Die Möglichkeit einer EU-weiten Facebook-Abschaltung hat sich nach der Anordnung der irischen Datenschutzbehörde (DPC), Metas transatlantische Datenübertragungen auszusetzen, vom Hypothetischen zum Plausiblen verschoben. Zusammen mit einem Rekordbußgeld von 1,2 Milliarden Euro stellt diese Durchsetzungsmaßnahme die schwerwiegendste regulatorische Bedrohung dar, der Meta in Europa ausgesetzt war.

Der Hintergrund

Meta überträgt enorme Mengen europäischer Nutzerdaten zur Verarbeitung in die Vereinigten Staaten. Nach dem Schrems-II-Urteil, das das EU-US-Privacy-Shield für ungültig erklärte, fehlt dieser Praxis eine klare Rechtsgrundlage. Datenschutzaktivisten argumentieren seit Jahren, dass Metas Datenübertragungen gegen die DSGVO verstoßen, und die Anordnung der irischen DPC bestätigt diese Position.

Was eine Aussetzung bedeutet

Eine Anordnung zur Aussetzung der Datenübertragung bedeutet, dass Meta aufhören muss, europäische Nutzerdaten in die USA zu senden. Da Facebooks Infrastruktur grundlegend auf zentralisierte Datenverarbeitung ausgelegt ist, ist die Einhaltung dieser Anordnung technisch anspruchsvoll. Wenn Meta europäische Daten nicht innerhalb Europas verarbeiten kann, wird der Weiterbetrieb von Facebook in der EU rechtlich unmöglich.

Die weiterreichenden Auswirkungen

Obwohl ein vollständiger Facebook-Blackout aufgrund der wirtschaftlichen und politischen Konsequenzen unwahrscheinlich bleibt, sendet die Durchsetzungsmaßnahme eine klare Botschaft: Kein Unternehmen ist zu groß, um regulatorische Konsequenzen für DSGVO-Verstöße zu erleiden. Die Situation verdeutlicht auch das systemische Risiko der Abhängigkeit von Diensten, die internationale Datenübertragungen zum Funktionieren benötigen.

Der neue Datenschutzrahmen

Der EU-US-Datenschutzrahmen wurde teilweise als Reaktion auf diese Krise verabschiedet. Er steht jedoch selbst vor rechtlichen Anfechtungen und übersteht möglicherweise keine gerichtliche Überprüfung, was das Problem wieder zum Ausgangspunkt zurückbringen würde.