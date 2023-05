Sie ist wie ein kleines Geburtstagsgeschenk für die Datenschutzgrundverordnung, die am Mittwoch vor fünf Jahren nach dem Auslaufen der Übergangsfrist vollständig wirksam wurde: die Entscheidung, mit der die Datenschutzaufsichtsbehörden jetzt den vielleicht größten Fall beschieden haben. 1,2 Milliarden Euro Bußgeld, das ist auch für ein Unternehmen wie Meta kein Kleingeld mehr. Doch das eindrucksvolle – aber auf der möglichen DSGVO-Skala nicht wirklich riesige – Bußgeld selbst ist der kleinere Aspekt. Wesentlich größere Auswirkungen könnten aus anderen Bestandteilen der heute veröffentlichten Entscheidung des Europäischen Datenschutzausschusses folgen.

Eine Analyse von Falk Steiner Falk Steiner ist Journalist in Berlin. Er ist als Autor für heise online, Tageszeitungen, Fachnewsletter sowie Magazine tätig und berichtet unter anderem über die Digitalpolitik im Bund und der EU.

Denn über den in der Datenschutzgrundverordnung vorgesehenen Mechanismus hinaus, bei dem sich die Aufsichtsbehörden aus allen DSGVO-Staaten zusammensetzen und über Sachverhalte beraten, hat dieser auch jenseits der reinen Strafhöhe klare Auffassungen formuliert. So stellen die Datenschutzaufseher etwa ganz am Schluss ihrer 222 Seiten langen Entscheidung fest: "Die Analyse dieser Entscheidung zeigt eine Situation auf, in der jede Internetplattform, die unter Definition eines elektronischen Kommunikationsdiensteanbieters Gegenstand des US-Auslandsspionagegesetzes (FISA) 702-Prism-Programm sein kann, gleichermaßen gegen die Anforderungen des Kapitels 5 der Datenschutzgrundverordnung und der Grundrechte-Charta der EU fallen dürfte, soweit es die Übertragung personenbezogener Daten in die USA betrifft." Allein dieser Satz dürfte für die meisten US-Anbieter eine knallharte Warnung sein.

Meta warnte vor Geschäftsrisiko

Fast auf den Tag genau zehn Jahre hat es gedauert, dass die europäischen Datenschutzaufsichtsbehörden eine Entscheidung über die Geheimdienst-Abhörproblematik bei US-Digitalkonzernen getroffen haben. Die ersten Enthüllungen auf Basis der vom US-Whistleblower Edward Snowden Journalisten zur Verfügung gestellten Dokumente erschienen Ende Mai 2013. Und mit dem Wissen um PRISM und all die anderen Tools, die der NSA und anderen US-Diensten zur Verfügung stehen, war klar: Das Schutzniveau für Daten aus der EU in den USA ist nicht ausreichend. Doch nun steht es – vorbehaltlich möglicher anderer Auffassungen zuständiger Gerichte – fest: Die US-Herangehensweise und Datentransfers sind strukturell inkompatibel.

Sechs Monate, heißt es in dem Beschluss, habe Meta jetzt, um seine Datenverschickungen umzuorganisieren und seinen Rechtspflichten nachzukommen. Angesichts der Länge des gesamten Verfahrens – Meta selbst weist die Problematik seit Jahren in seinen Börsenpflichtberichten als mögliches Geschäftsrisiko aus – sollte das Unternehmen auf diesen Moment vorbereitet gewesen sein.

Zugeständnisse der USA

Allerdings dürfte das vor allem einen anderen Effekt haben: Die Beschleunigung der verhandelten sogenannten Angemessenheitsbeschluss durch die EU-Kommission. Die Biden-Regierung hatte der EU-Kommission einige Zugeständnisse unter dem sogenannten Transatlantic Data Privacy Framework (TADPF) gemacht. Insbesondere die Beschränkung datenbasierter Auslandsspionage und die Einführung besserer Rechtsbehelfe gegen diese gehört zu den Feldern, in denen sich die US-Seite zu zaghaften Zugeständnissen bereiterklärt hat.

Der sogenannte Angemessenheitbeschluss der EU-Kommission, mit der ein vergleichbares Datenschutzniveau wie unter der DSGVO attestiert wird, wenn Daten im Rahmen der neuen Vereinbarung übertragen werden, liegt bereits bei den mit beratenden Stellen. Möglich wäre, dass das Europaparlament die Anerkennungsentscheidung kippt – aber das gilt als unwahrscheinlich. Vor allem deshalb, weil gerade die Datenschutzaufseher wie etwa der Europäische Datenschutzbeauftragte Wojciech Wiewiórowski durchaus substanzielle Fortschritte sehen: Dieses Mal hätte man, sagt Wiewiórowski, "nicht nur eine nette Überschrift, sondern tatsächlich etwas mit Substanz. Natürlich gibt es immer noch Dinge, die uns Datenschutzaufsichtsbehörden nicht gefallen und auf die wir hinweisen. Aber meiner Meinung nach ist das etwas, wo wir in der Praxis schauen müssen, wie es funktioniert, wenn es in Kraft ist."

Wie es jetzt weitergehen könnte

Der Druck auf die EU-Kommission, sich nun zu beeilen, wächst also. "Europa darf keine transatlantische Datenblockade aufbauen. Die Entkoppelung der EU von den Angeboten und Leistungen der internationalen Datenwirtschaft führt in die digitale Isolation und schadet den Menschen und Unternehmen Europas weit mehr als es ihnen nutzt", sagt etwa Bitkom-Geschäftsführer Bernhard Rohleder, und fordert eine schnelle Verabschiedung.

Dabei wäre die beste Lösung für alle eine ganz andere: ein bundesweites Datenschutzrecht in den USA. Der vorläufig letzte Versuch dazu wurde im vergangenen Jahr unternommen, steckt aber seitdem im Verfahren von Senat und Repräsentantenhaus fest. Die nun kommende, absehbare Lösung für das Problem ist erneut nur temporärer Natur: Meta wird gegen den Bescheid der Aufsichtsbehörden klagen, die EU-Kommission die Angemessenheit des TADPF bescheinigen, Meta seine Datentransfers darauf stützen. Max Schrems wird erneut gegen die Angemessenheitsentscheidung klagen und der Europäische Gerichtshof in einigen Jahren entscheiden.

Je nachdem, wer als nächster US-Präsident ins Weiße Haus einzieht, könnten die von Joe Biden gemachten Zusicherungen allerdings schon vorher nicht mehr das Papier wert sein, auf dem sie stehen – dann würde das Spiel von Neuem beginnen: "Es ist de facto das Gleiche, was wir schon haben, mit ein bisschen Blümchen rundherum, und was der EuGH schon mal zurückgewiesen hat", meint Schrems. "Und jetzt probieren wir es halt wieder und wieder."

