Strafe von 1,2 Mrd. € gegen Meta durch die irische Datenschutzbehörde
Grund für die Strafe
Die irische Datenschutzbehörde (DPC) hat festgestellt, dass Meta gegen die Bestimmungen der Europäischen Datenschutz-Grundverordnung (DSGVO) verstoßen hat. Meta soll sich demnach durch die Übermittlung von Nutzerdaten aus der EU in die USA an der Massenüberwachung durch angloamerikanische Geheimdienste beteiligt haben, die bereits vor Jahren durch den Whistleblower Edward Snowden aufgedeckt wurde.
Hintergrund
Bereits mit seinem Urteil vom 16. Juli 2020 (Rs. C-311/18, Schrems II) hob der EuGH aufgrund eines durch den Datenschutzaktivisten Max Schrems angestrengten Verfahrens das – infolge der Snowden Veröffentlichungen getroffene – Datenschutzabkommen „Privacy Shield“ auf. Der EuGH erklärte das Datenschutzabkommen für ungültig, da dieses keinen angemessenen Schutz personenbezogener Daten von EU-Bürger*innen gewährleiste. Jeglicher Austausch von personenbezogenen Daten zwischen der EU und den USA hat seither auf Grundlage sogenannter Standardvertragsklauseln unter Vereinbarung geeigneter Garantien zur Sicherheit zu erfolgen.
Die DPC sieht die von Meta zur Absicherung des Datentransfers von Facebook-Nutzerdaten in die USA verwendeten Standardvertragsklauseln als nicht ausreichend an. Trotz vorgenommener Anpassungen bieten diese keinen „angemessenen“ Schutz für die in die USA übertragenen personenbezogenen Daten von EU-Bürger*innen.
Neben der Strafe von 1,2 Mrd. € ist Meta nun dazu verpflichtet worden, innerhalb von fünf Monaten jede künftige Übermittlung personenbezogener Daten in die USA auszusetzen, da das Unternehmen weiterhin den US-amerikanischen Überwachungsgesetzen unterliegt.
Die Höhe der Strafe
Die DPC hatte sich jahrelang geweigert, in dieser Sache gegen Meta, die in Irland ihre Zentrale für die Geschäfte außerhalb der USA und Kanada unterhält, tätig zu werden. Daher verpflichtete nunmehr der Europäische Datenschutzausschuss (EDSA) die DPC, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss der DPC bezieht sich nur auf Facebook und nicht auf andere Dienste aus dem Meta-Konzern, wie Instagram oder WhatsApp.
Mit 1,2 Mrd. € handelt es sich um die höchste Strafe, die jemals im Zusammenhang mit Verstößen gegen die DSGVO verhängt wurde. In der Liste der zehn höchsten Bußgelder wegen eines Verstoßes gegen die DSGVO ist Meta nun sechs Mal gelistet – diese belaufen sich insgesamt auf 2,5 Mrd. €. Das höchste Bußgeld in Deutschland mit 35 Mio. € wurde im Jahr 2020 gegen die Modekette H&M verhängt.
Auswirkungen auf Meta
Die Strafe in dieser Höhe wird Meta zweifellos in finanzieller Hinsicht treffen. Darüber hinaus könnte dies aber auch das Vertrauen der Nutzer*innen in das Unternehmen beeinträchtigen und möglicherweise zu einem Rückgang der Nutzung der Plattform führen. Meta hat angekündigt, gegen die Strafe Berufung einzulegen und seine Datenschutzpraktiken zu verbessern, um künftige Verstöße zu vermeiden.
Bedeutung für den Datenschutz
Die Entscheidung der DPC sendet ein starkes Signal an andere Unternehmen, dass Verstöße gegen den Datenschutz nicht toleriert werden. Sie unterstreicht die Bedeutung der Einhaltung der Datenschutzbestimmungen, insbesondere der DSGVO, die darauf abzielt, die Rechte und den Schutz personenbezogener Daten der Bürger*innen der Europäischen Union zu gewährleisten. Insbesondere Datentransfers in die USA bedürfen aufgrund eines fehlenden Angemessenheitsbeschlusses zwischen der EU-Kommission und den USA einer besonderen Überprüfung.
Ein rechtmäßiger Transfer personenbezogener Daten in die USA ist daher nur mit angemessenen Standardvertragsklauseln unter Vereinbarung weiterer geeigneter Garantien möglich. Welche das sein können, sollte angesichts der weitreichenden Durchgriffsmöglichkeiten der US-Sicherheitsbehörden im Einzelfall geprüft werden.
Internationale Auswirkungen
Da Meta ein globales Unternehmen ist, hat diese Entscheidung auch internationale Auswirkungen. Es könnte als Präzedenzfall dienen und andere Datenschutzbehörden dazu ermutigen, ähnliche Untersuchungen gegen Meta und andere Unternehmen, insbesondere Technologieunternehmen, einzuleiten. Im Fokus stehen dabei die „Big Player“, also große, wirtschaftsstarke Unternehmen mit beträchtlichen Umsätzen; auch richten sich Maßnahmen immer häufiger gegen die EU-Ableger amerikanischer Konzerne selbst.
Auswirkungen auf Ihr Unternehmen
Selbst wenn die deutschen Datenschutzbehörden bislang kein großes Interesse zeigen, Datenschutzverstöße durch US-Datentransfers bei kleinen und mittleren Unternehmen zu verfolgen, kann ein verbleibendes Risiko nicht gänzlich ausgeschlossen werden. Dies verdeutlicht die wachsende Bedeutung des Datenschutzes in der digitalen Welt und die Bemühungen der Regulierungsbehörden, die Rechte der Verbraucher*innen zu schützen.
Aus diesem Grund möchten wir empfehlen, US-Datentransfers besonders sorgfältig zu prüfen. Wenn ohne großen Aufwand und ohne Einbuße an Funktionalität und Kompatibilität von einem US-Dienst auf ein europäisches Pendant gewechselt werden kann, sollte dies in Erwägung gezogen werden.
Gerne unterstützen wir Sie mit unserem Expertenteam dabei. Insbesondere helfen wir Ihnen auch, Ihren Datentransfer in die USA sicher zu gestalten.
Haben Sie Fragen oder wünschen Sie eine Beratung, melden Sie sich gerne.