Facebook macht in Europa dicht? Was hinter der Drohung steckt

Am Dienstag sah sich Meta (der Mutterkonzern von Facebook und Instagram) zu einer Medienmitteilung genötigt: Meta Is Absolutely Not Threatening to Leave Europe. Diese scheint sich schon rein durch diese Aussage von den teilweise reisserischen Meldungen über einen unmittelbar bevorstehenden Abzug von Facebook aus Europa zu unterscheiden, welche in den Tagen zuvor in der europäischen Pressen und in Blogs lesen waren. Schon der erste Abschnitt der Medienmitteilung ist allerdings ein sprachliches Kunstwerk:

Meta is not wanting or “threatening” to leave Europe and any reporting that implies we do is simply not true. Much like 70 other EU and US companies, we are identifying a business risk resulting from uncertainty around international data transfers.

https://about.fb.com/news/2022/02/meta-is-absolutely-not-threatening-to-leave-europe/

Wir werden gegen Schluss auf die in diesen zwei Sätzen versteckten Finessen eingehen. Vorerst gehen wir ein paar Tage zurück und rollen die Ereignisse nochmals auf.

Quartalsbericht von Meta

Anfang Februar stellte Meta den Quartalsbericht des vierten Quartals 2021 vor. Schon dieser alleine hat es in sich, weist Facebook doch zum ersten Mal in seiner Firmengeschichte einen Rückgang bei der Zahl der aktiven Benutzer aus.

Der Rückgang um eine Million DAUs scheint angesichts von knapp 2 Milliarden DAUs insgesamt vernachlässigbar wirken, im Hinblick auf den bisher stetig nach oben zeigenden Trend kann er allerdings auch ein Indikator dafür sein, dass die Benutzerinnen anderen Plattformen bevorzugen (und dann uU nicht mehr so schnell zu Facebook zurückkehren). Zusätzlich sind durch Apples Privacy- und Antitracking/targeting-Initiativen die Werbeeinahmen bei Facebook und Instagram unter Druck geraten, was gerade für ein sich praktisch ausschliesslich über Werbung finanzierendes Unternehmen wie Meta durchaus spürbar sein kann. Kein Wunder also, dass der Börsenkurs um 30% einbrach.

Dies ist aber kein Wirtschafts- sondern ein Netzpolitik-Blog. Also überlassen wir die Wirtschaftsanalysen anderen und werfen einen Blick auf den folgenden, auf den ersten Blick unscheinbar wirkenden, Satz im Quartalsbericht:

In addition, […], we also continue to monitor developments regarding the viability of transatlantic data transfers and their potential impact on our European operations.

https://investor.fb.com/investor-news/press-release-details/2022/Meta-Reports-Fourth-Quarter-and-Full-Year-2021-Results/default.aspx

Als Teil der Quartalsberichterstattung sind börsenkotierte Unternehmen verpflichtet, neben den Prognosen für die Folgequartale auch allfällige Risikofaktoren aufzuführen. Und in den Tiefen des ausführlichen Berichts finden sich dann auch die Details zum oben zitierten Satz:

We are also subject to evolving laws and regulations that dictate whether, how, and under what circumstances we can transfer, process and/or receive certain data that is critical to our operations, including data shared between countries or regions in which we operate and data shared among our products and services. If we are unable to transfer data between and among countries and regions in which we operate, or if we are restricted from sharing data among our products and services, it could affect our ability to provide our services, the manner in which we provide our services or our ability to target ads, which could adversely affect our financial results. For example, the Privacy Shield, a transfer framework we relied upon for data transferred from the European Union to the United States, was invalidated in July 2020 by the Court of Justice of the European Union (CJEU). In addition, the other bases upon which Meta relies to transfer such data, such as Standard Contractual Clauses (SCCs), have been subjected to regulatory and judicial scrutiny. In August 2020, we received a preliminary draft decision from the Irish Data Protection Commission (IDPC) that preliminarily concluded that Meta Platforms Ireland’s reliance on SCCs in respect of European user data does not achieve compliance with the General Data Protection Regulation (GDPR) and preliminarily proposed that such transfers of user data from the European Union to the United States should therefore be suspended. We believe a final decision in this inquiry may issue as early as the first half of 2022. If a new transatlantic data transfer framework is not adopted and we are unable to continue to rely on SCCs or rely upon other alternative means of data transfers from Europe to the United States, we will likely be unable to offer a number of our most significant products and services, including Facebook and Instagram, in Europe, which would materially and adversely affect our business, financial condition, and results of operations.

https://d18rn0p25nwr6d.cloudfront.net/CIK-0001326801/14039b47-2e2f-4054-9dc5-71bcc7cf01ce.pdf

Um was geht es hier?

