Dass Facebook sich aus Europa zurückziehen will, ist laut Facebook-Manager Nick Clegg nicht der Plan. Vom Tisch sind damit zwar Spekulationen über eine Einstellung des europäischen Betriebs, nicht aber die ungelösten Probleme. Denn das jüngste Urteil des Europäischen Gerichtshofes bringt eine Machtprobe zwischen amerikanischem und europäischem Datenschutzrecht mit sich. Datenschutzexperte Schwartmann erklärt die Hintergründe.
Da hat Facebook ganz schön mit den Säbeln gerasselt und ebenso schnell wieder zurückgerudert: Nachdem die irische Datenschutzbehörde den US-Konzern aufgefordert hatte, den Datentransfer in die USA zu stoppen, teilte Facebook über die Juristin und Datenschutzbeauftragte Yvonne Cunane in einer eidesstattlichen Erklärung an die Behörde mit:
"Es ist nicht klar, wie Facebook und Instagram Services in Europa fortgesetzt werden können."
Ein Rückzug aus Europa? Facebook-Nutzer schien das wenig zu beeindrucken, ein erhoffter Aufschrei der Community blieb jedenfalls aus. Und so ruderte Facebook-Manager Nick Clegg auch bereits wenige Tage später wieder zurück. Die vermeintliche Drohung: ein Missverständnis. Das Ziel von Facebook: den Betrieb in Europa selbstverständlich nicht einzustellen.
Also alles klar? Nein!
Gelöst ist das Problem damit aber nicht. Die Aufforderung der irischen Datenschutzbehörde ist nämlich eine Konsequenz aus dem Beschluss des Europäischen Gerichtshofes (EuGH), das sogenannte "Privacy Shield" zu kippen. Jurist und Datenschutzexperte Rolf Schwartmann von der TH Köln erläutert die Hintergründe: "Aus Sicht der EU besteht in den USA kein angemessenes Datenschutzniveau. Es gibt Drittländer wie etwa die Schweiz, Argentinien und Japan, in denen das Niveau vergleichbar ist – in China, Russland und auch den USA hingegen ist das nicht der Fall."
Als Konsequenz daraus müssten Staaten - oder in diesem Fall eben die USA mit der EU - eine Vereinbarung schließen, die ein angemessenes Datenschutzniveau herstellt. "Das war zunächst Safe Harbour, ab 2016 Privacy Shield", erinnert Experte Schwartmann. Aktivist Max Schrems hat den Beschluss der Europäischen Kommission aber wegen mangelnder Datenschutzkonformität überprüfen lassen. "Die Auffassung, dass Privacy Shield ein angemessenes Datenschutzniveau herstellt, ist dann auch vom europäischen Gerichtshof gekippt worden", führt Schwartmann aus.
Zugriff von amerikanischen Geheimdiensten
Heißt für Facebook: Als Anbieter von Diensten in Europa gelten hiesige Datenschutzverordnungen. Und die sind ziemlich streng. "Wenn die Einwilligung des Kunden alles abdecken würde, was Facebook macht, dann wäre alles okay. Aber Facebook scheint etwas mit den Daten zu machen, was über die Einwilligung hinaus rechtfertigungsbedürftig ist", analysiert Schwartmann. Es sei davon auszugehen, dass Facebook die Daten der Europäer in den USA technisch spiegelt – sie also dort speichert und sie dann für Zwecke analysiert, die für Außenstehende intransparent sind. "Was dabei genau mit den Daten passiert, kann ich nicht sagen", sagt der Medienrechtsexperte. Denkbar sei eine Auswertung, um die eigenen Dienste weiterzuentwickeln oder die Kundenansprache zu optimieren.
Es kommt aber noch härter: "Feststeht, dass US-Geheimdienste über die amerikanische Gesetzeslage bei Vorliegen der gesetzlichen Voraussetzungen dazu befugt sind, Zugriff auf die Daten zu nehmen", erklärt Schwartmann. Unklar sei aber, wonach genau die Sicherheitsbehörden suchen. "Wenn man bei der Einreise in die USA aufgefordert wird, die Festplatte zu zeigen, weiß man schließlich auch nicht, was genau die Sicherheitsbehörden interessiert: Es wird klare Fälle, wie Hinweise auf terroristische Aktivitäten geben. Aber darüber hinaus? Ob man Trump beleidigt hat? Ob man das amerikanische System kritisiert hat? Das ist für mich Spekulation", sagt der Experte.
Bluff ging nach hinten los
Nur so viel steht für ihn fest: "Wenn Facebook nichts mit den Daten machen würde, was nicht Interesse des Kunden ist, dann müsste das Unternehmen nun nicht auf eine weitere Angemessenheitsentscheidung seitens des EuGH hoffen." Das nämlich scheint Ziel der Rückzugs-Drohung gewesen zu sein. Schwartmann sagt dazu: "Auch wenn Facebook es vielleicht gehofft hat: Die EU kann die Gesetze nicht lockern, weil sie an die Rechtsprechung des EuGH gebunden ist." Der sage nun zum zweiten Mal, dass es so nicht geht.
