Zunächst die Schlagzeile, mit der das stets gut informierte Portal Politico jüngst Internetnutzer aufgeschreckt hat: "Europa droht Facebook-Blackout". Zugegeben, die Zeile "Wie wenig Rücksicht große Internet-Plattformbetreiber auf die Datenschutzgrundverordnung (DSGVO) nehmen" wäre nicht ganz so griffig gewesen. Doch genau darum geht es, und ein näherer Blick auf das Thema lohnt sich, denn es gibt wieder Streit: Sind die Daten europäischer Nutzer bei US-Konzernen sicher? Der Konflikt um diese Frage könnte tatsächlich dazu führen, dass Facebook und Instagram in Europa offline gehen.
Das hängt mit den Plänen der irischen Datenschutzbehörde Data Protection Commission (DPC) zusammen. Irland spielt hierbei eine wichtige Rolle in der EU, weil Konzerne wie Meta, die Mutter von Facebook und Instagram, ihre Europa-Dependancen dort angesiedelt haben, böse Zungen sagen: aus steuerlichen Gründen. Die Iren wollen Meta nun verbieten, Nutzerdaten aus Europa in die USA zu schicken.
Ihren Entscheidungsentwurf hat die DPC Anfang Juli den anderen europäischen Datenschutzbehörden übermittelt. Diese haben nur bis Monatsende Zeit, dazu Stellung zu nehmen. Meta wiederum hat schon angedroht, im Fall einer endgültigen Entscheidung zu seinen Ungunsten seine sehr beliebten Dienste Instagram und Facebook in Europa abzuschalten.
Das Grundproblem: Unter welchen Bedingungen und Schutzstandards Nutzerdaten aus der EU in die USA geschickt werden dürfen, ist seit Jahren Gegenstand eines großen Hin und Her. 2015 klagte der österreichische Jurist und Datenschutzaktivist Max Schrems erfolgreich gegen das Safe-Harbor-Abkommen, das den Datenverkehr zuvor geregelt beziehungsweise aus Schrems Sicht eben nicht geregelt hatte.
EU-Bürger können Datenschutzverstöße in den USA nur schwer einklagen
Die EU einigte sich mit den USA auf eine neue Vereinbarung: das Privacy Shield. Doch das kippte der Europäische Gerichtshof (EuGH) 2020 auf eine erneute Klage von Schrems hin, unter anderem, weil EU-Bürger ihre Rechte in den USA weit schlechter einklagen können als US-Bürger.
Seit diesem "Schrems-II-Urteil" ist die Datentransferfrage wieder offen. Übergangsweise dürfen sich Plattformen wie Facebook damit behelfen, ihre europäischen Nutzer über Standardvertragsklauseln dem Transfer ihrer Daten zustimmen zu lassen. Diese Hintertür will die irische Datenschutzbehörde nun schließen, Facebook soll die Klauseln nicht mehr nutzen dürfen. Weil, wie gesagt, das Datenschutzniveau in den USA ungenügend sei.
Dass ausgerechnet Irland so vorangeht, mag verwundern. Bisher war die irische DPC nämlich nicht dafür bekannt, Tech-Konzerne besonders forsch regulieren zu wollen. Der Bundesdatenschutzbeauftragte Ulrich Kelber beschuldigte seine irischen Kollegen im vergangenen Jahr sogar, wichtige Verfahren zu verschleppen . Max Schrems wiederum sagte nun Netzpolitik.org: "Wir gehen davon aus, dass hier auch etwas Show dabei ist." Und dass es sich ziehen wird, denn die anderen Datenschutzbehörden in der EU können Änderungswünsche am irischen Entwurf einbringen oder gänzlich widersprechen. Die Erfahrung zeigt, dass es Monate dauern kann, bis die DPC die Anmerkungen der europäischen Partner in ihre Papiere eingearbeitet hat. Und selbst wenn die Verordnung dann steht, kann Meta immer noch dagegen klagen. Das würde eine endgültige Entscheidung über das Schicksal von Instagram und Facebook in Europa um weitere Monate verzögern.
Davon geht auch Schrems aus. "Das Einfachste wäre, die DPC würde eine Geldstrafe verhängen. Der EuGH hat doch geurteilt, dass die Datentransfers der vergangenen Jahre illegal waren", zitiert ihn die NGO None Of Your Business (Noyb), deren Vorstandsvorsitzender Schrems ist.
Dänemark will Google aus den Schulen verbannen
Datenschutzstellen in anderen Ländern gehen kompromissloser gegen die Verstöße vor. So haben etwa Österreich, Frankreich und Italien den Google-Dienst Analytics verbannt. Damit können Website-Betreiber Profile ihrer Nutzer erstellen und für Werbezwecke nutzen - auch diese Daten landen in den USA, was die drei Behörden für illegal befunden haben. Auch in Dänemark schaut man genau hin. In der vergangenen Woche monierte die zuständige Behörde, dass es den Anforderungen der Datenschutzgrundverordnung widerspricht, wenn Schulen Google-Dienste wie Gmail oder Docs sowie Google Laptops verwenden, weil die Daten in die USA fließen.
Für ein Kuriosum in der Angelegenheit sorgt nun die EU-Kommission selbst: Am Dienstag teilte die NGO Europäische Gesellschaft für Datenschutz mit, dass sie einen Kläger aus Deutschland unterstützt. Demnach nutzt die Kommission für ihre Website zu einer "Konferenz zur Zukunft Europas" den US-Dienst Amazon Web Services - der offenbar Nutzerdaten aus der EU in ein "unsicheres Drittland" schickt.
Bis sich die Europäische Union und die USA auf eine neue grundlegende Regelung einigen, könnte noch einige Zeit vergehen. Zwar verkündeten die EU-Kommissionschefin Ursula von der Leyen und der US-Präsident Joe Biden im Frühjahr, sie hätten sich darauf geeinigt, bald ein neues Abkommen vorzulegen. Und ein entsprechendes Dekret will die US-Regierung nach Informationen von Politico in den nächsten Wochen ausgearbeitet haben. Doch damit ist es nicht getan.
Wenn das Dekret vorliegt, dürfte die EU-Kommission ein gutes halbes Jahr brauchen, um zu klären, ob es wirklich mit den europäischen Datenschutzregeln konform geht. Vor 2023 wird es also nichts. Und Max Schrems hat schon angekündigt: Falls das nächste Abkommen so unzureichend wie die früheren ist, wird er wieder klagen.