MARKETING & MEDIA
© APA/AFP/Denis Chalet

Redaktion 25.05.2023

EU-Milliardenstrafe für Meta wegen Datentransfers an die USA

Wiener Datenschutzaktivist Schrems zehn Jahre nach Beschwerde erfolgreich - Meta-Topmanager: "Fehlerhaft und ungerechtfertigt" - Tursky: "Gute und richtige Entscheidung".

DUBLIN. Der US-Facebook-Konzern Meta hat wegen eines Verstoßes gegen die EU-Datenschutzgrundverordnung (DSGVO) eine Rekordstrafe von 1,2 Milliarden Euro erhalten und darf den USA keine personenbezogenen Daten mehr übermitteln. Dies entschied die irische Datenschutzbehörde (DPC) am Montag. Zehn Jahre nach einer entsprechenden Beschwerde gab sie damit dem Wiener Datenschutz-Aktivisten Max Schrems Recht. Erfreut äußerte sich Digitalisierungsstaatssekretär Florian Tursky (ÖVP).

Das von der DPC verhängte Bußgeld stellt die bisherige Rekordstrafe von 746 Mio. Euro für Amazon.com in Luxemburg in den Schatten. In dem Verfahren ging es um die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren vom US-Whistleblower Edward Snowden aufgedeckt wurde.

Die irische Behörde ist zuständig, weil Facebook in dem westeuropäischen EU-Land seinen Europa-Sitz hat. Sie hatte dem IT-Riesen bisher jahrelang die Mauer gemacht und ein Vorgehen verweigert. Zur nunmehrigen Entscheidung musste sie vom Europäischen Datenschutzausschuss (EDSA) verpflichtet werden. Schrems bezeichnete es vor diesem Hintergrund als "absurd", dass Irland die nunmehrige Rekordstrafe zufällt.

Experten gehen davon aus, dass der US-Konzern Rechtsmittel gegen die Entscheidung einlegen wird. Die Gerichtsverfahren können sich allerdings über Jahre erstrecken. Bis dahin könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, mit dem der transatlantische Datenverkehr neu geregelt wird. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, sollte ein transatlantischer Datentransfer dauerhaft nicht möglich sein.

"Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit", kommentierte Schrems die Entscheidung. Allerdings hätte das Bußgeld "wesentlich höher ausfallen können", da die Höchststrafe bei vier Milliarden Euro liege. "Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen." Sollten die US-Überwachungsgesetze nicht geändert werden, "wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen", sprach Schrems von der Schaffung eines "föderalen" sozialen Netzwerks, bei dem die meisten Daten europäischer Nutzer in europäischen Rechenzentren verbleiben, ausgenommen Kontakte mit US-Nutzern. An einen Rückzug von Meta aus Europa glaubt er nicht, weil der Kontinent wirtschaftlich große Bedeutung für den Konzern hat.

Auch der wahrscheinlichen Berufung von Meta gibt Schrems "keine reelle Chance". Frühere Rechtsverletzungen können nämlich nicht durch ein neues EU-USA-Datenabkommen beseitigt werden. "Man kann allenfalls die Zahlung der Geldbuße ein wenig hinauszögern", so Schrems. Auch Hoffnungen auf das neue EU-USA-Datenabkommen dürften sich bald zerschlagen. "Es ist nicht unwahrscheinlich, dass auch das neue Abkommen vom EuGH für ungültig erklärt wird - genau wie die beiden früheren Datenabkommen zwischen der EU und den USA ("Privacy Shield" und "Safe Harbor")", gab der Wiener Jurist dem neuen Vertrag "vielleicht eine zehnprozentige Chance, nicht vom EuGH gekippt zu werden".

Die Entscheidung sieht Schrems auch als wegweisend für andere amerikanische IT-Riesen wie Amazon, Google oder Microsoft, die europäischen Nutzern Cloud-Lösungen anbieten. Jeder dieser Anbieter könnte "von einer ähnlichen Strafe nach EU-Recht betroffen sein", so Schrems. Die einfachste Lösung für das Problem wären "vernünftige Garantien im US-Recht". Für legale Überwachung brauche es einen begründeten Verdacht und eine Genehmigung durch einen Richter. Nach US-Recht gelte dies aber nur für die eigenen Bürger. "Es wäre an der Zeit diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren", so Schrems.

"Die Strafe der irischen Datenschutzbehörde ist eine gute und richtige Entscheidung und ein klares Statement. Beim Thema Datenschutz dürfen wir keine Kompromisse zulassen und müssen zeigen, dass es dabei keine Ausnahmen gibt", betonte Staatssekretär Tursky. Auch "amerikanische Hyperscaler (große Cloud-Anbieter wie Amazon, Google und Microsoft, Anm.) müssen sich an unsere Gesetze in Europa halten", forderte der Politiker.

Der aktuelle Beschluss bezieht sich nur auf Facebook, nicht auf andere Dienste aus dem Meta-Konzern wie Instagram oder WhatsApp. Meta war allerdings bereits im Jänner von der DPC zu einer Strafe in Höhe von 390 Mio. Euro verdonnert worden, weil Facebook- und Instagram-Nutzer gezwungen worden waren, personalisierter Werbung zuzustimmen. Auch diese Entscheidung wurde auf Betreiben der Wiener Datenschutz-NGO noyb getroffen.

Die Meta-Topmanager Nick Clegg (President Global Affairs) und Jennifer Newstead (Chief Legal Officer) bezeichneten die Entscheidung der DPC in einer ersten Reaktion als "fehlerhaft und ungerechtfertigt". Sie schaffe einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA transferieren. "Die Entscheidung wirft auch ernste Fragen über einen Regulierungsprozess auf, der es dem Europäischen Datenschutzausschuss ermöglicht, eine federführende Regulierungsbehörde auf diese Weise zu überstimmen und die Ergebnisse ihrer mehrjährigen Untersuchung zu missachten, ohne dem betroffenen Unternehmen das Recht zu geben, gehört zu werden."

Bisher wurden mit der neuen Strafe für Meta seit dem Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren Bußgelder in Höhe von vier Mrd. Euro verhängt. Meta ist in der Liste der zehn höchsten Bußgelder nun gleich sechsfach vertreten, die Strafen summieren sich jetzt auf 2,5 Mrd. Euro.

TEILEN SIE DIESEN ARTIKEL