1, 2 Milliarden EURO Strafe für META wegen DSGVO-Verletzung
Meta Platforms Ireland Limited wurde von der irischen Datenschutzbehörde (IE DPC) mit einem Bußgeld in Höhe von 1,2 Milliarden Euro (mehr als 5 Milliarden Pfund) belegt. Dies war die höchste Verwaltungsstrafe, die jemals nach den Bestimmungen der DSGVO verhängt wurde. Die Strafe wurde auferlegt, weil Meta personenbezogene Daten im Rahmen von Standardvertragsklauseln in die USA übermittelt hatte. In ihrer Entscheidung sprach die Behörde auch von der Aussetzung der Datenübermittlung.
Zum Hintergrund der Entscheidung
In der Entscheidung wurde festgestellt, dass Meta gegen Artikel 46 Absatz 1 der DSGVO verstoßen hatte, indem es nach dem sogenannten Schrems-II-Urteil des EuGH vom 16. Juli 2020 weiterhin personenbezogene Daten aus der EU/dem EWR in die USA übermittelte.
Vor Juli 2020 erfolgte die Verarbeitung von Daten in die USA unter dem sogenannten Privacy Shield, einem Beschluss der Kommission, in dem ein angemessenes Schutzniveau festgestellt wurde.
Am 16. Juli 2020 hat der Europäische Gerichtshof den Privacy Shield in seinem Urteil in der Rechtssache Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems, allgemein als Schrems II bezeichnet, für ungültig erklärt.
Infolgedessen konnten weitere Übermittlungen u. a. auf der Grundlage eines der in den DSGVO-Bestimmungen genannten Mechanismen fortgesetzt werden.
Meta hat beschlossen, Übermittlungen in die USA auf Grundlage von Standardvertragsklauseln vorzunehmen, die von der Europäischen Kommission im Jahr 2021 angenommen wurden, kombiniert mit zusätzlichen ergänzenden Maßnahmen wie:
1. die Verschlüsselung von Daten
2. transparente Anträge von US-Behörden auf Zugang zu personenbezogenen Daten europäischer Facebook-Nutzer und
3. eine Reihe von Regeln und Verfahren für einen solchen Zugriff durch US-Behörden
Die irische Datenschutzbehörde IE DPC erklärte jedoch, dass die angewandten Maßnahmen nicht die Risiken für die Grundrechte und -freiheiten der Nutzer berücksichtigten, die der EuGH im Schrems II – Urteil aufgrund der geltenden US-Gesetzgebung festgestellt hatte.
Nach Informationen auf der Website des EDPB (European Data Protection Board) erklärte die Vorsitzende der Behörde Andrea Jelinek, dass „der EDPB festgestellt hat, dass der Verstoß der Meta IE sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt“.
Facebook hat Millionen von Nutzern in Europa, sodass die Menge der übertragenen personenbezogenen Daten enorm ist. Die beispiellose Geldbuße ist ein deutliches Signal an das Unternehmen, dass schwere Verstöße weitreichende Folgen haben“.
Worin besteht die Verletzung der DSGVO?
Wie Meta erklärte, wurden und werden die personenbezogenen Daten der Nutzer von Meta Ireland aus der EU/dem EWR an den Auftragsverarbeiter Meta US in den USA übermittelt, um den Nutzern von Meta Ireland den Facebook-Dienst zur Verfügung zu stellen.
In der Entscheidung wurde darauf hingewiesen, dass Meta US das US-Recht einhält, wozu auch Anträge auf Zugang zu personenbezogenen Daten gehören, die von der US-Regierung gestellt werden, da solche Anträge im Einklang mit dem US-Recht gestellt werden.
In der Entscheidung wird darauf hingewiesen, dass die SCC-Klauseln zwar für einen in der EU ansässigen Verantwortlichen und einen Empfänger einer Datenübermittlung in einem Drittland verbindlich sind, „dass diese Klauseln jedoch die Behörden dieses Drittlandes nicht binden können, da sie nicht Vertragspartei sind“. Daher sollte von Fall zu Fall geprüft werden, ob das Recht des Drittlandes einen angemessenen Schutz im Rahmen des EU-Rechts bietet, indem es erforderlichenfalls zusätzliche Garantien zu denen der SCC vorsieht.
Da die SCC für die US-Behörden nicht verbindlich sind, können sie weder die Datenverarbeitung durch die US-Behörden regeln noch eine Grundlage für einen wirksamen Rechtsbehelf im Falle eines Eingriffs bieten, der den Schaden für die betroffene Person tatsächlich behebt.