Aufgrund der unterschiedlichen Datenschutzbestimmungen in den USA und in der EU (die Schweiz schwimmt meist im Schatten der EU mit) ist es US-Unternehmen nur beschränkt möglich, Daten europäischer Benutzer in den USA zu speichern und zu verarbeiten. Um hier Rechtssicherheit zu schaffen, haben die EU und die USA 2016 das Privacy Shield-Framework festgelegt, welches auf gegenseitigen Zusicherungen und Äquivalenzerklärungen basiert. Es handelt sich dabei also nicht um einen rechtssetzenden internationalen Vertrag sondern etwas salopp formuliert um ein Versprechen zur gegenseitigen Rücksichtnahme. Schon früh kritisiert wurde zum Beispiel, dass das Privacy Shield weiterhin die Massenüberwachung von in der USA gespeicherten Daten von EU-Bürgerinnen zulässt auch wenn dies nach EU-Recht nicht zulässig wäre.

Diese und andere Schwächen führten in der EU zu Klagen gegen das Framework, bzw. gegen den Angemessenheitsbeschluss der EU-Kommission. Schlussendlich erklärte der EU-Gerichtshof diesen Beschluss im Juli 2020 für ungültig. Seither können sich Unternehmen nicht mehr auf das Privacy Shield abstützen wenn sie Daten von EU-Bürgern in den USA verarbeiten und dabei die EU-Datenschutzrichtlinien einhalten wollen (was unter anderem dazu führt, dass Facebook seit bald zwei Jahren illegalerweise solche Daten in die USA überführt).

Was hat das nun mit Facebook zu tun?

Meta verarbeitet als US-Unternehmen Daten von EU-Bürgern und ist damit auf eine belastbare rechtliche Basis hier angewiesen. Nun betreibt es für seine Online-Dienste zwar Rechenzentren auf der ganzen Welt und hat zum Beispiel auch Standorte in Ireland, Dänemark und Schweden, das alleine reicht aber nicht aus:

• Als US-Unternehmen ist Meta an amerikanisches Recht gebunden und muss zum Beispiel Anweisungen von US-Gerichten oder Geheimdiensten bezüglich Datenherausgabe oder Überwachung Folge leisten.
• Ob eine Benutzerin aus der EU oder aus einer anderen Region kommt, kann Meta gar nicht apriori erkennen. D.h. selbst wenn die personenbezogenen Daten streng geographisch gespeichert und verarbeitet würden, so fallen zumindest die Login-Vorgänge an sich global an (und sei es nur weil sich eine EU-Bürgerin in den USA-Ferien dort bei Instagram anmeldet). Und bei den Tracking-Pixeln und ähnlichen Nettigkeiten ist Meta erst recht nicht in der Lage, diese abhängig von der getrackten Person einem Rechenzentrum zuzuweisen ohne zuvor nicht zumindest ein kleines Stück Verarbeitung zu machen.
• Soweit bekannt nutzt Facebook eine globale Applikationsarchiktur welche davon ausgeht, dass Daten global beliebig fliessen können. Anders wäre die Big Data-gestützte Generierung von Nutzerprofilen etc. wohl gar nicht möglich. Und die Komplexität einer orts-affinen Verarbeitung und Weitergabe von identifizierenden Daten dürfte wohl schnell ins Unbeherrschbare wachsen.

Summa summarum ist Meta also darauf angewiesen, Daten ungeachtet von Staatsgrenzen weltweit verschieben und nutzen zu können. Nur spekulieren kann man natürlich darüber ob die Verarbeitung generell immer EU-konform erfolgt oder ob hinter der Notwendigkeit der globalen Verarbeitung auch die Absicht steht, so den aus Sicht von Meta allzu restriktiven nationalen Datenschutzbestimmungen aus dem Weg zu gehen.

Was heisst das nun für die Gewinnwarnung und die Medienmitteilung vom Dienstag?

Schauen wir uns die oben zitierte Gewinnwarnung nochmals im einzelnen an.

We are also subject to evolving laws and regulations that dictate whether, how, and under what circumstances we can transfer, process and/or receive certain data that is critical to our operations, including data shared between countries or regions in which we operate and data shared among our products and services.

