Darf Facebook unkontrolliert Nutzerdaten nach Amerika schicken? Nach einem EU-Abkommen gelten die Vereinigten Staaten als sicherer „Datenhafen“. Doch die Zweifel an der Idee wachsen. Der Europäische Gerichtshof geht diesen Zweifeln nach.
Vor knapp zwei Jahren hat die Öffentlichkeit zum ersten Mal von dem ehemaligen amerikanischen Geheimdienstmitarbeiter Edward Snowden gehört. Snowdens Enthüllungen machten im Juni 2013 die mutmaßlichen massenhaften Ausspäh- Aktionen der amerikanischen und britischen Geheimdienste NSA und GCHQ im Internet öffentlich. Laut den neuesten Zahlen ist der Datenhunger der amerikanischen Geheimdienste zumindest mit Blick auf das soziale Netzwerk Facebook nicht geringer geworden.
Im gesamten Jahr 2013 erreichten das mit 1,39 Milliarden Mitgliedern größte soziale Netzwerk der Welt nach eigenen Angaben Anfragen zur nationalen Sicherheit der Vereinigten Staaten, die sich auf 10.000 bis 11.998 einzelne Facebook-Konten bezogen haben. Allein im ersten Halbjahr des vergangenen Jahres waren schon 7000 bis 7999 Konten von Anfragen nach dem Foreign Intelligence Surveillance Act (FISA) betroffen – im Vergleich zum Vorjahreszeitraum eine Steigerung um etwa ein Drittel.
Zahlen für das zweite Halbjahr darf Facebook erst sechs Monate nach der Erhebung veröffentlichen, also frühestens im Juni. Außerdem hat sich Facebook gegenüber amerikanischen Behörden verpflichtet, nur Bandbreiten der Anfragen in Tausenderschritten zu veröffentlichen, keine exakten Zahlen.
Für Facebook gilt in Europa irisches Recht
Die Konsequenzen genau jener Anfragen beschäftigen mittlerweile auch den Europäischen Gerichtshof. Die Luxemburger Richter müssen über die Beschwerde des Wiener Juristen Maximilian Schrems entscheiden. Schrems war schon im Juni 2013, unmittelbar nach den ersten Enthüllungen von Snowden, mit einer Beschwerde gegen Facebook Ireland vorgegangen. Die europäische Tochtergesellschaft von Facebook ist für alle Nutzer außerhalb der Vereinigten Staaten zuständig.
Wer sich bei dem Netzwerk anmeldet, geht formal einen Vertrag mit diesem Unternehmen ein – und nicht mit der Muttergesellschaft, der Facebook Inc. mit Sitz in den Vereinigten Staaten. Als Unternehmen mit Sitz auf europäischem Boden unterliegt Facebook Ireland den Datenschutzstandards des Gastlandes, in diesem Falle also Irlands.
Verweis auf Datenschutzabkommen mit Washington
Genau das sieht der Beschwerdeführer Schrems als Problem an. Zwar muss sich Facebook Ireland an irische sowie europäische Vorschriften zum Datenschutz halten. Da das Unternehmen aber sowohl in Europa wie auch in den Vereinigten Staaten Datenzentren unterhält, ist nicht klar, wo genau es die Nutzerdaten europäischer Mitglieder speichert.
Genauso unklar ist, ob bei einer Speicherung in den Vereinigten Staaten auch amerikanische Behörden, wie der Geheimdienst NSA, Zugriff auf die Daten haben. Das ist der Grund für Schrems’ Beschwerde. Sein Argument: Persönliche Daten europäischer Facebook-Nutzer seien in den Vereinigten Staaten eben nicht vor staatlicher Überwachung geschützt.
Die irischen Datenschützer lehnten die Beschwerde damals ab mit Verweis auf das sogenannte Safe-Harbor-Abkommen zwischen den Mitgliedstaaten der Europäischen Union und den Vereinigten Staaten. Demnach gelten die in Amerika sitzenden Unternehmen seit dem Jahre 2000 als „sicherer Hafen“, in dem auch persönliche Daten europäischer Nutzer geschützt seien.