Die irische Datenschutzbehörde (DPC) hat den Tech-Giganten Meta (ehemals Facebook) mit einer Rekordstrafe von 1,2 Milliarden Euro bestraft, weil die Daten von Europäern unrechtmäßig an die USA übermittelt wurden.
DSGVO bringt Meta Rekordstrafe in Höhe von 1,2 Milliarden Euro
Die irische Datenschutzkommission (DPC – Data Protection Commissioner) gab bekannt, dass Meta gegen die allgemeine Datenschutzverordnung (DSGVO) verstoßen hat, als es Unmengen personenbezogener Daten europäischer Facebook-Nutzer in die Vereinigten Staaten verschoben hat, ohne diese ausreichend vor Washingtons Datenüberwachungspraktiken zu schützen. Mit einer Rekordstrafe von 1,2 Milliarden Euro handelt sich um die bisher höchste Geldbuße, die im Rahmen der DSGVO, dem Flaggschiff der EU, verhängt wurde.
Der irische Datenschutzbeauftragte erklärte, dass Metas Verwendung eines Rechtsinstruments, das als Standardvertragsklauseln bekannt ist, um Daten in die USA zu übertragen, „nicht die Risiken für die Grundrechte und -freiheiten“ der europäischen Facebook-Nutzer beseitigt, die durch ein Grundsatzurteil des obersten EU-Gerichts aufgeworfen wurden. Meta hat die persönlichen Daten unter anderem an US-Sicherheitsdienste weitergeleitet worden.
Meta und weitere internationale Unternehmen verließ sich auf die Standardvertragsklauseln, als europäische und US-amerikanische Beamte darum rangen, eine neue Vereinbarung über den Datenverkehr zu treffen, und dem US-Tech-Giganten keine anderen Rechtsmechanismen zur Übermittlung seiner personenbezogenen Daten zur Verfügung standen.
Mehr als 4 Milliarden Euro Strafen durch europäische DSGVO
Bislang war die Rekordstrafe gegen Amazon in Höhe von 746 Mio. EUR die höchste Geldstrafe durch die DGSVO und die irische Aufsichtsbehörde verhängte in den letzten zwei Jahren auch vier Geldstrafen gegen die Meta-Plattformen Facebook, Instagram und WhatsApp in Höhe von 405 Mio. EUR bis 225 Mio. EUR.
Rangliste der höchsten Strafen durch die Datenschutzgrundverordnung DSGVO
Die 10 höchsten Bußgelder, die von nationalen Datenschutzbehörden im Rahmen der DGSVO seit 2018 verhängt wurden finden sich z.B. auf enforcementtracker.com:
| Unternehmen, Hauptsitz EU | Geldstrafe in Millionen Euro |
| Meta, Irland | 1200 |
| Amazon, Luxembourg | 746 |
| Meta, Irland | 405 |
| Meta, Irland | 390 |
| Meta, Irland | 265 |
| Meta, Irland | 225 |
| Google, Frankreich | 50 |
| H&M, Deutschland | 35,3 |
| Tim, Italien | 27,8 |
| British Airways, U.K. | 22 |
Der Europäische Gerichtshof hatte im Jahr 2020 ein Abkommen zwischen der EU und den USA über die Weitergabe von Daten gekippt. Befürchtungen über die Überwachungspraktiken der US-Geheimdienste haben sich durch Whistleblower wie Edward Snowden bestätigt. In demselben Urteil verschärfte das oberste EU-Gericht auch die Anforderungen für die Verwendung von Standardvertragsklauseln.
Die EU und die USA arbeiten derzeit an einer neuen Vereinbarung über den Datenverkehr, die bereits im Juli oder erst im Oktober in Kraft treten könnte. Meta hat bis zum 12. Oktober Zeit, sich bei der Datenübermittlung nicht mehr auf Standardvertragsklauseln zu verlassen. Außerdem hat Meta bis zum 12. November Zeit, die personenbezogenen Daten europäischer Facebook-Nutzer, die seit 2020 in die USA übertragen und dort gespeichert wurden, zu löschen oder in die EU zurückzubringen, bis eine neue Vereinbarung zwischen der EU und den USA erzielt wird.
Meta plant Berufung gegen das Urteil mit Rekordstrafe einzulegen
Der US-Technologieriese hatte zuvor gewarnt, dass er Dienste wie Facebook und Instagram in Europa einstellen könnte, wenn er gezwungen wäre, die Verwendung von Standardvertragsklauseln einzustellen, ohne dass ein angemessenes alternatives Abkommen über den Datenfluss in Kraft ist. Clegg und Newstead erklärten, das Unternehmen werde gegen die Entscheidung Berufung einlegen und bei den Gerichten eine Aussetzung der Umsetzungsfristen beantragen.