Das haben wir oben erwähnt, Datenaustausch zwischen Regionen ist für Meta zentral, entsprechend ist der Geschäftserfolg abhängig von den rechtlichen Möglichkeiten zu diesem.

If we are unable to transfer data between and among countries and regions in which we operate, or if we are restricted from sharing data among our products and services, it could affect our ability to provide our services, the manner in which we provide our services or our ability to target ads, which could adversely affect our financial results.

Dieser Satz erklärt, wie allfällige Gesetze oder fehlende Rechtsgrundlagen den Geschäftserfolg schmälern können: Durch Einschränkungen des Angebots von Meta, durch Auswirkungen auf die Art und Weise wie das Angebot bereitgestellt wird oder, und das lässt tief blicken, durch Einschränkungen im zielgerichteten Ausspielen von Werbung.

Die Ausführungen zum Privacy Shield können wir überspringen, der Auslöser der ganzen Hektik findet sich am Schluss:

If a new transatlantic data transfer framework is not adopted and we are unable to continue to rely on SCCs or rely upon other alternative means of data transfers from Europe to the United States, we will likely be unable to offer a number of our most significant products and services, including Facebook and Instagram, in Europe, which would materially and adversely affect our business, financial condition, and results of operations.

Also, kurz gesagt: Wenn es keinen Nachfolger des Privacy Shield gibt (und keine akzeptable Alternative), dann wird Meta vermutlich nicht mehr in der Lage sein, Facebook und Instagram in Europa anzubieten. Und das hat dann (und drum steht es als Gewinnwarnung im Quartalsbericht) substantielle Auswirkungen auf Erfolgsrechnung und Bilanz. Aus der oben bereits erwähnten Präsentation der Quartalszahlen können wir sogar ableiten, wie gross diese Auswirkungen etwa sein werden.

• Gemäss Slide 14 hatte Facebook im Q4 in Europa 427 Millionen Monthly Active Users (MAUs).
• Gemäss Slide 15 hat Facebook im Q4 pro europäischem User $19.68 eingenommen (pro US-User sind es übrigens $60).
• Für Facebook stehen also Einnahmen von rund 8 Milliarden Dollar pro Quartal auf dem Spiel. Und auch wenn ein Benutzerrückgang auch zu einem Rückgang der Betriebskosten führen dürfte: Es geht um sehr viel Geld.

Aber Facebook hat ja dementiert, also ist alles gut, oder? Aber haben sie das wirklich gemacht? Werfen wir also nochmals einen Blick auf die entsprechende Medienmitteilung:

Meta is not wanting or “threatening” to leave Europe and any reporting that implies we do is simply not true. Much like 70 other EU and US companies, we are identifying a business risk resulting from uncertainty around international data transfers

[…]

International data transfers underpin the global economy and support many of the services that are fundamental to our daily lives. Businesses across industries need clear, global rules to protect transatlantic data flows over the long term.

Interessant hier ist das Framing “Meta is not wanting to leave Europe”, angesichts des drohenden Einnahmenverlusts eine durchaus nachvollziehbare Haltung. Der Satz drückt aber auch klar aus, dass Meta den Entscheid über die weitere Verfügbarkeit in Europa nicht bei sich selber sieht, sondern sich allenfalls gezwungen sehen würde, sich “den Umständen” zu beugen. Und ebenso klar wird am Schluss mehr oder weniger subtil Druck auf die verhandelnden Regierungen ausgeübt, jetzt doch bitte endlich Nägel mit Köpfen zu machen und ein Umfeld zu schaffen in welchem Meta global operieren kann.

Das Originelle an der Sache ist dann aber, dass im Quartalsbericht “If a new data transfer framework is not adopted […] we will likely be unable to offer Facebook and Instagram in Europe” steht, und genau diese Aussage die vordergründig dementierende Medienmitteilung defacto erneut macht. Adressat des Ganzen ist (neben den Aktionären) primär die EU, deren aus Sicht von Meta wohl eher geschäftsschädigende Fokus auf Datenschutz den globalen Austausch von Daten erschwert oder verunmöglicht. Man darf gespannt sein, ob die EU bei der in letzten Tagen geäusserten Haltung bleibt:

“I can confirm that life is very good without Facebook and that we would live very well without Facebook,” [French Finance Minister] Le Maire added. “Digital giants must understand that the European continent will resist and affirm its sovereignty”