Irische Datenschutzbehörde verhängt Milliardenstrafe gegen Meta: Ein Wendepunkt für den Datenschutz in Europa?

Meta Ireland verletzt die DSGVO: Was das Urteil der Datenschutzkommission bedeutet

In der kürzlich abgeschlossenen Untersuchung der irischen Datenschutzkommission (DPC) wurden schwerwiegende Verstöße von Meta Platforms Ireland Limited („Meta Ireland“) gegen die Datenschutzgrundverordnung (DSGVO) festgestellt. Trotz der Anwendung von Standardvertragsklauseln und zusätzlichen ergänzenden Maßnahmen fand die DPC, dass Meta Ireland weiterhin personenbezogene Daten von der EU/EEA in die USA überträgt, was die im Urteil des Europäischen Gerichtshofs (EuGH) identifizierten Risiken für die Grundrechte und Freiheiten der betroffenen Personen nicht anspricht.

Die Reaktion der EU/EEA Datenschutzbehörden auf die Datenschutzverletzungen von Meta

Nachdem die irische Datenschutzkommission (DPC) ihren Entwurfsentscheid fertiggestellt hatte, wurde dieser gemäß dem in der DSGVO vorgeschriebenen Kooperationsverfahren an ihre Partneraufsichtsbehörden in der EU/EEA, auch als „beteiligte Aufsichtsbehörden“ bekannt, zur Prüfung vorgelegt. Der Entwurfsentscheid enthielt das Urteil, dass Meta Ireland gegen Artikel 46(1) der DSGVO verstoßen hat und schlug vor, die Übertragung von Daten aufgrund dieser Umstände auszusetzen.

Die meisten der beteiligten Aufsichtsbehörden stimmten mit der Position der DPC überein, dass Meta Ireland mit der fortgesetzten Datenübertragung in die USA gegen die DSGVO verstoßen hat und dass eine Aussetzung dieser Datenübertragungen notwendig ist. Eine kleine Anzahl (4) der insgesamt 47 beteiligten Aufsichtsbehörden legte jedoch Einwände gegen die vorgeschlagene Korrekturmaßnahme der DPC ein.

Diese vier Aufsichtsbehörden waren der Ansicht, dass Meta Ireland nicht nur die Datenübertragung aussetzen, sondern auch eine Verwaltungsstrafe für das festgestellte Fehlverhalten zahlen sollte. Zwei dieser Aufsichtsbehörden gingen sogar noch einen Schritt weiter und forderten, dass Meta Ireland zusätzlich Maßnahmen ergreifen sollte, um die bereits rechtswidrig in die USA übertragenen Daten seit Juli 2020 zu adressieren.

Diese unterschiedlichen Ansichten unter den beteiligten Aufsichtsbehörden verdeutlichen die Komplexität und Tragweite des Falls und die Bedeutung einer einheitlichen Anwendung der DSGVO innerhalb der EU/EEA.

Die Entscheidung des Europäischen Datenschutzausschusses und ihre Auswirkungen auf Meta Ireland

Der Europäische Datenschutzausschuss (EDPB) hat nach eingehender Prüfung und Abwägung aller vorliegenden Fakten im April 2023 eine entscheidende Weichenstellung vorgenommen. Basierend auf den Ergebnissen der Untersuchung der irischen Datenschutzkommission (DPC) bestätigte das Gremium die schwerwiegenden Datenschutzverstöße von Meta Ireland und machte deutlich, dass solche Verstöße nicht toleriert werden können.

In der Folge hat die DPC eine der bisher höchsten Geldstrafen in der Geschichte des Datenschutzes verhängt. Mit einem beeindruckenden Betrag von 1,2 Milliarden Euro unterstreicht diese Strafe die Ernsthaftigkeit der Verstöße und die Notwendigkeit, dass Unternehmen die Bedeutung des Datenschutzes und die Einhaltung der Datenschutzbestimmungen ernst nehmen.

Aber die Maßnahmen gehen noch weiter. Meta Ireland wurde auch dazu aufgefordert, seine Datenverarbeitungsaktivitäten an Kapitel V der DSGVO anzupassen. Dies bedeutet, dass Meta Ireland die rechtswidrige Verarbeitung und Speicherung von personenbezogenen Daten von EU/EEA-Nutzern in den USA beenden muss. Dies ist ein wichtiger Schritt, um sicherzustellen, dass die Daten von EU/EEA-Bürgern in Übereinstimmung mit den Datenschutzbestimmungen der EU behandelt werden, unabhängig davon, wo die Datenverarbeitung tatsächlich stattfindet.

Dieser Entscheid markiert eine bedeutende Eskalation in den Bemühungen um den Datenschutz in Europa und könnte weitreichende Auswirkungen auf andere Technologieunternehmen haben, die Daten aus der EU/EEA in die USA übertragen.

Fazit:

Diese Entscheidung ist ein bedeutender Meilenstein für den Datenschutz in Europa und sendet ein starkes Signal an Unternehmen, die personenbezogene Daten in Drittländer übertragen. Unternehmen müssen sich der Risiken bewusst sein, die mit der Übertragung von Daten aus der EU/EEA in Länder verbunden sind, in denen der Datenschutz nicht dem europäischen Standard entspricht.

Für Nutzer von Facebook und anderen Meta-Diensten bedeutet dies, dass ihre Daten besser geschützt sein sollten. Die Entscheidung macht deutlich, dass die DSGVO nicht nur auf dem Papier existiert, sondern auch durchgesetzt wird. Es bleibt jedoch abzuwarten, wie Meta und andere Unternehmen auf diese Entscheidung reagieren und welche Auswirkungen sie auf die Nutzer haben wird.

Author: Marian Härtel

Marian Härtel ist Rechtsanwalt und Fachanwalt für IT-Recht mit einer über 25-jährigen Erfahrung als Unternehmer und Berater in den Bereichen Games, E-Sport, Blockchain, SaaS und Künstliche Intelligenz. Seine Beratungsschwerpunkte umfassen neben dem IT-Recht insbesondere das Urheberrecht, Medienrecht sowie Wettbewerbsrecht. Er betreut schwerpunktmäßig Start-ups, Agenturen und Influencer, die er in strategischen Fragen, komplexen Vertragsangelegenheiten sowie bei Investitionsprojekten begleitet. Dabei zeichnet sich seine Beratung durch einen interdisziplinären Ansatz aus, der juristische Expertise und langjährige unternehmerische Erfahrung miteinander verbindet. Ziel seiner Tätigkeit ist stets, Mandanten praxisorientierte Lösungen anzubieten und rechtlich fundierte Unterstützung bei der Umsetzung innovativer Geschäftsmodelle zu gewährleisten.