt zwischen den USA und der EU. Meta wird Berufung gegen die Entscheidung, inklusive der 1,2-Milliarden-Euro-Strafe, einlegen. (mick, 22.5.2023)