47. Rekord-Bußgeld für Meta. Der Tech-Gigant kündigt Berufung an.

Foto von Sara

Der US-Technologieriese Meta wird nun verpflichtet, eine Rekord-Strafe in Höhe von 1,2 Milliarden Euro zu entrichten. Grund dafür ist der Verstoß gegen die Datenschutzvorschriften der Europäischen Union. Die Entscheidung fußt auf einem langjährigen Rechtsstreit und zahlreichen datenschutzrechtlichen Verstößen durch den Tech-Giganten. Nun wurde die bisher höchste Geldstrafe verhängt. Außerdem wird die weitere Datenübermittlung in die USA untersagt.

Wie kam es zu diesem Beschluss?

Der Grundstein dafür wurde von Edward Snowden gelegt. Im Jahr 2013 enthüllte der Whistleblower, dass amerikanische Unternehmen der US-Regierung, Daten für Überwachungsprogramme zur Verfügung stellten und Geheimdienste somit auch Zugriff auf persönliche Daten europäischer Nutzer haben. Max Schrems, ein bekannter Datenschutzaktivist, reichte daraufhin beim irischen Datenschutzbeauftragten eine Beschwerde gegen Facebook Ireland Ltd. ein.

Er begründete seine Forderung an Facebook, die Datenübermittlung in die USA zu stoppen, damit, dass Facebook personenbezogene Daten an die US-Geheimdienste weitergeben müsse. Mit dem Schrems-II-Urteil hatte der Datenschützer Erfolg und die Datenübermittlung wurde als unzulässig eingestuft. Seither hat Meta jedoch keine nennenswerten Veränderungen für die Datensicherheit der Nutzer umgesetzt. Aufgrund des verbindlichen Beschlusses (Art. 65 DSGVO) des Europäischen Datenschutzausschusses (EDSA) wurde die irische Datenschutzbehörde Data Protection Commissioner (DPC) nun verpflichtet, der in Irland ansässigen Niederlassung von Meta, eine Strafe in Höhe von 1,2 Milliarden EUR aufzuerlegen. Außerdem wird die Übermittlung personenbezogener Daten in die USA untersagt.

Unvereinbarkeit US-amerikanischer Zugriffsregelungen mit europäischen Datenschutzregeln

Die derzeitige Rechtslage stellt jedoch auch andere US-amerikanische Großkonzerne und deren europäische Kunden vor große Herausforderungen. Das US-Überwachungsgesetz FISA 702 war bereits Gegenstand des Schrems-II-Urteils und sorgte unter anderem für die Ungültigkeit des ehemaligen Angemessenheitsbeschlusses der USA (dem sog. Privacy Shield). Seither gilt die USA als unsicheres Drittland, da das Risiko für personenbezogene Daten bei der Übermittlung nicht ausreichend eingedämmt werden kann.

Problematisch ist nicht nur die bewusste Datenübermittlung in die USA sondern auch die Möglichkeit des Zugriffs auf Daten europäischer Tochtergesellschaften durch amerikanische Muttergesellschaften. Die Datenverarbeitungen müssen daher mittels geeigneter Garantien datenschutzrechtlich abgesichert werden. Dazu zählen etwa Standardvertragsklauseln. Diese beinhalten jedoch die Pflicht der Durchführung einer Risikoabschätzung (sog. Transfer Impact Assessment), vor der geplanten Durchführung der Übermittlung. Der Transfer ist somit nur zulässig, wenn eine Einzelfallprüfung der Vertragsparteien ergibt, dass aufgrund geeigneter technischer, organisatorischer oder vertraglicher Maßnahmen das Risiko für die verarbeiteten Daten im konkreten Fall reduziert werden kann.

Eine Lösung des Konflikts ist derzeit nicht in Sicht

Diese Prüfung ist für europäische Unternehmen mit erheblichem Aufwand verbunden. Nicht zuletzt da die Informationsbeschaffung sehr aufwändig ist und etwa zusätzliche Verschlüsselungsmaßnahmen in der Cloud erhöhte Kosten verursachen. Der EuGH verweist daher darauf, europäische Alternativanbieter in Erwägung zu ziehen.

Derzeit wird bereits an einem neuen Angemessenheitsbeschluss für die USA gearbeitet, dem sog. EU-US Data Privacy Framework. Dies wurde bereits von mehreren Seiten kritisiert: Nach Ansicht des EDSA werden die zentralen Kritikpunkte des Schrems-II-Urteils nicht ausreichend adressiert.

Max Schrems vertritt hingegen die Auffassung, dass geeignete Schutzmechanismen im US-Recht geregelt werden müssen. Für eine legale Überwachung müsste demnach ein begründeter Verdacht und eine Genehmigung durch einen Richter als Voraussetzung festgelegt werden. Dieser Schutz wird US-Bürgern bereits eingeräumt und sollte auch für Nicht-US-Bürger verbindlich festgelegt werden.  

Die Reaktion von Meta

Auf die am Montag (22.05.2023) veröffentlichte Entscheidung, reagierte der Konzern prompt und kündigt an, in die Berufung zu gehen. Außerdem müssen sich nach Aussage von Meta europäische Facebook-Nutzer keine Sorgen machen, da es keine unmittelbaren Beeinträchtigungen in Europa geben wird. Damit widersprechen sie dem zuvor angedrohten Rückzug aus Europa. Schließlich verweist Meta darauf, die gleichen rechtlichen Instrumente zu nutzen, wie andere US-amerikanische Unternehmen. Somit könnte jeder US-Dienstleister wie Microsoft, Google, oder Amazon von einer ähnlichen Strafe nach EU-Recht betroffen sein.

Die Erfolgsaussichten der Berufung dürften allerdings gering sein. Wie der EuGH bereits im Schrems-II-Urteil entschieden hatte, besteht derzeit keine rechtliche Grundlage für den EU-US-Datentransfer. Eine langfristige Lösung für die widerstreitenden Interessen ist derzeit nicht in Sicht.  

Im kommenden News Room-Beitrag informieren wir Sie darüber, nach welchen Kriterien die Aufsichtsbehörden Bußgelder nach der DSGVO berechnen.