Nach jahrelangem VerfahrenEU-Behörden stoppen Metas Datentransfers

Facebook und Instagram dürfen Daten ihrer Nutzer:innen künftig nicht mehr in die USA übertragen – das ordnen die EU-Datenschutzbehörden an. Die Entscheidung ist der vorläufige Endpunkt eines langen Rechtsstreits und könnte das Geschäftsmodell des Meta-Konzerns empfindlich treffen.

Mark Zuckerberg
Meta-Chef Mark Zuckerberg hat in Europa seit Jahren Datenschutzärger – Alle Rechte vorbehalten IMAGO / ZUMA Wire

Nach jahrelangem Tauziehen hat die irische Datenschutzbehörde dem Meta-Konzern den Transfer von Nutzer:innendaten in die USA untersagt. Alle personenbezogenen Daten aus Europa, die derzeit auf US-Servern lagern, müssen in EU-Rechenzentren übertragen werden. Eine entsprechende Anordnung machte heute, Montag, der Europäische Datenschutzausschuss öffentlich. Meta muss außerdem 1,2 Milliarden Euro Bußgeld zahlen – eine Rekordstrafe.

Zuvor hatte Meta gegenüber Investoren mitgeteilt, dass die Anordnung aus Irland rund 10 Prozent seiner weltweiten Einnahmen infrage stelle. Facebook und Instagram finanzieren sich aus Werbung, die zielgerichtet an einzelne Nutzer:innen oder Gruppen ausgespielt wird. Dafür wertet der Meta-Konzern selbst intimste Details aus dem Leben seiner Nutzer:innen aus. Laut geleakten internen Dokumenten ist jedoch das Datenmanagement bei Meta chaotisch, eine Trennung der europäischen Daten vom Rest der Welt schwierig. Der Konzern hat in der Vergangenheit immer wieder gewarnt, er werde Facebook und Instagram in Europa abschalten, falls europäische Behörden die Datentransfers in die USA stoppen.

Die Entscheidung der irischen Behörde kommt zu einem heiklen Zeitpunkt. Im Vorjahr hatten Kommissionspräsidentin Ursula von der Leyen und US-Präsident Joe Biden einen neuen Rechtsrahmen für Datentransfers zwischen der EU und den USA verkündet. Meta hofft, dieser neue EU-Beschluss könnte seine rechtlichen Probleme in Europa lösen. Die EU-Kommission hat den notwendigen Beschluss, dass das Datenschutzniveau in den USA nach europäischen Standards angemessen ist, allerdings noch nicht getroffen. Kritiker:innen wie der Datenschützer Max Schrems wenden ein, dass auch neu angekündigte Schutzmaßnahmen keine ausreichende Sicherheit gegen Überwachung durch US-Geheimdienste bieten würden. Ähnliche Bedenken hatte zuletzt auch das EU-Parlament angemeldet.

Schrems „froh über diese Entscheidung“

Wegen Klagen von Schrems hatte der Europäische Gerichtshof im vergangenen Jahrzehnt zweimal EU-Beschlüsse gekippt, die den Datenschutz in den USA pauschal als gleichwertig zur EU einstufen. Auch der aktuelle irische Strafbeschluss gegen Meta geht auf eine Datenschutzbeschwerde von Schrems und seiner Nichtregierungsorganisation noyb zurück. Die irische Datenschutzkommission, die bei grenzüberschreitenden Beschwerden gegen Meta federführend zuständig ist, hatte eine Entscheidung in dem Verfahren lange verzögert. Erst im April hatte der EU-Datenschutzausschuss, in dem alle europäischen Datenschutzbehörden vertreten sind, eine verbindliche Entscheidung erzwungen. Nun vollzog die irische Behörde den gemeinsamen EU-Beschluss.

„Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit“, sagte Schrems. Allerdings hält der österreichische Datenschützer die Anordnung und das Bußgeld für unzureichend. Die Datenschutzgrundverordnung macht Bußgelder von bis zu vier Prozent des globalen Umsatzes eines Konzerns möglich, bei Facebook wäre das ein Betrag in Höhe mehrerer Milliarden Euro. Dies wäre im gegebenen Fall angemessen gewesen, meint Schrems, da „Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen.“

Laut der irischen Anordnung erhält Meta eine Übergangsfrist von fünf Monaten, um europäische Nutzer:innendaten in die EU zu holen. Noch ist unklar, wie sich die Entscheidung auf das Geschäft von Meta und seiner Dienste Facebook und Instagram auswirken wird. Meta kündigte in einer Stellungnahme an, gerichtlich gegen die Entscheidung vorzugehen. Auch hofft der Konzern demnach, dass der neue Datenschutzrahmen zwischen EU und USA rechtzeitig beschlossen werde und eine Änderung bei seinen Datenschutzpraktiken unnötig mache. Andernfalls drohten „Störungen“ bei Metas Diensten.

Dass es bald kein Facebook oder Instagram in Europa gibt, glaubt der Datenschützer Schrems nicht. „Die leeren Drohungen von Facebook, dass sie ihre Dienste in Europa einstellen werden, sind lächerlich. Europa ist bei weitem der größte Markt für Facebook außerhalb der USA.“ Wolle Meta seine Dienste allerdings weiter betreiben, müsse es seine Datensilos trennen – und europäische Daten auf Servern in der EU besser schützen.

Update: Die Stellungnahme von Meta im vorletzten Absatz wurde nach Veröffentlichung des Artikels hinzugefügt.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

18 Ergänzungen

    1. Warum eigentlich „Weitergabe“?
      Die Daten sollen dort gespeichert werden,wo sie ins Netz gehen.
      Man kann eh von überall darauf zugreifen.

  1. „Alle personenbezogenen Daten aus Europa, die derzeit auf US-Servern lagern, müssen in EU-Rechenzentren übertragen werden.“ – Toll.

    So als ob das Internet nicht dazu da ist, Daten aus beliebigen Standorten an beliebige Endpunkte zu übertragen.

    So als ob, der CloudAct, der amerikanisch gelesene Unternehmen verpflichtet Daten an amerikanische Behörden weiterzuleiten, nicht existierte.

  2. meint Schrems, da „Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen.“

    ah ja, die DSGVO, die seit 2018 gilt…. da kann man auch schon mal 10 Jahre lang gegen verstoßen… ach Herr Schrems…. naja, in Europa ist ohnehin alles viel besser, keine Geheimdienste, keine Datenspeicherung, Rechtsbehelfe gegen alles, sind ja auch alle so kompetent hier. Da muss man schon zusehen, dass mir wenn ich mich für´s Häkeln interessiere, keine Werbung über Häkelwolle zugespielt wird. So wichtig!

  3. Die zweite gute Artikel-Nachricht des Tages:

    Einer der größten Datenkraken werden endlich die Tentakel gekürzt.

    Dieser Schritt ist überüberfällig und sollte hiesige und EU-ansässige (Polit)-Institutionen dazu bewegen, auch in unseren digitalen Vorhaben umzudenken und sich immer das bewusst zu machen, was ich zuletzt an anderer Stelle kommentiert hatte:

    DER BÜRGER MUSS ÜBER SEINE DATEN UND DEREN WEITERGABE ENTSCHEIDEN UND SONST KEINER!

    Danke, Max Schrems!! Denn: Steter (und sehr kompetenter) Tropfen höhlt den Stein ;-)

  4. Ich glaube wir sind uns noch gar nicht darüber bewusst, welche langfristigen Konsequenzen dies für das Internet hat. Wir sehen nur wie ein Unternehmen betraft wird, welches von den Daten seiner Benutzer’innen lebt. Nur dies ist ja gar nicht die Begründung, die Begründung ist, dass amerikanische Geheimdienste auf die Daten zugriff haben, dabei spielt für die der Standort der Daten nun wirklich keine Rolle. Ich bin fest davon überzeugt, dass diese Entscheidung uns in Europa noch einmal so richtig in den Hintern treten wird. Weil wir nicht über die Nutzung von Daten und Tracking diskutieren, sondern darüber wo die Daten liegen. Dabei spielt es eigentlich keine Rolle, ob die Daten in Frankfurt oder New York liegen. Der Zugriff ist von überall möglich. Schrems und Schrems II waren keine Urteile die den Datenschutz geholfen haben. Zumindest nicht langfristig.

