Datenschutz: Meta zu Milliardenstrafe verdonnert
Meta wurde mit einer Rekordstrafe in Höhe von 1,2 Milliarden Euro belegt und muss die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten einstellen. Die Entscheidung ist wegweisend und stellt fest, dass derartige Datenübermittlungen illegal sind.
Meta wurde mit einer Rekordstrafe in Höhe von 1,2 Milliarden Euro belegt und muss die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten einstellen. Die Entscheidung ist wegweisend und stellt fest, dass derartige Datenübermittlungen illegal sind.
Der irische Datenschutzbeauftragte (DPC), die für Meta zuständige europäische Behörde, verhängte am Montag die höchste Geldstrafe, die jemals im Rahmen der Datenschutz-Grundverordnung (DSGVO) verhängt wurde. Damit wurde eine langwierige Untersuchung abgeschlossen, die im August 2020 begann.
Das Big-Tech-Unternehmen hat bis sechs Monate nach Erhalt der Entscheidung Zeit, die Übermittlung und Verarbeitung der Daten von in der EU ansässigen Personen in den Vereinigten Staaten einzustellen. Das bedeutet, dass die Daten entweder gelöscht oder zurück nach Europa gebracht werden müssen.
Die Entscheidung stützt sich auf das Schrems-II-Urteil des EU-Gerichtshofs, in dem festgestellt wurde, dass die US-amerikanische Rechtsordnung aufgrund des unverhältnismäßigen und unanfechtbaren Zugriffs der Nachrichtendienste keinen angemessenen Datenschutz nach EU-Standards bietet.
Im Dezember nahm die Kommission den Entwurf eines Angemessenheitsbeschlusses zur Zertifizierung des EU-US-Datenschutzrahmens an, der noch vor Jahresende verabschiedet werden soll, um einen neuen Rechtsrahmen für den transatlantischen Datentransfer zu schaffen.
Es stellt sich also die Frage, ob es Meta gelingen wird, die Unterbrechung der Datenübermittlung zu verzögern, bis der neue Rahmen in Kraft ist. In einer Stellungnahme zu der Entscheidung erklärte Meta, dass es keine unmittelbare Unterbrechung für Facebook in Europa geben werde, dass das Unternehmen aber gegen die Entscheidung Berufung einlegen und eine gerichtliche Aussetzung beantragen werde.
Die Untersuchung gegen Meta Ireland wurde im August 2020 eingeleitet, beruht aber auf einer viel längeren Geschichte von Fragen über die Rechtmäßigkeit der Datenübermittlungen des Unternehmens zwischen den USA und der EU.
Im Juli letzten Jahres wurde ein Beschlussentwurf fertiggestellt, in dem die Datenübertragung des Unternehmens als Verstoß gegen die EU-DSGVO eingestuft und ihre sofortige Aussetzung angeordnet wurde.
Der Fall kam auch zu dem Schluss, dass Datenübermittlungen auf der Grundlage von Standardvertragsklauseln Garantien enthalten müssen, die den betroffenen Personen einen Schutz bieten, der im Wesentlichen dem durch die DSGVO und die EU-Grundrechtecharta garantierten Schutz entspricht.
Der Entscheidungsentwurf wurde anschließend dem Europäischen Datenschutzausschuss vorgelegt, in dem alle europäischen Datenschutzbehörden vertreten sind. Alle Behörden stimmten dem Vorschlag der irischen Aufsichtsbehörde zu, eine Aussetzung der Datenübermittlung anzuordnen.
Vier Behörden erhoben jedoch Einwände gegen die von der Datenschutzbehörde vorgeschlagenen Abhilfemaßnahmen und vertraten die Auffassung, dass Meta wegen des Verstoßes mit einer Geldstrafe belegt werden sollte. Zwei der vier Behörden forderten auch Maßnahmen für personenbezogene Daten, die bereits seit Juli 2020 unrechtmäßig in die USA übermittelt wurden.
Die Datenschutzbehörde wies dieses Argument zurück, woraufhin die Angelegenheit in Bezug auf den Streitbeilegungsmechanismus der Datenschutzbehörde weitergeleitet wurde. Im vergangenen Monat wurde eine verbindliche Entscheidung erlassen.
Infolgedessen wurde gegen den Tech-Giganten eine Verwaltungsstrafe in Höhe von 1,2 Milliarden Euro verhängt. Dies ist die höchste Geldstrafe, die jemals für einen Verstoß gegen die DSGVO verhängt wurde. Sie übertrifft den bisherigen Rekord, der mit 746 Millionen Euro gegen Amazon aufgestellt wurde.
In der endgültigen Entscheidung wurde festgestellt, dass Meta gegen das EU-Recht verstoßen hat. Obwohl die Übermittlungen auf der Grundlage der von der Kommission festgelegten Standardvertragsklauseln erfolgten, wurden die vom EU-Gerichtshof in seinem Urteil in der Rechtssache Schrems II beschriebenen Gefahren für die Grundrechte und -freiheiten der betroffenen Personen nicht berücksichtigt.
Die irische Behörde wies Meta daher an, innerhalb von fünf Monaten nach Bekanntgabe der Entscheidung jede künftige Übermittlung personenbezogener Daten in die USA zu unterlassen und innerhalb von sechs Monaten nach Bekanntgabe die unrechtmäßige Verarbeitung, einschließlich der Speicherung, personenbezogener Daten europäischer Nutzer in den USA einzustellen, die gegen die Datenschutz-Grundverordnung verstoßen.
„Letztlich wurde die Ungültigkeit von Privacy Shield im Jahr 2020 durch einen grundlegenden Rechtskonflikt zwischen den Regeln der US-Regierung über den Zugang zu Daten und den Datenschutzrechten der Europäer verursacht. Es handelt sich um einen Konflikt, den weder Meta noch ein anderes Unternehmen allein lösen konnte“, so Meta in einer Erklärung.
„Wir sind daher enttäuscht, dass wir bei der Nutzung desselben rechtlichen Mechanismus wie Tausende anderer Unternehmen, die Dienstleistungen in Europa anbieten wollen, herausgegriffen wurden“, fügte das Unternehmen hinzu.
NOYB, die von dem Datenschützer Max Schrems geleitete Datenschutzgruppe, die das grundlegende Gerichtsverfahren initiiert hat, sagte, dass eine Berufung von Meta zwar wahrscheinlich ist, aber aufgrund der früheren Verstöße des Unternehmens kaum Erfolg haben wird. Dies verdeutlichte die Bedeutung des neuen Datentransferabkommens der EU.
„Meta plant, sich bei künftigen Übermittlungen auf das neue Abkommen zu stützen, aber das ist wahrscheinlich keine dauerhafte Lösung“, sagte Schrems in einer Erklärung nach der Veröffentlichung des Urteils. Er fügte hinzu, dass der Datenschutzrahmen wahrscheinlich auch vor Gericht angefochten werden wird.
Die Entscheidung gegen die Übermittlung von Daten durch große Technologieunternehmen in die USA ist bei weitem nicht die erste Entscheidung einer europäischen Datenschutzbehörde. Letztes Jahr schlossen sich sowohl Italien als auch Frankreich Österreich an und untersagten die Verwendung von Google Analytics im Lichte des Schrems II-Urteils.
Im April 2023 stellte die österreichische Aufsichtsbehörde außerdem fest, dass die Verwendung des Tracking-Pixels von Facebook sowohl gegen die Rechtsprechung als auch gegen die Datenschutz-Grundverordnung verstößt.
[Bearbeitet von Luca Bertuzzi/Nathalie Weatherald]
