Überwachung: 1,2 Milliarden Euro Rekordstrafe für Facebook

746 Millionen Euro: Das war bisher die größte Strafe einer europäischen Behörde wegen Datenschutzverletzungen in Europa. Sie betraf Amazon. Nun wurde Meta, der Konzern hinter den Plattformen Facebook, WhatsApp und Instagram, zu einer Rekordstrafe von 1,2 Milliarden Euro verdonnert. Die irische Datenschutzbehörde brauchte allerdings 10 Jahre, um zu dieser Entscheidung zu kommen.

Vor 10 Jahren hat der Datenschutzaktivist Max Schrems, der damals in Wien Jus studierte, seine Beschwerden gegen Facebook eingebracht. Es folgten zahlreiche größere und kleinere Gerichtsentscheidungen. Etwa kam die irische Datenschutzbehörde zu dem Schluss, dass personenbezogene Werbung nicht ohne Zustimmung der Nutzer*innen möglich sei.  Ein jahrelanges Verfahren in Österreich von Schrems gegen Facebook ging 2020 damit aus, dass Facebook dem Datenschutz-Aktivisten 500 Euro zahlen und seine vollständigen Daten aushändigen musste.

Das Verfahren, auf dessen Urteil nun diese Rekordstrafe von 1,2 Milliarden Euro beruht, war ausgelöst worden, weil Schrems hinterfragt hatte, ob die Daten von Europäer*innen bei der Übertragung in die USA überhaupt adäquat geschützt sein können, schließlich sind seit Edward Snowden die US-Überwachungsgesetze bekannt.

Zahlreiche Überwachung durch die NSA

Vor zehn Jahren hatte der US-Whistleblower Edward Snowden enthüllt, dass es in den USA ein Überwachungsprogramm namens PRISM gab. Die NSA und das FBI zapften direkt zentrale Rechner und damit die Kund*innendaten von Internetkonzernen wie Apple, AOL, Google, Facebook, Microsoft, Yahoo oder Skype an. Die NSA hatte sogar Zugang zum internen Datenverkehr zwischen den Rechenzentren der US-Tech-Giganten.

„Geheimdienste in den USA können Daten von Menschen erhalten, die nichts falsch gemacht haben. Wir wissen von den Enthüllungen von Snowden von Überwachungsprogrammen, die 10 Jahre im Einsatz sind. Jetzt gibt es sicher noch viele mehr, von denen wir nichts wissen, die in den USA zum Einsatz kommen“, sagte Schrems, vor ein paar Jahren im Gespräch mit der futurezone, als wir über das Verfahren berichteten.

Höchstrafe hätte 4 Milliarden Euro betragen

Nun zeigt er sich über die Rekordstrafe zwar erfreut, denkt aber, dass sie noch viel höher hätte ausfallen sollen: „Ich bin froh über diese Entscheidung nach 10 Jahren Rechtsstreit. Das Bußgeld hätte aber wesentlich höher ausfallen können, da die Höchststrafe bei über 4 Milliarden liegt und Meta 10 Jahre lang wissentlich gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat, um Profit zu machen."

Dass das Geld an den irischen Staat fließen wird, ist für Schrems ebenfalls enttäuschend. „Wir haben auch 10 Jahre lang gegen die irische Datenschutzbehörde geklagt, um zu diesem Ergebnis zu kommen. Wir mussten 3 Verfahren gegen die DPC anstrengen und haben dabei Millionen an Verfahrenskosten riskiert. Die irische DPC hat alles getan, um diese Entscheidung zu verhindern, wurde aber immer wieder von den europäischen Gerichten und Institutionen zurechtgewiesen. Es ist irgendwie absurd, dass die Rekordstrafe an Irland geht - den EU-Mitgliedstaat, der alles getan hat, um sicherzustellen, dass diese Strafe nicht verhängt wird."

Meta will Berufung einlegen

Meta hatte die Entscheidung der irischen Behörde bereits lange gefürchtet und auch bereits damit gedroht, sich eventuell ganz aus Europa zurückzuziehen. Für Meta wird die Entscheidung der irischen Behörde nämlich noch weitere Konsequenzen haben. Das Urteil umfasst nicht nur die Rekordstrafe, sondern auch Anweisungen zur Datenübertragung in die USA. Daten von Europäer*innen dürfen auf Basis der Standardvertragsklauseln nämlich nach Ablauf einer festgelegten Frist von 5 Monaten nicht mehr in die USA übertragen werden. Das gilt allerdings nur für Facebook, nicht für andere Plattformen oder Firmen.

Facebook will gegen die Entscheidung daher nach eigenen Angaben Berufung einlegen. Facebook sieht sich außerdem jetzt massiv benachteiligt gegenüber anderer US-Unternehmen, die weiterhin Daten in die USA übertragen dürfen, da das Urteil nämlich nur Meta betrifft. Gleichzeitig warnt Meta davor, dass das Urteil einen Präzdenzfall für zahlreiche andere Unternehmen schafft.

Politische Lösung muss aus den USA kommen

Ein Punkt, bei dem sich Facebook und Schrems einig sein dürften: „Es betrifft tausende Unternehmen und Organisationen, die davon abhängig sind, dass Daten zwischen den USA und Europa ausgetauscht werden, um ihre Services am Leben zu halten“, sagt Jennifer Newstead, Chef-Juristin bei Meta.

Laut Schrems lässt sich dieses Problem auch nur politisch und ausschließlich in den USA lösen. Dort müssen die Überwachungsgesetze (u.a. FISA 702) geändert werden. „Die einfachste Lösung wären vernünftige Garantien im US-Recht. Auf beiden Seiten des Atlantiks besteht Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung brauchen. Bisher gilt das aber nach US-Recht nur für die eigenen Bürger*innen. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren“, sagt Schrems. FISA 702 muss bis Ende des Jahres sowieso neu genehmigt werden, da könnte man diese Änderungen – rein theoretisch -  einarbeiten.

An seiner Datenübertragunspraxis muss Meta vorerst - im ersten Schritt während der Übergangsfrist - übrigens nichts ändern. Bis dahin sollte seitens der EU ein neues Abkommen mit den USA in Kraft getreten sein, auf dessen Basis Daten übertragen werden dürfen. 

Datenabkommen löst das Problem nicht

Davon hält Schrems allerdings nicht viel: "Meiner Meinung nach hat das neue Abkommen vielleicht eine zehnprozentige Chance, nicht vom EuGH gekippt zu werden. Solange die US-Überwachungsgesetze nicht geändert werden, wird Meta die EU-Daten wahrscheinlich in der EU behalten müssen", so Schrems. Schrems, der mit noyb.eu mittlerweile einen Datenschutzverein gegründet hat, hatte bereits zweimal erfolgreich gegen die Weitergabe seiner persönlichen Facebook-Daten in die USA vor dem EuGH geklagt. Im Oktober 2015 kippte der EU-Gerichtshof das "Safe Harbor"-Abkommen wegen der Massenüberwachung durch US-Geheimdienste, das bis dahin den unkomplizierten Datenaustausch der Europäer mit den USA regelte. Die EU-Kommission hat daraufhin 2016 ein neues Datenaustauschabkommen - das "Privacy Shield" (Datenschutzschild) - mit den USA angenommen, das ebenfalls gekippt wurde.