Es ist die bislang grösste Strafe, die in der EU gegen ein Tech-Unternehmen wegen Datenschutzverstössen verhängt worden ist: Der Facebook-Konzern Meta soll ein Bussgeld von 1,2 Milliarden Euro zahlen. Das teilte die irische Datenschutzbehörde am Montag in Dublin mit. Die Data Protection Commission (DPC) erklärte, dass der US-Konzern die europäische Datenschutzgrundverordnung (DSGVO) verletzt habe und deshalb keine personenbezogenen Daten europäischer Nutzer mehr an die USA übermitteln dürfe. Mit der Strafe endet vorerst ein Verfahren, in dem es um die Beteiligung von Facebook an der Massenüberwachung durch amerikanische Geheimdienste geht, die vor zehn Jahren vom US-Whistleblower Edward Snowden aufgedeckt wurde.

In ihrer Entscheidung legt die irische Datenschutzbehörde dar, dass Facebook bei Datenübertragungen von Europa in die USA für keine angemessenen Sicherheitsvorkehrungen gesorgt habe. Das Unternehmen habe «die Risiken für die Grundrechte und -freiheiten» der Nutzer nicht berücksichtigt, obwohl der Europäische Gerichtshof (EuGH) einen besseren Schutz von personenbezogenen Daten vor US-Überwachungsprogrammen gefordert habe. Laut der irischen Datenschutzbehörde hat der US-Konzern nun fünf Monate Zeit, um «jede künftige Übermittlung personenbezogener Daten in die USA» auszusetzen. Darüber hinaus muss Facebook binnen eines halben Jahres die Verarbeitung aller personenbezogener Daten europäischer Bürger in den USA einstellen, dazu zählt auch das Speichern dieser Daten.

Nick Clegg, ehemaliger Chef der britischen Liberaldemokraten und nun für Meta als «President Global Affairs» tätig, kritisierte die Entscheidung der irischen Datenschutzbehörde als «fehlerhaft und ungerechtfertigt». Damit werde ein gefährlicher Präzedenzfall für zahllose andere Unternehmen geschaffen, die Daten zwischen der EU und den USA transferieren, sagte er. Experten gehen davon aus, dass der US-Konzern rechtlich gegen die Entscheidung vorgehen wird. Ein Gerichtsverfahren dürfte sich allerdings über Jahre hinziehen.

Die USA dringen seit Jahren auf den Zugang zu personenbezogenen Daten

Während dieser Zeit könnte ein neuer Pakt zwischen der EU und den USA in Kraft treten, mit dem der transatlantische Datenverkehr neu geregelt wird. Erst im Oktober hatte US-Präsident Joe Biden eine sogenannte Executive Order unterzeichnet, in der die Massnahmen aufgeführt sind, die die USA ergreifen werden, um ein mögliches neues Datenschutzabkommen mit der EU zu schliessen. Die Verhandlungen laufen derzeit. Laut EU-Diplomaten könnte es bis Ende Juli zu einer Einigung kommen. Einfach wird das nicht, denn im Streit zwischen Brüssel und Washington geht es um einen grundlegenden Rechtskonflikt. Die USA dringen seit Jahren auf den Zugang zu personenbezogenen Daten, um Gefahren abwehren zu können. Mit dem Datenschutzverständnis der EU hat das jedoch wenig gemein.

Aus Sicht von Unternehmen und Datenschutzexperten ist ein neues Abkommen jedoch dringend nötig, nachdem der EuGH im Jahr 2020 entschieden hatte, dass ein früherer Datenschutzpakt – das sogenannte Privacy Shield – die Daten europäischer Nutzer nicht ausreichend vor der Überwachung durch die USA schütze. Der österreichische Datenschutz-Aktivist Max Schrems hatte damals eine Beschwerde gegen Facebook eingebracht. Was die nun verhängte Strafe betrifft, so hätte diese nach seiner Ansicht wesentlich höher ausfallen können: «Die Höchststrafe liegt bei über vier Milliarden.» Meta habe jahrelang wissentlich gegen die DSGVO verstossen, um Profit zu machen.

Seit die Datenschutzgrundverordnung im Mai 2018 in Kraft trat, wurden bereits Strafen in Höhe von insgesamt vier Milliarden Euro verhängt. Meta ist in der Liste der zehn höchsten Bussgelder nun gleich sechsfach vertreten, die Strafen summieren sich mittlerweile auf 2,5 Milliarden Euro. Im Fall des US-Konzerns ist die irische Datenschutzbehörde für etwaige Geldbussen zuständig, da sich die EU-Zentrale von Meta in Irland befindet. Aus Sicht von Datenschutz-Aktivisten ist das allerdings ein Problem: Sie werfen der irischen Behörde vor, zu zaghaft mit grossen US-Techfirmen umzugehen, die in Irland ihre Europazentrale haben. Letztlich reagierte die irische Datenschutzbehörde auf Druck aus Brüssel. Der dort ansässige Europäische Datenschutzausschuss (EDSA) sorgte de facto dafür, dass die irische Data Protection Commission die 1,2-Milliarden-Strafe gegen Facebook verhängte.

Aus Sicht von Meta kommt die Geldbusse zu keinem guten Zeitpunkt. Der US-Konzern hat zwar immer noch einen Börsenwert von 630 Milliarden Dollar, tut sich aber zunehmend schwer damit, die eingebrochenen Werbeeinnahmen auszugleichen. Es gab bereits mehrere Entlassungsrunden. Meta-Chef Mark Zuckerberg hat wohl nicht ohne Grund ein «Jahr der Effizienz» angekündigt.

Fehler gefunden?Jetzt melden.