Meta-DämmerungDrohendes Daten-Export-Verbot für Facebook und Instagram

Die irische Datenschutzbehörde will offenbar endlich ernst machen und Meta verbieten, Daten von EU-Bürger:innen in die USA zu schicken. Der Konzern hatte für diesen Fall angedroht, seine Dienste in Europa einzustellen. Aktivist Max Schrems bezeichnet den Vorgang als „Show“.

Economic Photo Illustrations Facebook, WhatsApp, Messenger and Instagram icons displayed on a phone screen are seen in this illustration photo taken in Krakow, Poland on April 6, 2022. Krakow Poland PUBLICATIONxNOTxINxFRA Copyright: xJakubxPorzyckix originalFilename: porzycki-economic220406_npCMK.jpg
Seit Jahren übermittelt Meta Daten von Facebook- und Instagram-Nutzer:innen auf fragwürdiger rechtlicher Basis in die USA. – Alle Rechte vorbehalten IMAGO / Jakub Porzycki

Droht Europa der Meta-Blackout? Erst hatte der US-Konzern, der früher als Facebook bekannt war, Anfang des Jahres selbst mit der Andeutung für Aufsehen gesorgt, dass er seine Dienste in der EU abschalten könnte. Jetzt heizt ein Bericht von Politico diese Drohungen erneut an. Demnach soll die irische Datenschutzbehörde planen, Meta explizit zu verbieten, Daten von EU-Bürger:innen in die USA zu übertragen. Der Konzern könnte das zum Anlass nehmen, Instagram und Co. in der EU einzustellen, so Politico.

Hintergrund: Seitdem der Europäische Gerichtshof vor zwei Jahren die Privacy-Shield-Entscheidung der EU für ungültig erklärt hatte, fehlt für den Export personenbezogener Daten in die USA in vielen Fällen die Rechtsgrundlage. Aufgrund der großen Abhängigkeit der Europäer:innen von US-Plattformen – etwa im Social-Media-Bereich, in der Online-Werbung oder auch im Cloud-Geschäft – senden diese unbeirrt weiter Daten über den Atlantik.

Die USA und die EU verhandeln deswegen unter Hochdruck über eine neue rechtliche Grundlage für den Datenverkehr. Doch bis diese so weit ist, machen immer mehr Datenschutzbehörden in Europa Druck, US-Dienste wie Google Analytics oder Facebook nicht mehr zu verwenden.

Ausgerechnet der irischen Datenschutzbehörde Data Protection Commission (DPC), die jetzt gegen Meta aktiv wird, wurde bislang oft vorgeworfen, zu lasch im Umgang mit den Datenkonzernen aus Übersee zu sein. Auch deshalb lässt die Information von Politico aufhorchen. Bekommt die DPC nun womöglich doch noch Zähne?

Vier Wochen Zeit für eine Stellungnahme

Die irische Behörde hat gegenüber netzpolitik.org bestätigt, dass sie eine entsprechende Anordnung vorbereitet und mit dem europäischen Datenschutzausschuss geteilt hat. Weil es sich um ein laufendes Verfahren handelt, könne sie den genauen Inhalt jedoch nicht mitteilen.

Auch der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigt, dass er einen entsprechenden Vorschlag aus Irland erhalten hat. Details sind zu diesem Zeitpunkt allerdings auch vom ihm nicht zu erfahren. „Die Kolleginnen und Kollegen dort haben das Dokument als vertraulich eingestuft, weshalb ich Ihnen zu den Inhalten nicht mehr sagen kann“, erklärt Behördensprecher Christof Stein auf Anfrage.

Laut Artikel 60 der Datenschutzgrundverordnung haben die europäischen Datenschutzbehörden nach Vorlage eines Entscheidungsentwurfes vier Wochen Zeit, den Text der federführenden Kolleg:innen aus Irland zu prüfen und im Zweifelsfall zu widersprechen oder Verbesserungsvorschläge zu machen.

Der österreichische Jurist Max Schrems ist angesichts der Ankündigung aus Irland skeptisch. Er ging mit seiner NGO none of your business (noyb) mehr als ein Jahrzehnt lang vor Gericht gegen Facebook vor und hat damit die bisherigen Rechtsgrundlagen des transatlantischen Datenverkehrs weggefegt. „Wir gehen davon aus, dass hier auch etwas Show dabei ist“, erklärt Schrems nun zum möglichen Export-Verbot. Die Entscheidung werde noch Monate brauchen bis sie gültig ist und werde dann wohl von Facebook jahrelang vor Gerichten bekämpft, so Schrems zu netzpolitik.org.

