Zum fünften Jahrestag der Datenschutzgrundverordnung (DSGVO) hat der US-InternetrieseMetahärter als jemals zuvor die starke Hand der europäischen Datenschutzregeln zu spüren bekommen. Der Konzern wurde am Montag von der irischen Aufsichtsbehörde DPC in Dublin zu einer Rekordstrafe in Höhe von 1,2 Milliarden Euro verdonnert.
In dem Verfahren geht es um die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren vom US-Whistleblower Edward Snowden aufgedeckt wurde. Der österreichische Datenschutz-Aktivist Max Schrems brachte damals eine Beschwerde gegen Facebook ein.
Das von der DPC verhängte Bußgeld stellt die bisherige Rekordstrafe von 746 Millionen Euro für Amazon.com in Luxemburg in den Schatten. Außerdem mussMetajede weitere Übermittlung europäischer personenbezogener Daten an die Vereinigten Staaten unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Experten gehen nun davon aus, dass der US-Konzern Rechtsmittel gegen die Entscheidung einlegen wird. Die Gerichtsverfahren können sich über Jahre erstrecken. Bis dahin könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, mit dem der transatlantische Datenverkehr neu geregelt wird.Metahatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, sollte ein transatlantischer Datentransfer dauerhaft nicht möglich sein.
Schrems erklärte, das verhängte Bußgeld hätte wesentlich höher ausfallen können: «Die Höchststrafe liegt bei über vier Milliarden. UndMetahat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.» Wenn die US-Überwachungsgesetze nicht geändert würden, werdeMetanun wohl seine Systeme grundlegend umstrukturieren müssen, erklärte Schrems.
Bislang wurden mit der neuen Strafe fürMetaseit dem bedingungslosen Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren Bußgelder in Höhe von vier Milliarden Euro verhängt.Metaist in der Liste der zehn höchsten Bußgelder nun gleich sechsfach vertreten, die Strafen summieren sich jetzt auf 2,5 Milliarden Euro. Das höchste Bußgeld in Deutschland mit 35 Millionen Euro musste die Modekette H&M im Jahr 2020 wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung seines Onlineshops zahlen.
Sollte das aktuell verhängte Rekordbußgeld nach einem langen Rechtsstreit dann irgendwann fällig werden, würde die Summe ausgerechnet an den irischen Staat fließen, der jahrelang Facebook nicht in die Quere kommen wollte. Die irische Datenschutzbehörde DPC hatte sich lange Zeit geweigert, gegen Facebook vorzugehen. Letztlich verpflichtete der Europäische Datenschutzausschuss (EDSA) die DPC, eine Strafe gegen das soziale Netzwerk zu verhängen.
DieMeta-Topmanager Nick Clegg (President Global Affairs) und Jennifer Newstead (Chief Legal Officer) bezeichneten die Entscheidung der DPC in einer ersten Reaktion als «fehlerhaft und ungerechtfertigt». Sie schaffe einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA transferieren. «Die Entscheidung wirft auch ernste Fragen über einen Regulierungsprozess auf, der es dem Europäischen Datenschutzausschuss ermöglicht, eine federführende Regulierungsbehörde auf diese Weise zu überstimmen und die Ergebnisse ihrer mehrjährigen Untersuchung zu missachten, ohne dem betroffenen Unternehmen das Recht zu geben, gehört zu werden.»
Tatsächlich geht es in diesem Fall nicht nur um die Frage, welche Datenschutzverfahren ein Unternehmen wie Facebook verwendet hat, sondern um einen ganz grundlegenden Rechtskonflikt zwischen den USA und Europa. Die US-Regierungen - egal ob unter Barack Obama, Donald Trump oder Joe Biden - pochen auf den Zugang zu den Daten, um Gefahren abwehren zu können. Mit dem Datenschutzverständnis der EU und insbesondere des Europäischen Gerichtshofs (EuGH) hat das aber wenig gemein.
Dass es bei der Aufarbeitung der Snowden-Enthüllungen zuerst Facebook und den MutterkonzernMetaerwischt hat, ist eher ein Zufall. Selbst Facebook-Kritiker Max Schrems meint: «Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein.»
Ein Sprecher der EU-Kommission teilte am Montag lapidar mit, man habe die Entscheidung zur Kenntnis genommen.Metamüsse das Problem nun lösen. «Bis zum Sommer» soll demnach ein Abkommen zwischen der EU und den USA zum Datentransfer auf die Beine gestellt werden. Dieses werde Rechtssicherheit für Unternehmen gewährleisten, aber auch strikt die Privatsphäre der Bürgerinnen und Bürger schützen, so der Sprecher.
Dabei zeichnet sich der nächste Konflikt schon ab.Metasetzt darauf, dass das neue Datentransfer-Abkommen zwischen der EU und den USA die Probleme weitgehend aus dem Weg räumt. Facebook-Kritiker Max Schrems dagegen warnt den US-Konzern davor, auf diese Karte zu setzen. «Es ist nicht unwahrscheinlich, dass auch das neue Abkommen vom EuGH für ungültig erklärt wird - genau wie die beiden früheren Datenabkommen zwischen der EU und den USA («Privacy Shield» und «Safe Harbor»).» Wie man ein Datentransfer-Abkommen zu Fall bringen kann, weiß Schrems jedenfalls - denn es waren seine Klagen, die den EuGH dazu gebracht haben, die beiden Vereinbarungen für nichtig zu erklären.