In einem bahnbrechenden Schritt hat die Europäische Union eine Rekordstrafe in Höhe von 1,3 Milliarden US-Dollar gegen Meta wegen Verstößen gegen den Datenschutz verhängt und das Unternehmen angewiesen, die Übermittlung von Daten europäischer Nutzer an die USA bis Oktober einzustellen. Diese Anordnung stellt die jüngste Entwicklung in einem jahrzehntelangen Verfahren dar, das durch Bedenken hinsichtlich der Cyberüberwachung durch die USA ausgelöst wurde.
Das Bußgeld in Höhe von 1,2 Milliarden Euro ist das höchste seit der Einführung der strengen EU-Datenschutzverordnung vor fünf Jahren und löst damit die 746 Millionen Euro Strafe ab, die Amazon 2021 für Datenschutzverstöße zahlen musste.
Trotz der vorherigen Warnung, dass seine Dienste für europäische Nutzer eingestellt werden könnten, versprach Meta, die Entscheidung anzufechten und eine sofortige Aussetzung bei den Gerichten zu beantragen. Das Unternehmen versicherte, dass es „keine unmittelbare Unterbrechung für Facebook in Europa“ geben werde. Die Anordnung bezieht sich auf Nutzerdaten wie Namen, E-Mail- und IP-Adressen, Nachrichten, Browserverlauf, Standortdaten und andere Informationen, die Meta und andere Technologieunternehmen wie Google für gezielte Online-Werbung nutzen.
Nick Clegg, Metas Präsident für globale Angelegenheiten, und die Leiterin der Rechtsabteilung, Jennifer Newstead, bezeichneten die Entscheidung als „fehlerhaft, ungerechtfertigt“ und als „gefährlichen Präzedenzfall“ für zahlreiche andere Unternehmen, die Daten zwischen der EU und den USA übertragen.
Der Streit hat seine Wurzeln im Jahr 2013, als der österreichische Anwalt und Datenschutzaktivist Max Schrems nach Edward Snowdens Enthüllungen über die Lauschangriffe der US-Sicherheitsbehörden Bedenken über den Umgang von Facebook mit Daten äußerte, einschließlich der Frage, ob Facebook die Daten europäischer Bürger mit diesen Behörden teilt.
Die Meinungsverschiedenheit unterstreicht den Konflikt zwischen den Perspektiven der USA und der EU in Bezug auf den Datenschutz, wobei Europa einen strengeren Ansatz verfolgt als die weniger strengen Datenschutzbestimmungen der USA, die kein Bundesdatenschutzgesetz haben.
Das höchste Gericht der EU hat ein Abkommen über den Datentransfer zwischen der EU und den USA, das so genannte Privacy Shield, im Jahr 2020 für ungültig erklärt, weil es keinen ausreichenden Schutz vor der elektronischen Überwachung durch die US-Regierung bietet. Die Entscheidung vom Montag bestätigte, dass auch ein anderes Instrument zur Regulierung der Datenübermittlung – juristische Standardverträge – unzureichend ist.
Obwohl zwischen Brüssel und Washington im letzten Jahr ein erneuertes Privacy Shield-Abkommen unterzeichnet wurde, das möglicherweise von Meta genutzt werden kann, sind sich europäische Beamte immer noch nicht sicher, ob es den Datenschutz angemessen schützt.
Das Bußgeld wurde von der irischen Datenschutzkommission verhängt, der führenden Aufsichtsbehörde für den Datenschutz bei Meta in der EU, da der europäische Hauptsitz des Tech-Unternehmens in Dublin liegt.
Meta wurde von der irischen Aufsichtsbehörde ein Ultimatum von fünf Monaten gestellt, um die Übermittlung von europäischen Nutzerdaten an die USA zu stoppen, sowie eine Frist von sechs Monaten, um die Einhaltung der Datenschutzbestimmungen der EU zu erreichen. Dies würde bedeuten, dass die „unrechtmäßige Verarbeitung, einschließlich der Speicherung, in den USA“ der übermittelten Daten europäischer Nutzer, die gegen die Datenschutzbestimmungen der EU verstoßen, beendet wird.
Johnny Ryan, ein Senior Fellow beim Irish Council for Civil Liberties, sagte, dass diese Datenlöschung für Meta eine größere Herausforderung darstellen könnte als die Geldstrafe. „Wenn das Unternehmen die Daten von Hunderten von Millionen Nutzern in der Europäischen Union 10 Jahre zurück bereinigen muss, ist es schwer vorstellbar, wie es dieser Anordnung nachkommen kann.
Sollte jedoch ein neues transatlantisches Datenschutzabkommen vor den festgelegten Fristen in Kraft treten, versicherte Meta, dass die Dienste ohne Unterbrechung fortgesetzt werden könnten.
Schrems sagte, Meta habe „keine echte Chance“, die Entscheidung wesentlich zu kippen. Er wies auch darauf hin, dass ein neues Datenschutzabkommen die Probleme von Meta nicht unbedingt lösen würde, da es wahrscheinlich vom obersten Gericht der EU für ungültig erklärt werden würde.
Schrems schlug eine mögliche Lösung vor: ein „föderiertes“ soziales Netzwerk, bei dem die europäischen Daten in den Rechenzentren von Meta in Europa verbleiben, „es sei denn, die Benutzer chatten zum Beispiel mit einem amerikanischen Freund“.
In seinem letzten Gewinnbericht warnte Meta, dass es ohne eine rechtmäßige Grundlage für die Datenübermittlung gezwungen sein könnte, seine Produkte und Dienstleistungen in Europa nicht mehr anzubieten, was seine Geschäftstätigkeit erheblich beeinträchtigen würde.
Sollte Meta letztendlich dazu verpflichtet werden, den Datentransfer zu stoppen, müsste der Social-Media-Riese möglicherweise eine kostspielige und komplexe Überarbeitung seiner Abläufe vornehmen. Meta betreibt laut seiner Website 21 Rechenzentren, von denen sich 17 in den Vereinigten Staaten und nur drei in Europa (Dänemark, Irland und Schweden) befinden und eines in Singapur.
Auch andere Social-Media-Giganten stehen wegen ihres Umgangs mit Daten auf dem Prüfstand. TikTok hat eine 1,5 Milliarden US-Dollar-Initiative gestartet, um die Daten von US-Nutzern auf Oracle-Servern zu speichern und so die Bedenken des Westens hinsichtlich potenzieller Bedrohungen der Cybersicherheit zu zerstreuen.
Die rekordverdächtige Geldstrafe gegen Meta zeigt, dass sich die Europäische Union weiterhin für die Einhaltung strenger Datenschutzbestimmungen einsetzt. Da die Besorgnis über die Praktiken des Datentransfers zwischen der EU und den USA anhält, könnte dieses Urteil die Tech-Giganten zu weiteren Untersuchungen ihrer Datenmanagement-Politik anregen. Unternehmen auf der ganzen Welt werden die sich abzeichnenden rechtlichen Entwicklungen wahrscheinlich genau beobachten, da sie wichtige Präzedenzfälle in der globalen Datenschutzregulierung schaffen könnten.
