DUBLIN (dpa) — Kein anderer Inter­net­rie­se hat in der fünfjäh­ri­gen Geschich­te der europäi­schen Daten­schutz­grund­ver­ord­nung so viele Bußgel­der kassiert wie Meta. Nun muss der Facebook-Konzern erneut eine Rekord­stra­fe zahlen.

Zum fünften Jahres­tag der Daten­schutz­grund­ver­ord­nung (DSGVO) hat der US-Inter­net­rie­se Meta härter als jemals zuvor die starke Hand der europäi­schen Daten­schutz­re­geln zu spüren bekom­men. Der Konzern wurde von der irischen Aufsichts­be­hör­de DPC in Dublin zu einer Rekord­stra­fe in Höhe von 1,2 Milli­ar­den Euro verdonnert.

In dem Verfah­ren geht es um die Betei­li­gung von Facebook an der Massen­über­wa­chung durch anglo­ame­ri­ka­ni­sche Geheim­diens­te, die vor zehn Jahren vom US-Whist­le­b­lower Edward Snowden aufge­deckt wurde. Der öster­rei­chi­sche Daten­schutz-Aktivist Max Schrems brach­te damals eine Beschwer­de gegen Facebook ein.

Das von der DPC verhäng­te Bußgeld stellt die bishe­ri­ge Rekord­stra­fe von 746 Millio­nen Euro für Amazon.com in Luxem­burg in den Schat­ten. Außer­dem muss Meta jede weite­re Übermitt­lung europäi­scher perso­nen­be­zo­ge­ner Daten an die Verei­nig­ten Staaten unter­bin­den, da das Unter­neh­men weiter­hin den US-Überwa­chungs­ge­set­zen unterliegt.

Meta droht mit Rückzug aus der EU

Exper­ten gehen nun davon aus, dass der US-Konzern Rechts­mit­tel gegen die Entschei­dung einle­gen wird. Die Gerichts­ver­fah­ren können sich über Jahre erstre­cken. Bis dahin könnte ein neuer Daten­pakt zwischen der Europäi­schen Union und den USA in Kraft treten, mit dem der trans­at­lan­ti­sche Daten­ver­kehr neu geregelt wird. Meta hatte zuvor mehrfach damit gedroht, sich vollstän­dig aus der EU zurück­zu­zie­hen, sollte ein trans­at­lan­ti­scher Daten­trans­fer dauer­haft nicht möglich sein.

Schrems erklär­te, das verhäng­te Bußgeld hätte wesent­lich höher ausfal­len können: «Die Höchst­stra­fe liegt bei über vier Milli­ar­den. Und Meta hat zehn Jahre lang wissent­lich gegen die DSGVO versto­ßen, um Profit zu machen.» Wenn die US-Überwa­chungs­ge­set­ze nicht geändert würden, werde Meta nun wohl seine Syste­me grund­le­gend umstruk­tu­rie­ren müssen, erklär­te Schrems.

Bislang wurden mit der neuen Strafe für Meta seit dem bedin­gungs­lo­sen Inkraft­tre­ten der Daten­schutz­grund­ver­ord­nung vor fünf Jahren Bußgel­der in Höhe von vier Milli­ar­den Euro verhängt. Meta ist in der Liste der zehn höchs­ten Bußgel­der nun gleich sechs­fach vertre­ten, die Strafen summie­ren sich jetzt auf 2,5 Milli­ar­den Euro. Das höchs­te Bußgeld in Deutsch­land mit 35 Millio­nen Euro musste die Modeket­te H&M im Jahr 2020 wegen einer unzurei­chen­den Rechts­grund­la­ge für die Daten­ver­ar­bei­tung seines Online­shops zahlen.