    1. Thomas B.: Diese Aussagen sind nur bedingt richtig. Es ist keineswegs gleichgültig, wo die Daten liegen. Das Internet ist zwar mit wenigen Ausnahmen per se global verbreitet, aber wenn Server in Europa liegen, dann können deren Betreiber verpflichtet werden, Schutzmaßnahmen zu ergreifen, die z. B. in den USA kraft Gesetzes (z. B. Patriot Act u. ä.) nicht gelten.

      Das Urteil ist ein sehr guter Anfang, aber dabei darf es nicht bleiben. Der Datenschutz per se muss das oberste Entscheidungskriterium bei der Bereitstellung und Nutzung jeglichen Internetverkehrs sein; dies natürlich auch ausserhalb der USA und damit in der EU.

      Die EU muss ganz entschieden gegen den Abgriff von Daten vorgehen, wie ihn die USA mit diversen „Wünschen“ (respektive Erpressungversuchen) am liebsten praktizieren würden. Hier ist (bisher) nicht der Begriff „Partnerschaft“, sondern „Hörigkeit“ treffend. Eine Partnerschaft ist von gegenseitigem Respekt geprägt, und davon sind die USA weit entfernt.

      Das setzt aber ein komplettes Umdenken nicht nur bei der EU-Gesetzgebung, sondern auch in der Gestaltung EU-/nationalbehördlicher Systeme voraus. Dass die EU dazu noch lange nicht bereit ist, zeigen etliche Artikel hier.

      1. Nur, das Internet ist dazu da zu kommunizieren, dazu miteinander zu reden. Ich kenne viele Menschen in den USA mit denen ich nur übers Internet rede. Jedes Mal wenn ich mit den Kommunziere, werden personenbezogende Daten in die USA übertragen. Ob die Daten auf einem europäischen oder amerikanischen Server liegen ist dabei unwichtig. Sie landen auf einem Computer in den USA. Wenn man diese Entscheidung bis zum Schluss denkt, wäre dies der Tot des Internets, es gebe dann ein USA-Netz und ein EU-Netz, mit einer scharfen Grenze dazwischen.

        Hier geht es nicht darum, ob ich Meta mag oder nicht. Denn es betrifft auch am Ende andere Dienste. Und es ist nun einmal so, dass bisher kaum ein europäischer Internetdienst auch nur annährend konkurrenzfähig ist.

        Das einzige womit die Werbung machen ist Datenschutz, nur das war so viel Aufwand, dass es für Usability und Frontend-Design nicht mehr gereicht hat. *seufz*

        1. Thomas B.: Es ist eine Frage des Designs, wie man kommuniziert. Die Tatsache, dass Meta oder andere Riesen aus den USA für sich ein Kommunikations-Monopol beanspruchen, bedeutet nicht das Nicht-Vorhandensein sehr guter Alternativen. Dasselbe gilt für Messenger wie Whatsapp etc. All diese Dienste sind keineswegs konkurrenzlos; im Gegenteil, es gibt sehr sichere Kommunikationsmittel (vgl. hierzu z. B. privacy-handbuch.de, die „Empfehlungsecke“ auf kuketz-blog.de u. a.)

          Das Internet würde keineswegs sterben, käme man von den Praktiken der US-Dienste und -Unternehmen weg. Es existiert seit ca. 1995, und Meta bzw. Facebook seit ca. 2004. Allein das beweist die Unstimmigkeit Ihrer Aussage.
          Dass andere Dienste nicht konkurrenzfähig seien, ist ein Mythos, der eher auf der Meinung der konditionierten User als auf von Meta gebotener Qualität beruht. Quantität bedeutet keineswegs Qualität, und das betrifft nicht nur den in dem Fall kaum vorhandenen Datenschutz, sondern auch, wie Meta und andere Dienste mit ihren Nutzern umgehen.

