Datenriese Meta:
Zwischen EU- und US-Datenschutzrecht

Social-Media-Plattformen und Messenger-Dienste wie Facebook, Instagram oder WhatsApp sind aus unserem täglichen Leben kaum mehr wegzudenken. Fast jeder von uns ist heutzutage bei mindestens einem der Dienste registriert. Ein Blick auf die Nutzerzahlen von Mutterkonzern Meta unterstreicht dies: Im ersten Quartal 2022 nutzten fast drei Milliarden User täglich eine oder mehrere Apps des Meta-Netzwerks. Die unzähligen Daten, die dadurch jeden Tag entstehen, werden in weltweit 21 Rechenzentren gespeichert. Allerdings steht der US-Konzern bereits seit Jahren aufgrund von mangelndem Datenschutz in der Kritik.

Meta droht Daten-Export-Verbot

Die irische Datenschutzkommission (DPC) will Meta nun verbieten, weiterhin Nutzerdaten von EU-Bürger:innen auf Servern in den Vereinigten Staaten zu speichern. Am 07. Juli 2022 kündigte die DPC an, die Übermittlung sämtlicher Daten zwischen Meta und den USA künftig zu blockieren.

Die Datenschutzbehörden der anderen europäischen Mitgliedsstaaten waren indessen dazu aufgefordert, innerhalb eines Monats hierzu Stellung zu beziehen. Mit einer schnellen Lösung ist allerdings nicht zu rechnen, da Änderungsanträge gestellt werden können und Meta die Möglichkeit hat, in Berufung zu gehen. Die DPC begründet ihren Gesetzesvorstoß damit, dass die Datenschutzvorschriften der Vereinigten Staaten nicht den hohen Anforderungen der Europäischen Datenschutzgrundverordnung (DSGVO) gerecht würden.

Datenschutz in der EU & den USA

Doch wie unterscheidet sich das Datenschutzrecht der USA eigentlich von dem der EU? Ein wesentlicher Unterschied besteht darin, dass es in den USA bislang kein umfassendes und einheitliches Datenschutzgesetz gibt. Während die EU-Mitgliedsstaaten seit 2018 gesetzlich an die DSGVO gebunden sind und für eine uneingeschränkte Umsetzung sorgen müssen, ist der Datenschutz in den USA über branchenspezifische Datenschutzgesetze geregelt. Für die einzelnen Sektoren gibt es also verschiedene Regelungen.

Der Grund für die unterschiedliche Herangehensweise: In den USA wird der Schutz von personenbezogenen Daten - anders als in der EU - nicht als Grundrecht gesehen, sondern als Teil des Verbraucherschutzrechts. Ein weiterer zentraler Unterschied besteht darin, dass das amerikanische Datenschutzrecht Geheimdiensten weitreichenden Zugriff auf gespeicherte Daten gewährt.

So geht es für Meta weiter

Aktuell wird ein neues bilaterales Datenschutzabkommen zwischen der EU und den USA ausgehandelt. Bis dahin steht hinter der Speicherung und Nutzung von europäischen Nutzerdaten seitens Meta erst einmal ein Fragezeichen, zumal es weitere Hürden gibt, der sich der US-Konzern gegenüber sieht. Im März dieses Jahres hatte die EU-Kommission mit dem Digital Service Acts (DSA) und dem Digital Markets Act (DMA) zwei Gesetze verabschiedet, wodurch Digitalkonzernen wie Meta strengere Regeln und Sorgfaltspflichten auferlegt wurden. Illegale Social-Media-Inhalte etwa müssen nun unverzüglich entfernt werden.

Cloudanbieter: Das gilt es zu beachten

Die Speicherung von Kundendaten auf Servern im Ausland ist auch bei vielen Cloud-Anbietern mittlerweile eine gängige Praxis. Dabei kann oft nicht ausgeschlossen werden, dass zum Teil sensible Daten an Regierungen und andere Dritte weitergegeben werden.

Dies gilt umso mehr seit der Erlassung des Clarifying Lawful Overseas Use of Data Act (CLOUD Act) im Jahr 2018. Dieses Gesetz ermächtigt US-Strafverfolgungsbehörden dazu, auf Kundendaten von US-amerikanischen IT-Dienstleistern zuzugreifen, auch wenn die Daten außerhalb der USA gespeichert sind. Betroffen ist also beispielsweise ein Cloud-Provider aus den USA, der seine Daten in einem Rechenzentrum in Europa speichert.

Um ausschließen zu können, dass personenbezogene Daten an Dritte weitergegeben werden, ist es daher gerade für Unternehmen unabdingbar, auf einen deutschen Cloud-Anbieter zurückzugreifen. Dieser sollte zu 100 % DSGVO-konform sein und die Daten seiner Kunden ausschließlich in deutschen Rechenzentren hosten.