wissen.de Artikel
Facebook und der Datenschutz
Vorbildlicher Datenschutz ist vermutlich nicht das Erste, was man mit sozialen Netzwerken wie Facebook oder Instagram in Verbindung bringt. Immer wieder ist die Rede von weitergereichten Profilinformationen, zum Beispiel zum Zwecke der personalisierten Werbung. Doch auch wenn normale Nutzer oft das Gefühl haben, sich gegen diese Machenschaften nicht wirklich wehren zu können, können Internetriesen sich nicht alles erlauben: Schon mehrfach mussten sie sich verantworten, wenn sie gegen europäische Datenschutzgesetze verstoßen haben. So auch aktuell, denn gegen den Facebook-Mutterkonzern Meta ist gerade erst eine weitere hohe Geldstrafe verhängt worden.
Warum muss Meta nun zahlen?
Meta hat gerade eine Rekordstrafe in Höhe von 1,2 Milliarden Euro kassiert, weil der Konzern gegen die europäische Datenschutzgrundverordnung (kurz: DSGVO) verstoßen hat. Diese regelt europaweit einheitlich, wie Unternehmen mit personenbezogenen Daten umgehen dürfen. Die in der DSGVO enthaltenen Regelungen sollen jedem Europäer mehr Selbstbestimmung und Kontrolle über seine persönlichen Daten ermöglichen – zumindest theoretisch.
Wie der Europäische Datenschutzausschuss urteilt, hat Facebook jedoch gegen die DSGVO verstoßen, indem es Nutzerdaten europäischer Nutzer trotz mehrfacher Verwarnungen weiterhin auf amerikanische Server überträgt. Diesen Transfer sehen europäische Datenschützer kritisch, denn die Gesetzeslage in den USA schützt die gesammelten Daten nicht so wie in Europa vor staatlicher Überwachung und Ausspähung.
Was hat Edward Snowden mit der Sache zu tun?
Die Debatte darum, dass Facebook die Daten seiner Nutzer nicht ausreichend schützt, ist bereits vor zehn Jahren entbrannt. Zu dieser Zeit hatte der ehemalige Mitarbeiter der National Security Agency (NSA) Edward Snowden enthüllt, dass die US-Geheimdienste über Jahre hinweg eine globale Massenüberwachung betrieben haben. Unter anderem hätten sie im großen Stil die Internetaktivitäten und Telefonate von Menschen auf der ganzen Welt ausgespäht, so Snowden.
Facebook war dabei eine Art Vermittler. Denn Paragraf 702 des US-Überwachungsgesetzes ermöglicht es amerikanischen Behörden, die Kundendaten großer Internetkonzerne wie Apple, Google, Microsoft und Facebook anzuzapfen. Teilweise wurden dafür eigens "Hintertürchen"und Schnittstellen eingerichtet. Zwar gibt es auch in den USA Datenschutzbestimmungen, diese gelten allerdings nur für US-Amerikaner. Die Nutzer anderer Nationalitäten hingegen dürfen schonungslos ausgespäht werden. Deshalb konnten damals unzählige Videos, Fotos, E-Mails, Dokumente und Kontaktdaten benutzt werden, um umfangreiche Profile über die jeweiligen Nutzer zu erstellen. Dieser Ausspäh-Skandal stimmt europäische Datenschützer bis heute skeptisch, denn die zweifelhafte Gesetzeslage ist nach wie vor dieselbe.
Wer hat gegen Facebook geklagt?
Eine Schlüsselfigur im Datenschutz-Ringen mit Facebook ist seit jeher der österreichische Datenschutzaktivist Max Schrems. Bereits 2013, im Zuge des von Snowden losgetretenen NSA-Skandals, hatte er bei der irischen Datenschutzaufsicht DPC erstmals Beschwerde gegen Facebook eingereicht. Da Meta seinen europäischen Hauptsitz in Dublin hat, ist Irland auch dafür verantwortlich, dass sich der Konzern an die EU-Regeln hält. Der DPC wird allerdings häufig vorgeworfen, zu lasch mit Meta umzugehen.