Zusammenfassend kam der IE DPC zu dem Schluss, dass:
1. das US-Recht kein Schutzniveau bietet, das dem des EU-Rechts weitgehend gleichwertig ist
2. der SCC 2021 den unzureichenden Schutz durch das US-Recht nicht ausgleichen kann
3. Meta Ireland keine ergänzenden Maßnahmen ergriffen hat, um den unzureichenden Schutz auszugleichen, und
4. Meta Ireland sich bei der Übermittlung nicht auf die Ausnahmeregelungen in Artikel 49 Absatz 1 der Datenschutzgrundverordnung oder auf andere Regelungen berufen kann.
Die vollständige Entscheidung der IE DPC kann auf der Website des EDPB nachgelesen werden.
Akzeptanz der Strafe
In einer offiziellen Pressemitteilung erklärte Meta, dass es dieselben Rechtsmechanismen wie andere Organisationen anwendet und dass es bei der Frage der Datenverarbeitung in die USA nicht um die Datenschutzpraktiken eines Unternehmens geht, sondern um das Bestehen eines grundlegenden rechtlichen Konflikts zwischen den US-amerikanischen Datenzugangsvorschriften und den europäischen Datenschutzrechten.
Meta erklärt außerdem, dass es gegen das Urteil, einschließlich der „ungerechtfertigten und unnötigen Geldstrafe“, Berufung einlegen und eine Aussetzung der einstweiligen Verfügungen vor Gericht beantragen wird.
Max Schrems, Mitbegründer der europäischen Non-Profit-Organisation noyb (none of your business“), deren Klage gegen Facebook Ireland Ltd. das Schrems-II-Urteil auslöste, äußerte sich zu dem Fall wie folgt: „Wir begrüßen diese Entscheidung nach zehn Jahren Rechtsstreit. Das Bußgeld hätte viel höher ausfallen können, da die Höchststrafe bei über 4 Milliarden liegt und Meta wissentlich gegen das Gesetz verstoßen hat, um zehn Jahre lang Gewinne zu erzielen. Wenn die US-Aufsichtsgesetze nicht geändert werden, wird Meta seine Systeme grundlegend umstrukturieren müssen“.
Die praktische Dimension des Bußgelds
Diese Strafe und der aktuelle Konflikt zwischen den EU-Datenschutzgesetzen und den US-Überwachungsgesetzen ist auch für alle anderen großen US-Dienstleister wie Microsoft, Google und Amazon ein Problem.
Nach Angaben der „New York Times“ könnte die Strafe grundlegende Facebook-Funktionen wie von Meta gespeicherte Daten zu Fotos, Freundschaftsverbindungen und Direktnachrichten betreffen. Dies und die Tatsache, dass etwa 10 Prozent des weltweiten Umsatzes von Meta aus Anzeigen stammen, die an Facebook-Nutzer in EU-Ländern ausgeliefert werden, könnte dem Geschäft von Facebook in Europa schaden, vor allem, wenn es sich negativ auf die Fähigkeit des Unternehmens auswirkt, Anzeigen gezielt zu schalten. Im Jahr 2022 erzielte Meta einen Umsatz von fast 117 Milliarden Dollar.
Wie geht es weiter?
Die Reaktion auf diese Situation kam sehr schnell, am 10. Juli dieses Jahres. Die Europäische Kommission nahm einen Angemessenheitsbeschluss in Bezug auf den Datenschutzrahmen zwischen der EU und den USA an. In diesem Beschluss wurde festgestellt, dass die USA ein angemessenes Schutzniveau bieten, das mit dem der Europäischen Union vergleichbar ist. Infolgedessen können personenbezogene Daten sicher von der EU zu den an diesem Rahmen beteiligten US-Unternehmen fließen, ohne dass zusätzliche Schutzmaßnahmen erforderlich sind.
Es sollte jedoch bedacht werden, dass sich die Schrems II – Situation wiederholen könnte.
Max Schrems reagierte auf die Veröffentlichung der Entscheidung mit den Worten:
„(…) die Definition von Wahnsinn ist, dass man immer wieder das Gleiche tut und ein anderes Ergebnis erwartet. Wie das Privacy Shield basiert auch das jüngste Abkommen nicht auf inhaltlichen Änderungen, sondern auf politischen Interessen“
und kündigte eine Beschwerde beim EuGH an.
Es ist nicht auszuschließen, dass die Datenverarbeitung durch META in einigen Jahren neue Probleme aufwerfen wird.