Datenschutz: EU verhängt Milliardenstrafe gegen Meta

Die irische Datenschutzbehörde Data Protection Commission (DPC) hat eine Geldstrafe in Höhe von 1,2 Milliarden Euro gegen die Facebook-Mutter Meta verhängt. Meta soll im Zusammenhang mit dem Betrieb des Social Network Facebook persönliche Daten von Nutzern in die USA übertragen und damit gegen die Datenschutzgrundverordnung verstoßen haben. Laut European Data Protection Board (EDPB) ist es die bisher höchste Strafe aufgrund Verstößen gegen die DSGVO.

Auslöser ist das vom österreichischen Aktivisten Max Schrems angestrengte Verfahren gegen das Datenschutzabkommen Privacy Shield. Es führte dazu, dass der Gerichtshof der Europäischen Union das Abkommen im Juli 2020 aufhob. Seitdem erfolgte jeglicher Austausch von Daten zwischen der EU und den USA auf Basis sogenannter Standardvertragsklauseln.

Standardvertragsklauseln unzureichend

Nach Ansicht der DPC bieten die von Facebook verwendeten Standardvertragsklauseln trotz vorgenommener Anpassungen nicht den vom EU-Gerichtshof geforderten „angemessenen“ Schutz für in die USA übertragene persönliche Daten von EU-Bürgern. Beanstandet wurden alle Datenübertragungen seit 16. Juli 2020.

Da zwischen der DPC und den Datenschutzbehörden der anderen Mitgliedstaaten in der Bewertung der Verstöße keine Einigung erzielt werden konnte, wurde schließlich die Europäische Datenschutzbehörde eingeschaltet, die bereits im April zu einer bindenden Entscheidung kam, die nun von der DPC umgesetzt wurde. Sie sieht neben der Geldstrafe vor, dass Meta innerhalb von fünf Monaten jegliche Datenübertragungen in die USA aussetzen muss. Zum muss Meta innerhalb von sechs Monaten seine Datenverarbeitung insbesondere an Kapitel 5 der DSGVO anpassen und die unrechtmäßige Verarbeitung und Speicherung von in die USA übertragene Daten von EU-Nutzern einstellen.

„Das EDPB hat festgestellt, dass der Verstoß von Meta Irland sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt“, kommentiert Andrea Jelinek, Vorsitzende des EDPB. „Facebook hat Millionen von Nutzern in Europa, so dass das Volumen der übermittelten personenbezogenen Daten enorm ist. Die beispiellose Geldbuße ist ein starkes Signal an die Unternehmen, dass schwerwiegende Verstöße weitreichende Folgen haben.“

Meta geht in Berufung

Meta kündigte indes an, gegen die Entscheidung vorzugehen. Es gehe letztlich nicht nur um die Datenschutzpraktiken eines Unternehmens, sondern um einen „grundlegenden Rechtskonflikt zwischen den Vorschriften der US-Regierung über den Zugang zu Daten und den europäischen Datenschutzrechten“. Wahrscheinlich werde dieser Konflikt jedoch von den politischen Entscheidungsträgern noch in diesem Sommer gelöst.

Der Aktivist und Rechtsanwalt Max Schrems bewertete die Entscheidung hingegen als schweren Schlag für Meta. „Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit. Das Bußgeld hätte wesentlich höher ausfallen können, da die Höchststrafe bei über 4 Milliarden liegt und Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen. Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen.“

Schrems warnte zudem, dass jeder große US-Cloudanbieter wie Amazon, Google und Microsoft von einer ähnlichen Strafe betroffen sein könne. „Die einfachste Lösung wären vernünftige Garantien im US-Recht. Auf beiden Seiten des Atlantiks besteht Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung braucht. Bisher gilt das aber nach US-Recht nur für die eigenen Bürger. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren.“