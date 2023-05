Von: Christoph Dernbach (dpa) | 23.05.23

Eine Besucherin fotografiert ein Werbeschild mit dem neuen Logo und dem Namen "Meta" vor dem Facebook-Hauptquartier in Menlo Park. Foto: EPA-EFE/John G. Mabanglo

DUBLIN: Spätestens seit den Enthüllungen von US-Whistleblower Snowden steht der Verdacht im Raum, dass US-Internetriesen zu wenig tun, um Daten aus Europa vor neugierigen Blicken zu schützen. Der Facebook-Konzern Meta wird nun deswegen mit einem Rekord-Bußgeld belegt.

Empfindliche Geldbuße für den US-Internetriesen Meta: Wegen schwerwiegender Datenschutzverstöße wurde der Facebook-Konzern von der irischen Aufsichtsbehörde DPC in Dublin zu einer Rekordstrafe in Höhe von 1,2 Milliarden Euro verdonnert. Außerdem dürfen Facebook, Whatsapp und Instagram nach einer Übergangsphase keine Nutzerdaten mehr in die USA übertragen.

In dem Verfahren ging es um die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren vom US-Whistleblower Edward Snowden aufgedeckt wurde. Der österreichische Datenschutz-Aktivist Max Schrems brachte damals eine Beschwerde gegen Facebook ein.

Datenschützer schätzten die Verstöße von Meta als sehr schwerwiegend ein, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen gehandelt habe. Facebook habe Millionen von Nutzern in Europa, so dass der Umfang der übermittelten personenbezogenen Daten enorm sei, sagte die Vorsitzende des Europäischen Datenschutzausschusses, Andrea Jelinek. «Die beispiellose Geldbuße ist ein starkes Signal an die Unternehmen, dass schwerwiegende Verstöße weitreichende Folgen haben.»

Das von der DPC verhängte Bußgeld stellt die bisherige Rekordstrafe von 746 Millionen Euro für Amazon.com in Luxemburg in den Schatten. Außerdem muss Meta jede weitere Übermittlung europäischer personenbezogener Daten an die Vereinigten Staaten unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.

Der US-Konzern kündigte an, Rechtsmittel gegen die Entscheidung einzulegen. Die Gerichtsverfahren können sich über Jahre erstrecken. Bis dahin könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, mit dem der transatlantische Datenverkehr neu geregelt wird. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, sollte ein transatlantischer Datentransfer dauerhaft nicht möglich sein.

Schrems erklärte, das verhängte Bußgeld hätte wesentlich höher ausfallen können: «Die Höchststrafe liegt bei über vier Milliarden. Und Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.» Wenn die US-Überwachungsgesetze nicht geändert würden, werde Meta nun wohl seine Systeme grundlegend umstrukturieren müssen, erklärte Schrems.

Bislang wurden mit der neuen Strafe für Meta seit dem bedingungslosen Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist in der Liste der zehn höchsten Bußgelder nun gleich sechsfach vertreten, die Strafen summieren sich jetzt auf 2,5 Milliarden Euro. Das höchste Bußgeld in Deutschland mit 35 Millionen Euro musste die Modekette H&M im Jahr 2020 wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung seines Onlineshops zahlen.

Sollte das aktuell verhängte Rekordbußgeld nach einem langen Rechtsstreit dann irgendwann fällig werden, würde die Summe ausgerechnet an den irischen Staat fließen, der jahrelang Facebook nicht in die Quere kommen wollte. Die irische Datenschutzbehörde DPC hatte sich lange Zeit geweigert, gegen Facebook vorzugehen. Letztlich verpflichtete der Europäische Datenschutzausschuss (EDSA) die DPC, eine Strafe gegen das soziale Netzwerk zu verhängen.

Die Meta-Topmanager Nick Clegg (President Global Affairs) und Jennifer Newstead (Chief Legal Officer) bezeichneten die Entscheidung der DPC in einer ersten Reaktion als «fehlerhaft und ungerechtfertigt». Sie schaffe einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA transferieren. «Die Entscheidung wirft auch ernste Fragen über einen Regulierungsprozess auf, der es dem Europäischen Datenschutzausschuss ermöglicht, eine federführende Regulierungsbehörde auf diese Weise zu überstimmen und die Ergebnisse ihrer mehrjährigen Untersuchung zu missachten, ohne dem betroffenen Unternehmen das Recht zu geben, gehört zu werden.»

Tatsächlich geht es in diesem Fall nicht nur um die Frage, welche Datenschutzverfahren ein Unternehmen wie Facebook verwendet hat, sondern um einen ganz grundlegenden Rechtskonflikt zwischen den USA und Europa. Die US-Regierungen - egal ob unter Barack Obama, Donald Trump oder Joe Biden - pochen auf den Zugang zu den Daten, um Gefahren abwehren zu können. Mit dem Datenschutzverständnis der EU und insbesondere des Europäischen Gerichtshofs (EuGH) hat das aber wenig gemein.

Dass es bei der Aufarbeitung der Snowden-Enthüllungen zuerst Facebook und den Mutterkonzern Meta erwischt hat, ist eher ein Zufall. Selbst Facebook-Kritiker Max Schrems meint: «Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein.»

Ein Sprecher der EU-Kommission teilte am Montag lapidar mit, man habe die Entscheidung zur Kenntnis genommen. Meta müsse das Problem nun lösen. «Bis zum Sommer» soll demnach ein Abkommen zwischen der EU und den USA zum Datentransfer auf die Beine gestellt werden. Dieses werde Rechtssicherheit für Unternehmen gewährleisten, aber auch strikt die Privatsphäre der Bürgerinnen und Bürger schützen, so der Sprecher.

Dabei zeichnet sich der nächste Konflikt schon ab. Meta setzt darauf, dass das neue Datentransfer-Abkommen zwischen der EU und den USA die Probleme weitgehend aus dem Weg räumt. Facebook-Kritiker Max Schrems dagegen warnt den US-Konzern davor, auf diese Karte zu setzen. «Es ist nicht unwahrscheinlich, dass auch das neue Abkommen vom EuGH für ungültig erklärt wird - genau wie die beiden früheren Datenabkommen zwischen der EU und den USA («Privacy Shield» und «Safe Harbor»).» Wie man ein Datentransfer-Abkommen zu Fall bringen kann, weiß Schrems jedenfalls - denn es waren seine Klagen, die den EuGH dazu gebracht haben, die beiden Vereinbarungen für nichtig zu erklären.