Milliarden-Bußgeld für Meta: Zeitenwende für den Datenschutz

Meta-Logo vor EU-Flagge

1,2 Milliarden Euro Bußgeld soll der Facebook-Konzern nach dem Willen der europäischen Datenschutzaufsichtsbehörden zahlen.

Nicht nur die Höhe der Strafe markiert eine Zeitenwende im Datenschutz. Denn in ihrem Beschluss stellen die Aufseher viel mehr fest.

Zehn Jahre sind vergangen, seitdem Edward Snowden Dokumente über US-Datenauswertungsprogramme an Enthüllungsjournalisten gab. „Ausspähen unter Freunden, das geht gar nicht“, ließ die damalige Bundeskanzlerin Angela Merkel wissen. Zwar entsprach das nicht der Realität, auch nicht in Europa. Aber die Grundidee des europäischen Datenschutzrechts ist genau das.

Die NSA-Affäre gab der Datenschutzgrundverordnung, die zu diesem Zeitpunkt bereits zwischen EU-Kommission, Europaparlament und Mitgliedstaaten verhandelt wurde, den entscheidenden Schubs über die Ziellinie. Und verhinderte eine weitere Verwässerung der Regularien.

US-Recht bietet unzureichendes Schutzniveau

Genau das ist nun Meta zum Verhängnis geworden. Fast auf den Tag genau fünf Jahre nach dem Ende der DSGVO-Übergangsfrist hat die irische Datenschutzaufsicht der Facebook-Mutter den Bescheid zugestellt und veröffentlicht. Der hatte einen bemerkenswert schwierigen Weg hinter sich. Gegen den Willen der irischen Behörde wurde er vom gemeinsamen Ausschuss der Datenschutzaufsichtsbehörden massiv nachgeschärft. Und die 1,2 Milliarden Euro sind dabei nur ein Aspekt des 222 Seiten umfassenden Beschlusses.

Die Aufsichtsbehörden sagen in ihrem Bescheid unmissverständlich: Mit dem bisherigen US-Auslandsüberwachungsregime ist eine DSGVO-konforme Datenverarbeitung unmöglich: „US-Recht bietet kein Schutzniveau, das im Kern vergleichbar mit dem des EU-Rechts ist“, heißt es dort. Und an Meta gewandt: „Meta Irland hat keine ergänzenden Maßnahmen getroffen, die den unzureichenden Schutz durch US-Recht ausgleichen“. Genau das war die Intention der DSGVO. Regulatorischer Goldstandard für die Welt sollte sie werden, Unternehmen sollten sie einhalten müssen, wenn sie in Europa tätig sein wollen.

US-Spionagerecht bleibt Schlüssel

Der FDP-Europaabgeordnete Moritz Körner sieht die Hauptschuld dennoch nicht beim Facebook-Betreiber. „Meta ist bei der Problematik der Datentransfers in die USA weniger die Schuld zu geben als der Datenzugriffspraxis der amerikanischen Geheimdienste“, meint er. „Würden diese bei ihrer Schnüffelei die Rechte europäischer Bürger respektieren, müsste Meta das Problem nicht ausbaden.“ Einig ist sich Körner hier mit seiner sozialdemokratischen Kollegin Birgit Sippel: „Um europäische Daten wirklich zu schützen, brauchen wir substantielle Änderungen bei den massiven Datensammlungen und Einschränkungen der Geheimdienstaktivitäten.“ Eine Reform des Abschnitts 702 des FISA sei dafür unerlässlich, so Sippel.

Ende 2023 müssten einige der wichtigsten gesetzlichen Befugnisse für die Auslandsüberwachung, die Regelungen des Abschnitts 702 des Foreign Intelligence Surveillance Acts (FISA), vom Kongress erneut verlängert werden. Doch größere Änderungen erscheinen auch vor dem Hintergrund der politischen Weltlage derzeit unwahrscheinlich. Ausdrücklich haben die Datenschützer festgestellt, dass der konkrete Beschluss zwar nur Meta verpflichte, das Problem aber alle Anbieter betreffe, die potenziell unter FISA fielen.

