Datenschutz: Milliardenstrafe gegen Meta durch EU

Die Daten von Facebook-Nutzern in die USA zu übertragen, verstößt gegen die DSGVO.  Auf 1,2 Milliarden Euro Bußgeld beläuft sich die Strafe. Innerhalb von fünf Monaten muss Meta nun den Datentransfer einstellen

Data Protection Commission (DPC), die irische Datenschutzbehörde, hat eine Geldstrafe in Höhe von 1,2 Milliarden Euro gegen die Facebook-Mutter Meta verhängt. Im Zusammenhang mit dem Betrieb des Social Network Facebook soll Meta persönliche Daten von Nutzern in die USA übertragen und damit gegen die Datenschutzgrundverordnung verstoßen haben. Es ist -laut European Data Protection Board (EDPB) - die bisher höchste die bisher höchste Strafe aufgrund von Verstößen gegen die DSGVO.

Das vom österreichischen Aktivisten Max Schrems angestrengte Verfahren gegen das Datenschutzabkommen Privacy Shield war der Anstoß für die Klage. Der Gerichtshof der Europäischen Union hob dadurch das Abkommen im Juli 2020 auf. Jeglicher Austausch von Daten zwischen der EU und den USA erfolgte seitdem auf Basis sogenannter Standardvertragsklauseln.

Unzureichende Standardvertragsklauseln

Die von Facebook verwendeten Standardvertragsklauseln  bieten nach Ansicht der DPC trotz vorgenommener Anpassungen nicht den vom EU-Gerichtshof geforderten „angemessenen“ Schutz für in die USA übertragene persönliche Daten von EU-Bürgern. Alle Datenübertragungen seit 16. Juli 2020 wurden beanstandet. Da zwischen der DPC und den Datenschutzbehörden der anderen Mitgliedstaaten in der Bewertung der Verstöße keine Einigung erzielt werden konnte, wurde schließlich die Europäische Datenschutzbehörde eingeschaltet, die bereits im April zu einer bindenden Entscheidung kam, die nun von der DPC umgesetzt wurde. 

Neben der Geldstrafe sieht sie vor, dass Meta innerhalb von fünf Monaten jegliche Datenübertragungen in die USA aussetzen muss. Meta muss ebenso innerhalb von sechs Monaten seine Datenverarbeitung, insbesondere an Kapitel 5 der DSGVO, anpassen und die unrechtmäßige Verarbeitung sowie Speicherung der in die USA übertragenen Daten von EU-Nutzern einstellen.Andrea Jelinek, Vorsitzende des EDPB kommentiert hierzu:„Das EDPB hat festgestellt, dass der Verstoß von Meta Irland sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt.“ 

„Facebook hat Millionen von Nutzern in Europa, so dass das Volumen der übermittelten personenbezogenen Daten enorm ist. Die beispiellose Geldbuße ist ein starkes Signal an die Unternehmen, dass schwerwiegende Verstöße weitreichende Folgen haben.“

Meta geht in Berufung

Indes kündigte Meta an, gegen die Entscheidung vorzugehen.  Nicht nur gehe es um die Datenschutzpraktiken eines Unternehmens, sondern auch um einen „grundlegenden Rechtskonflikt zwischen den Vorschriften der US-Regierung über den Zugang zu Daten und den europäischen Datenschutzrechten“. Der Konflikt werde jedoch wahrscheinlich von den politischen Entscheidungsträgern noch in diesem Sommer gelöst.Der Rechtsanwalt und Aktivist Max Schrems bewertete die Entscheidung hingegen als schweren Schlag für Meta.

„Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit. Das Bußgeld hätte wesentlich höher ausfallen können, da die Höchststrafe bei über 4 Milliarden liegt und Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen. Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen.“

Schrems warnte aber auch, dass jeder große US-Cloudanbieter wie Amazon und Google von einer ähnlichen Strafe betroffen sein könne. „Die einfachste Lösung wären vernünftige Garantien im US-Recht. Auf beiden Seiten des Atlantiks besteht Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung braucht. Bisher gilt das aber nach US-Recht nur für die eigenen Bürger. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren.“