Damals wie heute ging es Schrems bei seiner Beschwerde um die mangelnden Datenschutz-Standards in den USA und darum, dass europäische Nutzerdaten auf amerikanischen Servern nicht ausreichend vor staatlicher Überwachung geschützt sind. Mit dem nun vom Europäischen Datenschutzausschuss verhängten Bußgeld ist Schrems seinem Ziel, die Datentransfers zu unterbinden, so nahe wie nie zuvor.
Wieso ist das Bußgeld so hoch?
Das gegen den Facebook-Mutterkonzern verhängte Bußgeld ist mit 1,2 Milliarden Euro das höchste, das jemals für DSGVO-Verstöße fällig geworden ist. Meta löst damit den früheren Rekordhalter Amazon ab, gegen den 2021 eine Geldstrafe in Höhe von 746 Millionen Euro verhängt worden war. Dass das Bußgeld für Meta so hoch ausfällt, hängt auch mit dem langen Zeitraum der Verstöße zusammen, wie Datenschutzaktivist Max Schrems erklärt: „Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.“ Da die Höchststrafe für DSGVO-Verstöße bei stolzen vier Milliarden Euro liegt, hätte es für Meta sogar noch teurer werden können.
Zusätzlich zu der Geldstrafe muss Meta allerdings jede weitere Übermittlung europäischer personenbezogener Daten an die USA unterbinden. Um diese Forderung umzusetzen, hat der Konzern nun fünf Monate Zeit. Außerdem sollen alle personenbezogenen Daten europäischer Bürger, die aktuell noch auf amerikanischen Servern liegen, in die EU zurückkehren. Dafür hat Meta eine Frist von sechs Monaten eingeräumt bekommen.
Wie hat Meta bisher gegen den Datenschutz verstoßen?
Meta ist nicht zum ersten Mal mit einem Bußgeld für Datenschutzverstöße bestraft worden. In der Liste der zehn höchsten DSGVO-Strafen belegt der Konzern mittlerweile sechs Plätze in den Top 10. Insgesamt summieren sich all diese Strafen inzwischen auf 2,5 Milliarden Euro. Bei einem Bußgeld im Januar 2023 ging es etwa darum, dass Meta die Datenschutzgrundverordnung umschiffen wollte, um die Daten seiner Nutzer weiterhin für personalisierte Werbung zu verwenden. 390 Millionen Euro hat Meta dieser Taschenspieler-Trick gekostet: 210 Millionen für Facebook und weitere 180 Millionen für Instagram.
Erst Ende November 2022 ist Meta bereits zu einem Bußgeld in Höhe von 265 Millionen Euro verurteilt worden. Diese Strafe war die Reaktion auf einen Datenschutz-Skandal, bei dem die persönlichen Daten von einer halbe Milliarde Facebook- und Instagram-Nutzer frei zugänglich in einem Hacker-Forum aufgetaucht waren. Hinzu kommen zahlreiche weitere kostspielige Datenschutz-Verstöße.
Wie geht es jetzt weiter?
Meta hat angekündigt, gegen die Entscheidung des Europäischen Datenschutzausschusses in Berufung zu gehen. Der Konzern möchte auch zukünftig nicht auf den Datentransfer zu amerikanischen Servern verzichten. „Die Möglichkeit der grenzüberschreitenden Datenübermittlung ist für das Funktionieren des globalen offenen Internets von grundlegender Bedeutung“, heißt es in einem Statement von Meta. Das entsprechende Gerichtsverfahren können sich nun über Jahre ziehen.
Hinzu kommt, dass in den nächsten Jahren womöglich ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft tritt, der den Datentransfer zwischen beiden neu regelt. Sollte der Transfer durch den Pakt dauerhaft gekappt werden, wird sich Meta wahrscheinlich komplett aus der EU zurückziehen. Damit hat der Konzern zuletzt immer wieder gedroht.