Gegen den Facebook Konzern Meta verhängt die irische Datenschutzbehörde eine hohe Busse. Der Internetkonzern schützt die Daten seiner europäischen Kunden unzureichend. Hintergrund ist ein fehlendes Daten-Transfer-Abkommen zwischen der Europäischen Union und den Vereinigten Staaten.
Der Datenschutz in den USA ist wesentlich lockerer als in der EU. Seit Jahren pochen alle US-Regierungen auf ihr Recht, auf Nutzerdaten von Internet-Konzernen zugreifen zu können, wenn es darum geht die Sicherheit der USA zu wahren.
Dieses Rechtsverständnis weicht grundlegend von jenem in der EU ab, wo die europäische Datenschutz-Grundverordnung allen Internet-Nutzerinnen einen hohen Schutz der persönlichen Daten garantiert.
Alle US-Technologie-Konzerne wie Google, Microsoft, Amazon oder Meta dürften daher Nutzerdaten ihrer Europäischen Kunden nicht auf Server in den USA transferieren.
In zwei wegweisenden Urteilen erklärte das höchste Europäische Gericht nämlich, dass diese Daten in den USA zu wenig geschützt würden. Zwei Abkommen der EU mit den USA, welche den Datentransfer legalisieren wollten, erklärten die EU-Richter für nichtig.
Aus diesem Grund wird nun Facebook gebüsst, weil der Konzern weiter Daten zwischen den USA und Europa austauscht – trotz fehlendem Abkommen. Meta, beziehungsweise Facebook, behauptet seine Dienste nur betreiben zu können, wenn ein Datentransfer zwischen Europa und den USA möglich ist.
Das Urteil gegen Facebook ist eher zufällig. Es hätte auch andere Technologiekonzerne treffen können. Denn alle stehen vor dem gleichen Problem, dass ihre Internet-Dienste in den USA nicht einfach von jenen in der EU abgekoppelt werden können.
Zur Zeit versuchen die USA und die EU in einem dritten Anlauf ein Datentransfer-Abkommen auszuarbeiten. Es soll bis im Sommer vorliegen. Expertinnen bezweifeln allerdings, ob dieser ganz grundsätzliche Rechtskonflikt zwischen den USA und Europa lösbar ist, ohne dass die USA ihre Datenschutzbestimmungen im Sinne der EU anpassen.
Auch innerhalb der EU gehen die Meinungen in der Sache auseinander. Die irische Aufsichtsbehörde weigerte sich lange ein Urteil gegen Facebook zu sprechen. Zahlreiche US-Technologiekonzerne haben ihren Europa-Sitz in Irland. Letztlich verpflichtete der übergeordnete Europäische Datenschutzausschuss die nationale, irische Behörde, eine Strafe gegen Meta und Facebook zu verhängen.
Das fehlende Datentransfer-Abkommen stellt auch viele europäische Unternehmen mit Tochtergesellschaften in den USA vor grosse rechtliche Probleme, da sie ohne rechtliche Grundlage Firmendaten austauschen.
Facebook hat nun ein halbes Jahr Zeit, sich dem europäischen Recht anzupassen. Der Konzern will das Urteil ausserdem an den Europäischen Gerichtshof weiterziehen. Ein solches Verfahren kann Jahre dauern.
Ob Meta/Facbook die verhängte Busse tatsächlich begleichen muss, dürfte erst in ein paar Jahren klar sein. Im besten Fall ist dann im dritten Anlauf ein Abkommen zum Datenaustausch zwischen der EU und den USA in Kraft.
Bis dahin müssen wir uns mit der Feststellung begnügen, dass uns die EU-Datenschutz-Verordnung eigentlich einen hohen Schutz garantierte, auch wenn das in der Realität nicht wirklich durchsetzbar ist.