Facebook habe vielleicht versucht, zu bluffen und sich dabei wie ein kleines Kind verhalten: "Sie haben gesagt, wenn sie das Recht so einhalten müssten, könnten sie nicht mehr wirtschaftlich arbeiten und müssten in der Folge den europäischen Betrieb einstellen. Das gleicht einem Kind, welches sagt: 'Wenn ich das Förmchen nicht kriege, spiele ich im Sandkasten nicht mehr mit'", vergleicht Schwartmann.
Europa ist zweitwichtigster Markt
Dabei hat Zuckerburg scheinbar eins vergessen: Europa ist mit 410 Millionen Nutzern nach den USA der zweitwichtigste Markt für das Unternehmen. So sagt auch Schwartmann: "Das 'Kind' Facebook will spielen. Denn seine Märkte sind begrenzt: Entweder sind die Zugänge erschwert – wie in Russland oder China – oder es gibt nicht viel Geld zu erwirtschaften – wie in Afrika oder Südamerika"
Ein Rückzug aus dem europäischen Markt sei eine deutliche Selbstbeschneidung, die Facebook auf einen sehr kleinen Kunden- und Nutzerkreis zurückwerfen würde. "Europäische Unternehmen haben auch zuhauf Werbeverträge mit Facebook – dass sie all ihre Kunden abschneiden, erscheint unwahrscheinlich", schätzt Schwartmann.
Gründung von Facebook Europe?
Was aber muss das Unternehmen tun, um seinen Betrieb in Europa aufrechterhalten zu können? "Facebook könnte theoretisch ein 'Facebook Europe' gründen, wo die Daten, allein in Europa gespeichert, verarbeitet und genutzt werden. Damit wäre dem Schrems-II-Urteil des EuGH Genüge getan", schlägt Schwartmann vor, sagt aber selbst: "Das ist unrealistisch, weil Facebook nach dem amerikanischen Recht arbeiten will." Facebook müsste andernfalls seine Produkte entsprechend anpassen.
Übrig bleibe also nur, dass in den USA die Rechtsschutzmöglichkeiten der Europäer gegen den Zugriff der amerikanischen Behörden auf diese Daten verbessert werden, führt Schwartmann aus. "Das Problem des strengen europäisches Datenschutzes ist für Facebook ein echtes Problem – das gilt aber für jedes Unternehmen, welches in der EU Dienste anbieten möchte. Jeder, der Daten in die USA überträgt, ist betroffen."
Genaue Prüfung durch Unternehmen
Wäre die Verschlüsselung von Daten zum Schutz transatlantischer Datenströme denkbar? "In vielen Fällen würde das nichts nutzen", wendet Schwartmann ein. Ein Unternehmen mit weltweitem Kundenservice – etwa eine Hotelkette – brauche die Daten der Besucher unverschlüsselt, gleiches gelte für Personaldaten. "Viele amerikanische Firmen haben europäische Töchter", erinnert er.
Unternehmen müssten nun genau prüfen, was das Schrems-II-Urteil von ihnen verlangt und welcher Umgang mit Daten zulässig ist. "Die strengen europäischen Datenschutzregeln sind Realität, der EuGH hat sie so festgezurrt", sagt Schwartmann. Die Konsequenz sei, dass US-amerikanische Unternehmen die Daten über kurz oder lang in Europa hosten müssen.
Machtprobe Datenschutzrecht
Bei all dem warnt Schwartmann: "Die Datenwirtschaft muss weiterhin funktionsfähig bleiben und es ist eine große Herausforderung, das mit Augenmaß zu lösen." Die Problematik sei ernst und ein Dilemma - eine einfache Lösung liege nicht auf der Hand. "Ein dritter Formelkompromiss nach Safe Harbour und Privacy Shield ist nicht zu erwarten", glaubt Schwartmann.
Vielmehr sei in naher Zukunft mit Urteilen zur Umsetzung von Privacy Shield zu rechnen. "Unternehmen werden gegen verhängte behördliche Maßnahmen seitens der Datenschutzaufsicht klagen und es wird Rechtsprechungen in konkreten Fällen geben", sagt Schwartmann. Wer die Machtprobe dann gewinnt – das amerikanische oder das europäische Datenschutzrecht –, ist noch offen. Nutzer und Unternehmen jedenfalls stehen dazwischen.
Verwendete Quellen:
- Gespräch mit Prof. Dr. Rolf Schwartmann
- Eidesstattliche Erklärung Facebook Ireland Limited
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.