          Hätte die Politik die Entwicklung des Netzes nicht allein dem Markt überlassen und hätte sie von Anfang an (auch deshalb) Datenschutz und damit z. B. Verschlüsselung zum internationalen Standard – auch für kommerzielle Systeme – erhoben und die anfangs durchaus problematische „Usability“ der Verschlüsselung aufgewertet, dann wäre vieles einfacher und sicherer. Daten wären von Anfang an vor dem Zugriff Dritter geschützt und ein hypothetisches „US-“ oder „EU-Netz“ überflüssig.

          Dass man seitens der Politik, der Wirtschaft daran nichts ändern will, ist bekanntermaßen ein (hier) ebenso viel diskutiertes wie komplexes Problem.

    2. Schon mal mit HIPAA-klassifizierten Daten zu tun gehabt? In dem Fall schauen US-Behörden durchaus hin, wie die gehandhabt werden sollen – schon bevor die ersten gespeichert werden. Cloud Act gilt trotzdem, aber die mal eben für eigene Geschäftszwecke außerhalb der definierten Nutzung auslesen ist eher … riskant.

  5. Wie steht es denn um den Datentransfer der anderen Tech-Unternehmen, z.B. Microsoft, Google, Apple, Amazon, … Auf die müsste doch das gleiche Problem zutreffen, oder sind die erstmal aussen vor da sich die Klage „nur“ am konkreten Fall von Facebook orientiert hat?
    Es kann ja nicht Sinn der Sache sein jedes Unternehmen einzeln zu verklagen.

    Trotzdem eine gute Nachricht – auch wenn der Cloud Act die Daten auf europäischen Servern nicht so sicher sein lässt, wie es zunächst scheinen mag.

    1. Ich bin nicht sicher, was z.B. bei B2B gelten würde, allerdings haben wir für Nutzerdaten nicht zum ersten mal das Thema mit dem Cloudstandort, auch für Microsoft, Amazon und co.

      Als Präzedenzfall wäre das schon nützlich. Würde es z.B. bei Amazon abgelehnt, hätten wir wieder einen schweizer Käse. Kaufdaten sind ja auch sensibel.

      Unterschiedsbildend (no lawyers here) könnte ich mir vorstellen: Klarnamenpflicht bzw. derartige Daten in Massen, öffentliche einsehbare Profile, die auch so gedacht sind, vs. Gruppenchat u.ä.

    2. heise.de schreibt dazu:

      „Wesentlich größere Auswirkungen könnten aus anderen Bestandteilen der heute veröffentlichten Entscheidung des Europäischen Datenschutzausschusses folgen.

      Denn über den in der Datenschutzgrundverordnung vorgesehenen Mechanismus hinaus, bei dem sich die Aufsichtsbehörden aus allen DSGVO-Staaten zusammensetzen und über Sachverhalte beraten, hat dieser auch jenseits der reinen Strafhöhe klare Auffassungen formuliert. So stellen die Datenschutzaufseher etwa ganz am Schluss ihrer 222 Seiten langen Entscheidung fest:

      __ „Die Analyse dieser Entscheidung zeigt eine Situation auf, in der jede Internetplattform, die unter Definition eines elektronischen Kommunikationsdiensteanbieters Gegenstand des US-Auslandsspionagegesetzes (FISA) 702-Prism-Programm sein kann, gleichermaßen gegen die Anforderungen des Kapitels 5 der Datenschutzgrundverordnung und der Grundrechte-Charta der EU fallen dürfte, soweit es die Übertragung personenbezogener Daten in die USA betrifft.“ __

      Allein dieser Satz dürfte für die meisten US-Anbieter eine knallharte Warnung sein.“

      (s.: https://www.heise.de/hintergrund/Meta-Beschluss-der-Datenschutzaufsicht-Mehr-als-nur-eine-Milliardenstrafe-9062055.html )

  6. Bei einer so einen hohen Geldstrafe, warum gibt es da keinen Haftbefehl. Sowas ist Leistungserschleichung im großen Stil. Schwarzfahrer kommen schnell in Erzwingungshaft.

Ergänzung an Anonymous Ergänzung abbrechen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.