TADPF könnte Anbieter erlösen

Von einem „gefährlichen Präzedenzfall“ spricht denn auch Sean Hather von der US-Handelskammer: „Dieses Problem geht weit über Meta hinaus“. Der deutsche IT-Firmenverband Bitkom fordert die Politik zum Handeln auf. Ebenso wie Meta selbst: Sollte das Transatlantic Data Privacy Framework (TADPF) rechtzeitig vor Ablauf der Umsetzungsfrist ins Werk gesetzt werden, würde keine Abschaltung von Facebook in der EU drohen. Ein Szenario, das sich schon länger abzeichnet.

Kern des Data Privacy Framework ist dabei ein Maßnahmenpaket der US-Regierung. Statt substanzieller Änderungen am US-Recht wie dem FISA gibt es vor allem Änderungen an den Ausführungsbestimmungen. Für diese reichten Präsidialverfügungen zur Ausführung der Gesetze. Der einfachere Weg für US-Präsident Joe Biden, der das TADPF im vergangenen Frühling gemeinsam mit Kommissionspräsidentin Ursula von der Leyen ankündigte.

Doch noch ist das TADPF nicht in Kraft. Der Sprecher von EU-Justizkommissar Didier Reynders kündigte gestern an, er erwarte, dass „das Datenschutzrahmenabkommen bis zum Sommer vollständig umgesetzt ist“. Das würde den Angemessenheitsbeschluss durch die Kommission, die Zustimmung der Mitgliedstaaten und das Ausbleiben eines Vetos des Europäischen Parlaments voraussetzen.

Schrems zweifelt an TADPF als Lösung

Der österreichische Datenschutzaktivist Max Schrems hält, anders als die europäischen Datenschutzaufsichtsbehörden, wenig von den im TADPF zugesicherten Maßnahmen. Schrems hatte bereits die Angemessenheitsbeschlüsse zu den Vorgängern Safe Harbor und Privacy Shield vom Europäischen Gerichtshof annullieren lassen. Er meint mit Blick auf die EU-Kommission: „Selbst die Leute, die diesen Deal da aushämmern, wissen, dass das wahrscheinlich vom EuGH kassiert wird“.

Für ihn ist es „de facto das Gleiche, was wir schon haben, ein paar Blümchen rundherum und was der EuGH schon mal zurückgewiesen hat. Und jetzt probieren wir es halt wieder und wieder.“ Die Kommission versuche, sich von Deal zu Deal zu retten. Er wirft der EU-Kommission vor, „zu sagen: gut, ich habe eigentlich eine Entscheidung schon zweimal vom Höchstgericht kassiert bekommen, weil grundrechtswidrig. Und ich mache einfach den gleichen Schas wieder und wieder und wieder.“

Datenschutzaufsicht könnte größeren Appetit verspüren

Allerdings dürfte der Fall Facebook auch hier Signalcharakter haben: Wenn die Strafe vor Gericht Bestand hat, könnten solche Verfahren der Regelfall werden – und auf Dauer eben doch teuer für die Unternehmen. Mit dem TADPF wäre das Meta-Problem nur kurzfristig gelöst. Und wenn überhaupt, dann nur für die Zukunft. Denn auf jetzt ausgesprochene Strafen hat die neue Vereinbarung keine Auswirkung.

Und das ist das eigentliche Druckmittel der Aufsichtsbehörden: Nicht regelkonforme Verarbeitung führt auch ohne eigenes Verschulden zu hohen Strafen. Doch damit sich Europa durchsetzt, ist selbst die Strafe von 1,2 Milliarden Euro doch zu gering bemessen. Das sieht auch SPD-MdEP Birgit Sippel so: „Die Strafe wirkt mit 1,2 Milliarden Euro hoch, ist angesichts des Umsatzes von Meta jedoch wenig beeindruckend.“ Noch rechnet es sich für US-Anbieter, sich nicht an EU-Datenschutzrecht zu halten. Aber die Aufsichtsbehörden haben nun ein erstes Mal sanft zugebissen. (Von Falk Steiner)