Die Daten von Facebook-Nutzern in die USA zu übertragen, verstößt gegen die DSGVO. Auf 1,2 Milliarden Euro Bußgeld beläuft sich die Strafe. Innerhalb von fünf Monaten muss Meta nun den Datentransfer einstellen
Data Protection Commission (DPC), die irische Datenschutzbehörde, hat eine Geldstrafe in Höhe von 1,2 Milliarden Euro gegen die Facebook-Mutter Meta verhängt. Im Zusammenhang mit dem Betrieb des Social Network Facebook soll Meta persönliche Daten von Nutzern in die USA übertragen und damit gegen die Datenschutzgrundverordnung verstoßen haben. Es ist -laut European Data Protection Board (EDPB) – die bisher höchste die bisher höchste Strafe aufgrund von Verstößen gegen die DSGVO.
Das vom österreichischen Aktivisten Max Schrems angestrengte Verfahren gegen das Datenschutzabkommen Privacy Shield war der Anstoß für die Klage. Der Gerichtshof der Europäischen Union hob dadurch das Abkommen im Juli 2020 auf. Jeglicher Austausch von Daten zwischen der EU und den USA erfolgte seitdem auf Basis sogenannter Standardvertragsklauseln.
Unzureichende Standardvertragsklauseln
Die von Facebook verwendeten Standardvertragsklauseln bieten nach Ansicht der DPC trotz vorgenommener Anpassungen nicht den vom EU-Gerichtshof geforderten „angemessenen“ Schutz für in die USA übertragene persönliche Daten von EU-Bürgern. Alle Datenübertragungen seit 16. Juli 2020 wurden beanstandet. Da zwischen der DPC und den Datenschutzbehörden der anderen Mitgliedstaaten in der Bewertung der Verstöße keine Einigung erzielt werden konnte, wurde schließlich die Europäische Datenschutzbehörde eingeschaltet, die bereits im April zu einer bindenden Entscheidung kam, die nun von der DPC umgesetzt wurde.
Neben der Geldstrafe sieht sie vor, dass Meta innerhalb von fünf Monaten jegliche Datenübertragungen in die USA aussetzen muss. Meta muss ebenso innerhalb von sechs Monaten seine Datenverarbeitung, insbesondere an Kapitel 5 der DSGVO, anpassen und die unrechtmäßige Verarbeitung sowie Speicherung der in die USA übertragenen Daten von EU-Nutzern einstellen.Andrea Jelinek, Vorsitzende des EDPB kommentiert hierzu:„Das EDPB hat festgestellt, dass der Verstoß von Meta Irland sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt.“
Meta geht in Berufung
Indes kündigte Meta an, gegen die Entscheidung vorzugehen. Nicht nur gehe es um die Datenschutzpraktiken eines Unternehmens, sondern auch um einen „grundlegenden Rechtskonflikt zwischen den Vorschriften der US-Regierung über den Zugang zu Daten und den europäischen Datenschutzrechten“. Der Konflikt werde jedoch wahrscheinlich von den politischen Entscheidungsträgern noch in diesem Sommer gelöst.Der Rechtsanwalt und Aktivist Max Schrems bewertete die Entscheidung hingegen als schweren Schlag für Meta.
Schrems warnte aber auch, dass jeder große US-Cloudanbieter wie Amazon und Google von einer ähnlichen Strafe betroffen sein könne. „Die einfachste Lösung wären vernünftige Garantien im US-Recht. Auf beiden Seiten des Atlantiks besteht Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung braucht. Bisher gilt das aber nach US-Recht nur für die eigenen Bürger. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren.“