Am Montag wurde Meta von der Europäischen Union zu einer beispiellosen Datenschutzstrafe in Höhe von 1,3 Milliarden Dollar verurteilt, und das Unternehmen wurde aufgefordert, die Übermittlung von Nutzerdaten an die USA bis Oktober einzustellen. Dieser Schritt ist die jüngste Entwicklung in einem Fall, der sich über ein Jahrzehnt erstreckt und durch die Besorgnis über amerikanische digitale Spionage ausgelöst wurde.
Das Bußgeld in Höhe von 1,2 Milliarden Euro ist das höchste seit Einführung der strengen EU-Datenschutzgesetze vor fünf Jahren. Es stellt den bisherigen Rekord von Amazon in den Schatten, das im Jahr 2021 eine Geldstrafe von 746 Millionen Euro für die Verletzung von Datenschutzbestimmungen zahlen musste.
Als Reaktion darauf versprach Meta, das zuvor eine mögliche Unterbrechung der Dienste für seine europäischen Nutzer angedeutet hatte, Berufung einzulegen und bei den Gerichten eine sofortige Aussetzung der Entscheidung zu beantragen.
Nach Angaben des Unternehmens „gibt es keine unmittelbare Unterbrechung von Facebook in Europa“. Die Entscheidung bezieht sich auf Nutzerdaten, einschließlich Namen, E-Mail- und IP-Adressen, Nachrichten, Browserverlauf, Geolokalisierungsdaten und andere Daten, die Meta und andere Tech-Giganten wie Google für personalisierte Online-Werbung nutzen.
Die Entscheidung markiert eine weitere Wendung in einer juristischen Saga, die 2013 begann, als Max Schrems, ein österreichischer Anwalt und Datenschutzaktivist, sich über den Umgang von Facebook mit seinen Daten beschwerte. Dies geschah im Zuge der Enthüllungen des ehemaligen Mitarbeiters der National Security Agency, Edward Snowden, über die elektronische Überwachung durch US-Sicherheitsbehörden, einschließlich der Enthüllungen, dass Facebook diesen Behörden Zugang zu den persönlichen Daten von Europäern gewährt hat.
Die sich entfaltende Saga unterstreicht die Spannungen zwischen Washington und Brüssel über die unterschiedlichen Ansichten zum Datenschutz. Die strenge Haltung Europas steht im Gegensatz zu der vergleichsweise nachsichtigen Haltung der USA, die über kein Bundesgesetz zum Datenschutz verfügen. Die EU ist ein Vorreiter bei der Zügelung der Macht von Big Tech, indem sie sie durch Vorschriften dazu zwingt, ihre Plattformen zu überwachen und die persönlichen Daten der Nutzer strenger zu schützen.
Das oberste Gericht der EU hat ein Abkommen aus dem Jahr 2020, das den Datentransfer zwischen der EU und den USA regelt und als Privacy Shield bekannt ist, abgelehnt, weil es die Einwohner nicht ausreichend vor der elektronischen Ausspähung durch die US-Regierung schützt. Diese jüngste Entscheidung bestätigt, dass andere Methoden zur Regulierung von Datenübertragungen – wie Standardverträge – ebenfalls unwirksam sind.
Letztes Jahr haben sich Brüssel und Washington auf ein überarbeitetes Privacy Shield geeinigt, das Meta nutzen könnte, aber das Abkommen wartet immer noch auf die Entscheidung der europäischen Beamten, ob es den Datenschutz zufriedenstellend schützt.
Die irische Datenschutzkommission erließ die Geldbuße als Metas oberste Datenschutzbehörde in der 27-Nationen-Gemeinschaft, da sich der europäische Hauptsitz des Unternehmens in Dublin befindet. Die irische Aufsichtsbehörde gewährte Meta fünf Monate Zeit, um die Übermittlung europäischer Nutzerdaten an die USA einzustellen, und sechs Monate, um seine Datenverarbeitung an die Datenschutzvorschriften der EU anzupassen, indem es die „unrechtmäßige Verarbeitung, einschließlich der Speicherung, in den USA“ der unter Verstoß gegen diese Vorschriften übermittelten personenbezogenen Daten europäischer Nutzer beendet.
In der Praxis muss Meta alle diese Daten löschen, was eine größere Herausforderung darstellen könnte als das Bußgeld selbst, bemerkte Johnny Ryan, ein Senior Fellow beim Irish Council for Civil Liberties.
Wenn ein neues transatlantisches Datenschutzabkommen vor Ablauf der Fristen ratifiziert wird, können die Meta-Dienste „ohne Unterbrechung oder Auswirkungen auf die Nutzer wie bisher weiterlaufen“, so das Unternehmen.
Max Schrems vertrat die Ansicht, dass Meta kaum Chancen hat, die Entscheidung grundlegend zu revidieren. Er fügte hinzu, dass selbst ein neues Datenschutzabkommen die Probleme von Meta nicht lösen könnte, da der oberste Gerichtshof der EU es ablehnen könnte. Schrems schlug als mögliche Lösung ein „föderiertes“ soziales Netzwerk vor, bei dem die europäischen Daten in den europäischen Rechenzentren von Meta verbleiben, es sei denn, die Nutzer kommunizieren beispielsweise mit einem US-Freund.
In seinem letzten Ergebnisbericht warnte Meta, dass das Fehlen einer Rechtsgrundlage für den Datentransfer zur Einstellung seiner europäischen Produkte und Dienstleistungen führen könnte, was sich erheblich und nachteilig auf den Betrieb, das Geschäft und die finanzielle Lage des Unternehmens auswirken würde.
Sollte Meta schließlich gezwungen sein, die Transfers einzustellen, könnte dies eine kostspielige und komplexe Umstrukturierung der Geschäftstätigkeit erforderlich machen. Das Unternehmen betreibt derzeit 21 Rechenzentren, davon 17 in den Vereinigten Staaten, drei in den europäischen Ländern Dänemark, Irland und Schweden und eines in Singapur.
Der Druck auf andere Social-Media-Giganten wegen ihrer Datenpraktiken wächst ebenfalls. TikTok, die in chinesischem Besitz befindliche App zum Teilen von Kurzvideos, hat ein 1,5-Milliarden-Dollar-Projekt gestartet, um die Daten von US-Nutzern auf Oracle-Servern zu speichern und so die Bedenken des Westens hinsichtlich potenzieller Cybersicherheitsrisiken zu zerstreuen.
Diese Situation ist ein wichtiger Meilenstein im Kampf um den Datenschutz und die Überprüfung der Praktiken von Big Tech. Die Art und Weise, wie Meta und andere Tech-Giganten in dieser neuen Landschaft navigieren, wird wahrscheinlich Präzedenzfälle für zukünftige Regulierungsmaßnahmen schaffen. Es liegt an diesen Unternehmen, nachhaltige Lösungen zu entwickeln, die die Privatsphäre der Nutzer respektieren und wahren, ohne ihre Dienste zu gefährden, während die internationale Gemeinschaft gespannt zusieht und abwartet.