Für Facebook hat das entscheidende Ringen um die Daten seiner europäischen Kunden begonnen, also auch von jenen in Deutschland. Die irische Datenschutzbehörde hat den Konzern gewarnt, dass sein Datentransfer unter dem Atlantik hindurch wohl illegal ist, weil die Daten nicht sicher vor den Geheimdiensten der USA sind. Das geht aus einem Blogpost von Facebooks Cheflobbyist Nick Clegg hervor. Auch Politico und das Wall Street Journal berichteten über das bevorstehende Verbot der sogenannten Standardvertragsklauseln durch die Behörde. Mit denen sichert Facebook sein Geschäft mit Daten aus der EU bislang ab. Facebook muss nun entweder einen Weg finden, sein Geschäft so umzubauen, dass es nach EU-Recht wieder legal ist - oder sein Geschäft in der EU einstellen. Letzteres wird der Konzern, zu dem auch Instagram und Whatsapp gehören, sicherlich nicht tun, doch so ein Umbau wäre ein einmaliger Vorgang - allerdings wohl nicht der letzte seiner Art.
Denn es geht um viel mehr als um Facebooks Umgang mit Nachrichten, Fotos und Likes. Die irische Entscheidung wird der Präzedenzfall sein, wie Daten im Wert von Milliarden Euro aus Tausenden Unternehmen zwischen USA und EU transferiert werden dürfen. Die Drohung aus Dublin ist der erste konkrete Schritt für die Abtrennung der Datenströme der EU von den USA. Sie trifft Facebook, den Konzern im Zentrum des Streits, der das Ende des "Privacy Shield" einleitete. Die Abmachung zwischen EU und USA von 2016 sollte den Europäern garantieren, dass ihre Daten für den Auslandsgeheimdienst NSA tabu sind. Mit dem Deal tat die EU, als wären die USA ein sicherer Ort mit einem ähnlichen Datenschutzniveau wie die EU, wo die Datenschutz-Grundverordnung (DSGVO) gilt. Doch im Juli kippte der Europäische Gerichtshof (EuGH) die Abmachung. Auch mit den eingebauten Schutzmechanismen, darunter einem Ombudsmann für EU-Bürger in den USA, könnten US-Geheimdienste praktisch ungehemmt auf die Daten zugreifen. Nun warten Unternehmen auf die konkrete Ausgestaltung des Urteils, vor allem darauf, was mit einer Hintertür passieren würde: Die Richter hatten offengelassen, unter welchen genauen Umständen Unternehmen noch sogenannte Standardvertragsklauseln nutzen durften. Das sind von der EU vorformulierte Textpassagen, die Unternehmen in Verträge kopieren können, um Daten legal fließen zu lassen. Doch das ist nun vorbei. Auf die Klauseln hatten sich Facebook und andere Technologiekonzerne nach dem Urteil gestützt. Nun hat die irische Aufsicht offensichtlich entschieden, dass auch die Klauseln die Daten nicht ausreichend schützen können. Die Behörde ist für Facebook zuständig, der Konzern hat seinen EU-Sitz in Dublin. Lange musste sie sich vorwerfen lassen, zu zahm mit Facebook umzugehen. Schließlich waren US-Konzerne vor allem nach Dublin gezogen, um Steuern zu sparen. Auf eine Anfrage der SZ wollte die Behörde den Vorgang nicht kommentieren.
Die irische Behörde könnte den Konzern für Verstöße bis zu vier Prozent seines Jahresumsatzes zahlen lassen - was in Facebooks Fall in die Milliarden gehen dürfte. Endgültig hat Dublin noch nicht entschieden, Facebook und andere Behörden werden noch gehört. Von Oktober an könnte das Verbot kommen. Wohl deshalb strotzen Nick Cleggs Äußerungen vor Warnungen: Schlimmstenfalls könne bald ein "kleines Start-up aus Deutschland" keinen US-Cloudanbieter mehr nutzen. Corona-Warn-Apps, die derzeit noch Standardklauseln nutzen, könnten Probleme bekommen. Dass die Behörde wirklich umgehend einen Systemwechsel im transatlantischen Datenfluss einläutet, bezweifelt Max Schrems, der vor dem EuGH den Privacy Shield ebenso kippte wie 2015 die Vorgängerabmachung "Safe Harbor". Er begrüßte das Verfahren in Dublin zwar, nannte es aber "sehr halbherzig". Facebook habe seine Argumentation längst wieder gewechselt und sichere seine Daten nicht mehr nur auf Basis der Standardklauseln ab, sondern auch mit einer anderen Ausnahme der DSGVO, dem Artikel 49. Schrems wirft den Aufsehern und Facebook vor, das Verfahren gemeinsam mit dieser "Salamitaktik" um weitere Jahre strecken zu wollen.
Facebook wollte sich nicht dazu äußern, wie es nach einem Transferverbot sein System entflechten würde. Um rechtlich sauber zu bleiben, müssten Daten aus der EU dann getrennt von denen in den USA verarbeitet werden. Schrems stellt sich ein "föderiertes soziales Netzwerk" vor, "gespalten in zwei Teile, die technisch unabhängig sind. Es würden nur noch absolut notwendige Daten zwischen diesen Systemen ausgetauscht, etwa wenn ich eine Nachricht an einen US-Freund schicke."
Allerdings haben die USA ihren Ermittlern mit dem sogenannten Cloud-Gesetz schon ein neues Werkzeug gegeben, um auch auf Daten von US-Unternehmen zuzugreifen, die in Europa lagern.
