Brüssel Die EU-Rekordstrafe gegen den Facebook-Konzern Meta versetzt die deutsche Wirtschaft in Unruhe. Die Entscheidung sei „ein Weckruf auch für deutsche Unternehmen“, sagt Rebekka Weiß, Leiterin Vertrauen und Sicherheit beim Digitalverband Bitkom. „Sie sollten schnell prüfen, ob ihre Datenschutzmaßnahmen ausreichen.“
Die irische Datenschutzbehörde IPC hatte am Montag entschieden, dass das soziale Netzwerk Facebook die persönlichen Informationen von EU-Bürgern nicht ausreichend vor dem Zugriff amerikanischer Geheimdienste geschützt hat. Deshalb soll der Meta-Konzern nun eine Geldbuße von 1,2 Milliarden Euro zahlen. Das Unternehmen will in Berufung gehen.
Die Entscheidung ist brisant, weil sie einen Präzedenzfall schafft. „Jede Firma, die Daten in die USA schickt, ist in der gleichen Lage wie Meta“, sagt Michael Kamps von der Berliner Anwaltskanzlei CMS.
Meta habe sich mit den vorgeschriebenen Standardvertragsklauseln geschützt und sogar noch zusätzliche technische Prozesse aufgesetzt. Die Datenschützer forderten jedoch eine stärkere Verschlüsselung der Nutzerdaten.
Das Kernproblem besteht darin, dass die US-Gesetze den Nachrichtendiensten die umfangreiche und anlasslose Überwachung von Nutzern erlauben – während die europäische Datenschutz-Grundverordnung (DSGVO) genau diese verbietet. Keine Firma könne diesen Grundsatzkonflikt lösen, meint Kamps. Meta sei nur aufgrund seiner Prominenz ins Visier der Datenschützer geraten.
Kamps erwartet, dass auch die deutschen Datenschutzbehörden durch die Entscheidung motiviert werden, selbst stärker gegen Firmen vorzugehen. Die Zahl der Bußgelder in Deutschland steige, sagt er.
Bis zu vier Prozent des weltweiten Umsatzes können die Datenschutzbeauftragten als Strafe auferlegen, wenn Unternehmen achtlos Daten in Ländern speichern, in denen das Datenschutzniveau nicht dem europäischen entspricht. Die Strafe gegen Meta entspricht gut einem Prozent des weltweiten Umsatzes von 2022.
Ist der Datenaustausch mit den USA jetzt verboten?
Jedes Unternehmen, das personenbezogene Daten speichert, muss diese vor unberechtigtem Zugriff schützen. Wenn Daten außerhalb der EU gespeichert werden, kann es kompliziert werden. Die EU erkennt den Datenschutz mancher Staaten als gleichwertig an. Dazu zählt unter anderem Großbritannien.
Bei anderen Staaten müssen die Unternehmen selbst sicherstellen, dass der Datenschutz gewährleistet ist – auch bei den USA. Das können sie etwa tun, indem sie besondere Verschlüsselungsverfahren verwenden.
Diese Verfahren werden in einem Vertrag mit dem Daten-Dienstleister vereinbart. Dabei können sogenannte Standardvertragsklauseln genutzt werden, die die EU-Kommission bereitgestellt hat. Auf dieser Basis ist der Datenaustausch mit den USA vorerst weiter möglich.
Was können Firmen tun, um eine Strafe zu vermeiden?
„Die Unternehmen dürfen das nicht auf die leichte Schulter nehmen“, sagt Datenschutzexpertin Weiß. „Sie müssen für jeden einzelnen Datentransfer prüfen, welchen Schutz es braucht.“
Es braucht also Fachjuristen, die prüfen, ob alle Vorschriften der DSGVO eingehalten werden. „Wer seinen Datenschutz unsystematisch geregelt hat, sollte das jetzt ändern“, sagt Weiß.
>> Lesen Sie hier: Verbraucherschützer warnen vor EU-Abgabe für Netflix, Youtube und Co.
In Einzelfällen kann es sogar notwendig sein, Lieferketten umzubauen, wenn diese zu eng mit dem Datenaustausch mit anderen Ländern verknüpft sind. Laut einer Umfrage von Bitkom hat mehr als die Hälfte der Unternehmen schon einmal Pläne für Innovationen gestoppt, weil sie sich durch den Datenschutz dazu gezwungen sahen.
Wann gibt es Rechtssicherheit?
Die EU arbeitet gerade daran, den Datenaustausch mit den USA zu vereinfachen. Dazu müssen die USA Garantien geben, die Daten von Europäern besonders zu schützen. Dann kann die EU den Datenschutz dort als gleichwertig anerkennen, womit rechtliche Unsicherheiten wegfallen.
Der Meta-Konzern soll nun eine Geldbuße von 1,2 Milliarden Euro zahlen.
(Foto: AP)
Die USA und EU haben sich bereits im Grundsatz auf ein neues Datenschutzabkommen geeinigt, allerdings muss dies auf beiden Seiten noch rechtsgültig umgesetzt werden.
Selbst wenn das Abkommen bald in Kraft sein sollte, bietet es laut Kamps noch keine Rechtssicherheit für Unternehmen.
Zweimal schon hat der Europäische Gerichtshof (EuGH) ein transatlantisches Datenabkommen für ungültig erklärt (erst Safe Harbor, dann Privacy Shield).
Der Datenschutzaktivist Max Schrems, der beide Klagen angestrengt hat, will auch das neue Abkommen anfechten.
>> Lesen Sie hier: Engere Grenzen für US-Geheimdienste: Biden ebnet Weg für neues transatlantisches Datenabkommen
Anwalt Kamps hält es für durchaus möglich, dass der EuGH zum dritten Mal ein Abkommen kippen wird. Denn auch dieses würde das Grundproblem nicht aus der Welt schaffen: dass EU-Bürger, die gegen die Überwachung in den USA klagen wollen, nur unzureichenden Rechtsschutz gegen die US-Regierung bekämen.
Lässt sich das Problem nicht auch anders lösen?
Es gibt theoretisch drei Wege, wie sich der Widerspruch zwischen dem US-Recht und dem EU-Recht auflösen ließe:
- Europäische Firmen schicken keine Daten mehr in die USA und umgekehrt. Meta hat bereits damit gedroht, seine Dienste in der EU nicht mehr anzubieten, wenn die rechtliche Lage nicht geklärt werde. Das Ergebnis wären nationale oder regionale Datensilos – und damit der „Tod des Internets“. Eine solche Entkopplung ihrer Datenräume wollen weder die USA noch die EU.
- Firmen müssen ihre Daten stärker verschlüsseln. Das setzt voraus, dass es immer neue Standards gibt, die die amerikanische Sicherheitsbehörde NSA nicht knacken kann. Die entscheidende Frage ist, wie teuer ein solches technisches Aufrüsten wäre – und ob es den transatlantischen Datenaustausch möglicherweise unpraktikabel macht.
- Die EU könnte ihre Datenschutz-Grundverordnung überarbeiten und sie realitätsnäher machen. Dafür fehlt jedoch der politische Wille. Auch wäre eine Reform nur begrenzt möglich, denn das Recht auf Datenschutz steht in der Europäischen Grundrechtecharta. Alternativ könnte auch die US-Regierung ihre Nachrichtendienste zügeln – auch das ist eher unwahrscheinlich.
Mehr: Meta muss 1,2 Milliarden Euro wegen Datenschutzverstößen zahlen
