Am heutigen Montag hat der zehnjährige Fall über Metas Beteiligung an der US-Massenüberwachung zu einer ersten Entscheidung geführt. Meta muss jede weitere Übermittlung europäischer personenbezogener Daten an die Vereinigten Staaten unterbinden, da das Unternehmen den US-Überwachungsgesetzen unterliegt. Der Europäische Datenschutzausschuss hob die Entscheidung der irischen Datenschutzbehörde weitgehend auf und verlangte außerdem eine Rekordstrafe in Höhe von 1,2 Milliarden Euro sowie die Rückübertragung bereits übermittelter Daten in die EU.
Kurz nach der Verkündung der Entscheidung meldete sich auch der Staatssekretär für Digitalisierung und Telekommunikation, Florian Tursky, zu Wort: "Das Urteil zeigt: Auch amerikanische Hyperscaler müssen sich an unsere Gesetze in Europa halten. Die Facebook-Mutter Meta hat sich offenbar nicht an ein Urteil gehalten und soll Nutzerdaten an die USA übermittelt haben. Die Strafe der irischen Datenschutzbehörde ist eine gute und richtige Entscheidung und ein klares Statement. Beim Thema Datenschutz dürfen wir keine Kompromisse zulassen und müssen zeigen, dass es dabei keine Ausnahmen gibt. In Zukunft wird uns der DSA (digital Service Act) noch mehr Möglichkeiten geben, indem er unter anderem verschärfte Haftungs- und Sicherheitsvorschriften gegen Hass im Netz für digitale Plattformen vorsieht, die wir rechtlich durchsetzen werden."
Schlag für Meta
Der Rechtsstreit läuft seit den Enthüllungen von Edward Snowden über die Unterstützung des NSA-Massenüberwachungsapparats durch US-Großunternehmen im Jahr 2013. Max Schrems brachte damals eine Beschwerde gegen Facebook (nun Meta) ein. Zehn Jahre lang hat Meta den Europäischen Gerichtshof (EuGH) und den Europäischen Datenschutzausschuss (EDSA) ignoriert. Nun muss Meta nicht nur eine Rekordstrafe in Höhe von 1,2 Milliarden Euro zahlen, sondern auch alle personenbezogenen Daten an seine EU-Rechenzentren zurückbringen.
"Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit. Das Bußgeld hätte wesentlich höher ausfallen können, da die Höchststrafe bei über vier Milliarden liegt und Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen. Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen", sagt Max Schrems.
Amazon, Google und Microsoft könnte es ähnlich ergehen
Der aktuelle Konflikt zwischen den EU-Datenschutzgesetzen und den US-Überwachungsgesetzen ist auch für alle anderen großen US-Cloud-Anbieter wie Microsoft, Google oder Amazon ein Problem. Das zugrunde liegende US-Überwachungsgesetz (FISA 702) muss bis Dezember 2023 neu autorisiert werden. Das Interesse an wesentliche Verbesserungen könnte nun nach dieser Strafe bei den US-Unternehmen größer werde. Zahlreiche Entscheidungen aus Frankreich, Italien oder Österreich haben die Nutzung von US-Diensten bereits für rechtswidrig erklärt. Die Behörden haben bisher jedoch keine hohen Geldstrafen verhängt.
"Die einfachste Lösung wären vernünftige Garantien im US-Recht. Auf beiden Seiten des Atlantiks besteht Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung brauchen. Bisher gilt das aber nach US-Recht nur für die eigenen Bürger. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren. Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein", so der Datenschutzaktivist.
Berufung wird erwartet
Schrems geht davon aus, dass Meta vor dem irischen und möglicherweise auch vor dem europäischen Gericht Berufung einlegen wird. Die Chancen, dass diese Entscheidung in wesentlichen Punkten aufgehoben wird, sind in seinen Augen gering. Denn der EuGH hat bereits in zwei Fällen entschieden, dass es keine gültige Rechtsgrundlage für Datenübermittlungen zwischen der EU und den USA zwischen mindestens 2007 und 2023 gab. "Meta wird gegen diese Entscheidung Berufung einlegen, aber es gibt keine reelle Chance, diese Entscheidung materiell zu ändern. Frühere Rechtsverletzungen können nicht durch ein neues Abkommen zwischen der EU und den USA beseitigt werden. Meta kann allenfalls die Zahlung der Geldbuße ein wenig hinauszögern", so Schrems.
Irische Datenschutzbehörde hat behindert statt geholfen
Als außergewöhnlich bezeichnet Schrems die Rolle der irischen Datenschutzbehörde (DPC) in dem Verfahren: „Zehn Jahre lang hat sie immer wieder versucht, den Fall zu blockieren. 2013 wies sie die ursprüngliche Beschwerde als ‚frivol' zurück und zwang uns bis zum EuGH zu klagen." Schließlich versuchte die DPC, Meta vor einem Bußgeld und der Löschung bereits übermittelter Daten zu bewahren. Der Europäische Datenschutzausschuss (EDSA) musste die nun DPC verpflichten, eine Strafe zu verhängen. Insgesamt führten diese Verfahren gegen die DPC zu Kosten von mehr als zehn Millionen Euro - das Bußgeld geht jedoch an den irischen Staat.
„Wir haben zehn Jahre lang gegen die irische Datenschutzbehörde geklagt, um zu diesem Ergebnis zu kommen. Wir mussten drei Verfahren gegen die DPC anstrengen und haben dabei Millionen an Verfahrenskosten riskiert. Die irische DPC hat alles getan, um diese Entscheidung zu verhindern, wurde aber immer wieder von den europäischen Gerichten und Institutionen zurechtgewiesen. Es ist irgendwie absurd, dass die Rekordstrafe an Irland geht - den EU-Mitgliedstaat, der alles getan hat, um sicherzustellen, dass diese Strafe nicht verhängt wird", konstatiert Schrems.
www.meta.com
www.facebook.com
Kommentar schreiben