Schrems: Zu lasch und zu spät

Die DPC könnte zudem darauf setzen, dass es bald ohnehin eine neue Rechtsgrundlage gibt. Damit Unternehmen Daten von EU-Bürger:innen unkompliziert in die USA weiterleiten können, braucht es eine Entscheidung der EU, dass das Datenschutzniveau im Zielland dem europäischen Standard entspricht. Eine solche Angemessenheitsentscheidung gibt es etwa für Japan und Großbritannien. Auch für die USA gab es sie schon zwei Mal: Safe Harbor und Privacy Shield.

Doch der europäische Gerichtshof hat sie nach Schrems‘ Klagen beide Male kassiert und dabei eine deutliche Sprache gesprochen: Rechtslage und Überwachungspraxis in den USA sind nicht mit dem europäischen Datenschutz in Einklang zu bringen. Schließlich weiß die Weltöffentlichkeit seit den Enthüllungen von Edward Snowden nicht nur, dass US-Gesetze Geheimdiensten weitgehenden Zugriff auf die Daten von Ausländer:innen gestatten, sondern auch, dass sie von diesen Möglichkeiten in erheblichem Maße Gebrauch machen.

In dieser Auseinandersetzung verortete Max Schrems die für Facebook/Meta federführend zuständige irische Datenschutzbehörde stets auf der Seite des US-Konzerns. Erst kürzlich warf er der irischen Datenschutzbeauftragten Helen Dixon vor, im Sinne des Unternehmens lobbyiert zu haben.

Zu netzpolitik.org sagt Schrems, dass es grundsätzlich schon richtig sei, Meta den Daten-Export mit einer Anordnung zu verbieten. Der Schritt brauche jedoch eine lange Umsetzungsphase und hätte bereits 2013 erfolgen müssen. „Dann wäre das Problem inzwischen gelöst“, so Schrems.

Facebook könnte auch anders

Kritisch sieht der Aktivist auch den Aspekt, dass die DPC offenbar nur künftige Übermittlungen verbieten will. „Es geht also um relativ unsichere zukünftige Fakten und Rechtslagen.“ Die permanenten Rechtsbrüche seit 2011 würden dann jedoch straffrei bleiben, so Schrems.

Am einfachsten wäre es freilich, wenn Meta und andere US-Konzerne entscheiden würden, selbstständig auf den Transfer der Daten nach Amerika zu verzichten. „Das geht bei den meisten Systemen durchaus“, sagt Schrems. Das koste aber eben Geld. Da die europäische Datenschutzbehörden die Datenschutzgrundverordnung „strukturell nicht durchsetzen“ würden, sparten sich die Unternehmen das Geld lieber.

No Tracking. No Paywall. No Bullshit.

Unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus.

Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen. Werde Teil dieser einzigartigen Community und unterstütze jetzt unsere Arbeit mit einer Spende.

Jetzt spenden


Jetzt spenden

5 Ergänzungen

  1. Endlich! Möchte der Optimist in mir ausrufen. Aber nein, das wird natürlich nicht passieren.
    Herr Z. wird keinesfalls seine Goldgrube Europa aufgeben.
    Meta sich auf EU zurückziehen? Das wäre zu schön um wahr zu sein.
    Herr Z. wird irgendeine sozial verträgliche Umschreibung für den Datentransfer finden und die irische Datenschutzbehörde wird einen Kuhhandel mit ihm abschließen. Vielleicht werden neue Etiketten vergeben, aber der Inhalt wird derselbe bleiben.
    Wetten wir?

  2. Es spielt keine Rolle mehr. Schon längst haben die Unternehmen verstanden die Daten auf den Geräten auszuwerten und die Informationen über Verhalten als Signal, indirekt an die Server der Hersteller zu übertragen. Beispielsweise wenn bestimmte Verbindungen zu bestimmten Servern oder Anfragen und Übertragungen in einem bestimmten Zeitfenster versendet werden.

    Die Überwachungskapitalisten geben nur dann Beschaffungsroutinen auf, wenn schon neue Bereit stehen welche noch nicht unter Sanktionen oder Filterung leiden.

    Das Spiel endet eben erst wenn man den Dienstleister oder das Betriebsystem wechselt und selbst dann ist oft leider noch Hardware im Raum, welche nicht unbedingt vertrauenswürdig ist.

    Ich sehe da leider nichts gutes… außer ein Gefühl, das etwas passiert. Ja die Zigaretten haben jetzt Filter.

  3. Inhaltlich geht es darum, dass in großem Umfang Daten aus Staat A den Behörden von Staat B zur Verfügung gestellt werden. — Weshalb fällt das nur in den Bereich der Datenschutz- und nicht auch in den Bereich der Spionagegesetzgebung?

Ergänzung an Green Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.