Droht Europa der Meta-Blackout? Erst hatte der US-Konzern, der früher als Facebook bekannt war, Anfang des Jahres selbst mit der Andeutung für Aufsehen gesorgt, dass er seine Dienste in der EU abschalten könnte. Jetzt heizt ein Bericht von Politico diese Drohungen erneut an. Demnach soll die irische Datenschutzbehörde planen, Meta explizit zu verbieten, Daten von EU-Bürger:innen in die USA zu übertragen. Der Konzern könnte das zum Anlass nehmen, Instagram und Co. in der EU einzustellen, so Politico.
Hintergrund: Seitdem der Europäische Gerichtshof vor zwei Jahren die Privacy-Shield-Entscheidung der EU für ungültig erklärt hatte, fehlt für den Export personenbezogener Daten in die USA in vielen Fällen die Rechtsgrundlage. Aufgrund der großen Abhängigkeit der Europäer:innen von US-Plattformen – etwa im Social-Media-Bereich, in der Online-Werbung oder auch im Cloud-Geschäft – senden diese unbeirrt weiter Daten über den Atlantik.
Die USA und die EU verhandeln deswegen unter Hochdruck über eine neue rechtliche Grundlage für den Datenverkehr. Doch bis diese so weit ist, machen immer mehr Datenschutzbehörden in Europa Druck, US-Dienste wie Google Analytics oder Facebook nicht mehr zu verwenden.
Ausgerechnet der irischen Datenschutzbehörde Data Protection Commission (DPC), die jetzt gegen Meta aktiv wird, wurde bislang oft vorgeworfen, zu lasch im Umgang mit den Datenkonzernen aus Übersee zu sein. Auch deshalb lässt die Information von Politico aufhorchen. Bekommt die DPC nun womöglich doch noch Zähne?
Vier Wochen Zeit für eine Stellungnahme
Die irische Behörde hat gegenüber netzpolitik.org bestätigt, dass sie eine entsprechende Anordnung vorbereitet und mit dem europäischen Datenschutzausschuss geteilt hat. Weil es sich um ein laufendes Verfahren handelt, könne sie den genauen Inhalt jedoch nicht mitteilen.
Auch der Bundesdatenschutzbeauftragte Ulrich Kelber bestätigt, dass er einen entsprechenden Vorschlag aus Irland erhalten hat. Details sind zu diesem Zeitpunkt allerdings auch vom ihm nicht zu erfahren. „Die Kolleginnen und Kollegen dort haben das Dokument als vertraulich eingestuft, weshalb ich Ihnen zu den Inhalten nicht mehr sagen kann“, erklärt Behördensprecher Christof Stein auf Anfrage.
Laut Artikel 60 der Datenschutzgrundverordnung haben die europäischen Datenschutzbehörden nach Vorlage eines Entscheidungsentwurfes vier Wochen Zeit, den Text der federführenden Kolleg:innen aus Irland zu prüfen und im Zweifelsfall zu widersprechen oder Verbesserungsvorschläge zu machen.
Der österreichische Jurist Max Schrems ist angesichts der Ankündigung aus Irland skeptisch. Er ging mit seiner NGO none of your business (noyb) mehr als ein Jahrzehnt lang vor Gericht gegen Facebook vor und hat damit die bisherigen Rechtsgrundlagen des transatlantischen Datenverkehrs weggefegt. „Wir gehen davon aus, dass hier auch etwas Show dabei ist“, erklärt Schrems nun zum möglichen Export-Verbot. Die Entscheidung werde noch Monate brauchen bis sie gültig ist und werde dann wohl von Facebook jahrelang vor Gerichten bekämpft, so Schrems zu netzpolitik.org.
Schrems: Zu lasch und zu spät
Die DPC könnte zudem darauf setzen, dass es bald ohnehin eine neue Rechtsgrundlage gibt. Damit Unternehmen Daten von EU-Bürger:innen unkompliziert in die USA weiterleiten können, braucht es eine Entscheidung der EU, dass das Datenschutzniveau im Zielland dem europäischen Standard entspricht. Eine solche Angemessenheitsentscheidung gibt es etwa für Japan und Großbritannien. Auch für die USA gab es sie schon zwei Mal: Safe Harbor und Privacy Shield.
Doch der europäische Gerichtshof hat sie nach Schrems‘ Klagen beide Male kassiert und dabei eine deutliche Sprache gesprochen: Rechtslage und Überwachungspraxis in den USA sind nicht mit dem europäischen Datenschutz in Einklang zu bringen. Schließlich weiß die Weltöffentlichkeit seit den Enthüllungen von Edward Snowden nicht nur, dass US-Gesetze Geheimdiensten weitgehenden Zugriff auf die Daten von Ausländer:innen gestatten, sondern auch, dass sie von diesen Möglichkeiten in erheblichem Maße Gebrauch machen.
In dieser Auseinandersetzung verortete Max Schrems die für Facebook/Meta federführend zuständige irische Datenschutzbehörde stets auf der Seite des US-Konzerns. Erst kürzlich warf er der irischen Datenschutzbeauftragten Helen Dixon vor, im Sinne des Unternehmens lobbyiert zu haben.
Zu netzpolitik.org sagt Schrems, dass es grundsätzlich schon richtig sei, Meta den Daten-Export mit einer Anordnung zu verbieten. Der Schritt brauche jedoch eine lange Umsetzungsphase und hätte bereits 2013 erfolgen müssen. „Dann wäre das Problem inzwischen gelöst“, so Schrems.
Facebook könnte auch anders
Kritisch sieht der Aktivist auch den Aspekt, dass die DPC offenbar nur künftige Übermittlungen verbieten will. „Es geht also um relativ unsichere zukünftige Fakten und Rechtslagen.“ Die permanenten Rechtsbrüche seit 2011 würden dann jedoch straffrei bleiben, so Schrems.
Am einfachsten wäre es freilich, wenn Meta und andere US-Konzerne entscheiden würden, selbstständig auf den Transfer der Daten nach Amerika zu verzichten. „Das geht bei den meisten Systemen durchaus“, sagt Schrems. Das koste aber eben Geld. Da die europäische Datenschutzbehörden die Datenschutzgrundverordnung „strukturell nicht durchsetzen“ würden, sparten sich die Unternehmen das Geld lieber.
Hilf mit! Mit Deiner finanziellen Hilfe unterstützt Du unabhängigen Journalismus.
0 Commentaires