Es gibt keine unmittelbare Unterbrechung für Facebook, da die Entscheidung Umsetzungsfristen vorsieht, die bis Ende des Jahres laufen.
Die irische Datenschutzkommission erklärte, sie sei mit der Geldbuße und den Maßnahmen, die sie gegen Meta verhängt, nicht einverstanden, sei aber durch das paneuropäische Netzwerk der nationalen Regulierungsbehörden, den Europäische Datenschutzausschuss (EDSA), dazu gezwungen worden, nachdem die ursprüngliche Entscheidung Dublins von vier seiner gleichrangigen Regulierungsbehörden in Europa, aus Deutschland, Frankreich, Spanien und Österreich, angefochten wurde.
Max Schrems, der Datenschutzaktivist, der die ursprüngliche Klage aus dem Jahr 2013 unterstützte, sagte:
Wir freuen uns über diese Entscheidung nach zehn Jahren Rechtsstreit … Wenn die US-Überwachungsgesetze nicht geändert werden, muss Meta seine Systeme grundlegend umstrukturieren.
Irische Datenschutzbehörde hält Rekordstrafe gegen Meta für ungerechtfertigt
Laut internen Diskussionen, die am Montag veröffentlicht wurden, hatte sich die irische Aufsichtsbehörde Anfang des Jahres vehement gegen die Verhängung der Rekordstrafe gegen den Social-Media-Giganten ausgesprochen, da eine solche Entscheidung angesichts der mutmaßlichen Datenschutzverstöße unverhältnismäßig wäre. Dublin argumentierte auch, dass eine solche Geldstrafe gegen Meta als diskriminierend angesehen werden könnte, da das US-Tech-Unternehmen Google in anderen transatlantischen Datenschutzfällen nicht mit ähnlichen Strafen konfrontiert wurde.
Die letzte Strafe durch die irische Datenschutzbehörde wurde im Januar verhängt, weil Meta personalisierte Werbung auf Facebook und Instagram durchgesetzt hat und die Nutzer zur Zustimmung gezwungen hat. Die Strafe belief sich Anfang des Jahres auf 390 Millionen Euro. Die Höchststrafe durch die DSGVO liegt bei über vier Milliarden Euro. Da Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, sehen viele Verantwortliche die Rekordstrafe als zu niedrig an.
In scharfer Kritik vertrat das EU-weite Gremium der Datenschutzbehörden EDPB die Ansicht, dass Meta den Verstoß zumindest mit dem höchsten Grad an Fahrlässigkeit begangen hat und sprach sich für eine Geldstrafe aus. Der EDPB unterstützte die Forderungen der vier EU-Datenschutzbehörden, dass Meta auch gezwungen werden sollte, die von der Entscheidung betroffenen historischen europäischen Daten zu löschen.
Datenschutzgrundverordnung DSGVO wird nicht nur von Meta kritisch gesehen
„Diese Entscheidung ist fehlerhaft, ungerechtfertigt und stellt einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen dar, die Daten zwischen der EU und den USA übertragen“, erklärten Nick Clegg, President of Global Affairs von Meta, und Jennifer Newstead, Chief Legal Officer.
Ein neuer Deal soll die Kommunikation zwischen der EU und den USA regeln und die DSGVO mit einbeziehen. Nach Ansicht des deutschen Digitalverbands Bitkom, darf „Europa keine transatlantische Datenblockade aufbauen. Die Entkoppelung der EU von den Angeboten und Leistungen der internationalen Datenwirtschaft führt in die digitale Isolation und schadet den Menschen und Unternehmen Europas weit mehr als es ihnen nutzt.“
Eine vollständige Isolation von nicht EU Anbietern, oder solchen, die keine eigene Infrastruktur in der EU aufbauen wollen oder können, schränkt die gesamte Wirtschaft ein. Cloudspeicher und Cloudlösungen, Standard Software wie Microsoft Office 365 und Videokonferenzsysteme wären betroffen. Die internationale Kommunikation wäre gestört, da beispielsweise Partner in den USA Software benutzen, die in der EU nicht funktioniert aufgrund der DSGVO. Zuletzt brach eine Diskussion um Datenschutz und der Rechtmäßigkeit des Schufa-Score am europäischen Gerichtshof EuGH aus.
Für den Zuckerberg eh nur Peanuts;)