Sollte das aktuell verhäng­te Rekord­buß­geld nach einem langen Rechts­streit dann irgend­wann fällig werden, würde die Summe ausge­rech­net an den irischen Staat fließen, der jahre­lang Facebook nicht in die Quere kommen wollte. Die irische Daten­schutz­be­hör­de DPC hatte sich lange Zeit gewei­gert, gegen Facebook vorzu­ge­hen. Letzt­lich verpflich­te­te der Europäi­sche Daten­schutz­aus­schuss (EDSA) die DPC, eine Strafe gegen das sozia­le Netzwerk zu verhängen.

Die Meta-Topma­na­ger Nick Clegg (Presi­dent Global Affairs) und Jenni­fer Newstead (Chief Legal Officer) bezeich­ne­ten die Entschei­dung der DPC in einer ersten Reakti­on als «fehler­haft und ungerecht­fer­tigt». Sie schaf­fe einen gefähr­li­chen Präze­denz­fall für die zahllo­sen anderen Unter­neh­men, die Daten zwischen der EU und den USA trans­fe­rie­ren. «Die Entschei­dung wirft auch ernste Fragen über einen Regulie­rungs­pro­zess auf, der es dem Europäi­schen Daten­schutz­aus­schuss ermög­licht, eine feder­füh­ren­de Regulie­rungs­be­hör­de auf diese Weise zu überstim­men und die Ergeb­nis­se ihrer mehrjäh­ri­gen Unter­su­chung zu missach­ten, ohne dem betrof­fe­nen Unter­neh­men das Recht zu geben, gehört zu werden.»

Tatsäch­lich geht es in diesem Fall nicht nur um die Frage, welche Daten­schutz­ver­fah­ren ein Unter­neh­men wie Facebook verwen­det hat, sondern um einen ganz grund­le­gen­den Rechts­kon­flikt zwischen den USA und Europa. Die US-Regie­run­gen — egal ob unter Barack Obama, Donald Trump oder Joe Biden — pochen auf den Zugang zu den Daten, um Gefah­ren abweh­ren zu können. Mit dem Daten­schutz­ver­ständ­nis der EU und insbe­son­de­re des Europäi­schen Gerichts­hofs (EuGH) hat das aber wenig gemein.

Dass es bei der Aufar­bei­tung der Snowden-Enthül­lun­gen zuerst Facebook und den Mutter­kon­zern Meta erwischt hat, ist eher ein Zufall. Selbst Facebook-Kriti­ker Max Schrems meint: «Jeder andere große US-Cloud-Anbie­ter wie Amazon, Google oder Micro­soft könnte von einer ähnli­chen Strafe nach EU-Recht betrof­fen sein.»

Reakti­on der EU-Kommission:

Ein Sprecher der EU-Kommis­si­on teilte lapidar mit, man habe die Entschei­dung zur Kennt­nis genom­men. Meta müsse das Problem nun lösen. «Bis zum Sommer» soll demnach ein Abkom­men zwischen der EU und den USA zum Daten­trans­fer auf die Beine gestellt werden. Dieses werde Rechts­si­cher­heit für Unter­neh­men gewähr­leis­ten, aber auch strikt die Privat­sphä­re der Bürge­rin­nen und Bürger schüt­zen, so der Sprecher.

Dabei zeich­net sich der nächs­te Konflikt schon ab. Meta setzt darauf, dass das neue Daten­trans­fer-Abkom­men zwischen der EU und den USA die Proble­me weitge­hend aus dem Weg räumt. Facebook-Kriti­ker Max Schrems dagegen warnt den US-Konzern davor, auf diese Karte zu setzen. «Es ist nicht unwahr­schein­lich, dass auch das neue Abkom­men vom EuGH für ungül­tig erklärt wird — genau wie die beiden frühe­ren Daten­ab­kom­men zwischen der EU und den USA (“Priva­cy Shield” und “Safe Harbor”).» Wie man ein Daten­trans­fer-Abkom­men zu Fall bringen kann, weiß Schrems jeden­falls — denn es waren seine Klagen, die den EuGH dazu gebracht haben, die beiden Verein­ba­run­gen für nichtig zu erklären.

Von Chris­toph Dernbach, dpa