Meta zahlt Milliardenstrafe wegen Datentransfer in die USA
Die irische Datenschutzbehörde hat eine Rekordstrafe in Höhe von 1,2 Milliarden Euro gegen den Facebook-Mutterkonzern Meta verhängt. Wie die Behörde am heutigen Montag mitteilte, hat Meta mit dem Übertragen von Facebook-Nutzerdaten aus der EU in die USA gegen die Datenschutzgrundverordnung (DSGVO) verstoßen.
Laut der irischen Datenschutzbehörde DPC muss Meta diesen Datentransfer nun innerhalb von fünf Monaten stoppen. Außerdem muss das Unternehmen seine Datenverarbeitung mit der DSGVO in Einklang bringen: Bereits in die USA übertragene Daten von europäischen Nutzerinnen und Nutzern dürfen dort nicht mehr verarbeitet werden. Um diese Vorgabe umzusetzen, hat das Unternehmen sechs Monate lang Zeit.Hintergrund der Entscheidung ist eine Beschwerde, die der österreichische Datenschutzaktivist Max Schrems bereits im Jahr 2013 gegen Facebook eingereicht hatte. Unternehmen wie Meta sind in den USA durch den “Foreign Intelligence Surveillance Act” zur Zusammenarbeit mit US-Geheimdiensten verpflichtet – diese können ohne richterliche Genehmigung Daten abfragen.
Keine Rechtsgrundlage für Datentransfer
Der Europäische Gerichtshof (EuGH) hatte im Jahr 2015 die damalige Rechtsgrundlage für die Übermittlung personenbezogener Daten von EU-Bürgern in die USA für ungültig erklärt. Auch das Nachfolgeabkommen “Privacy Shield” hatte der EuGH im Jahr 2020 aufgrund der Überwachungsgesetze in den USA gekippt.
Auf Basis sogenannter Standardvertragsklauseln können Unternehmen Nutzerdaten seitdem zwar weiterhin in Drittstaaten übermitteln – aber nur, wenn das EU-Datenschutzniveau dabei gewährleistet wird. Die irische Datenschutzbehörde stellte nun fest, die Standardvertragsklauseln und zusätzliche von Meta “umgesetzte Maßnahmen” würden die vom EuGH aufgezeigten Risiken für die Grundrechte von Betroffenen nicht beseitigen.
Schrems begrüßte die Entscheidung, erklärte aber auch, “das Bußgeld hätte wesentlich höher ausfallen können”. Meta habe wissentlich gegen die DSGVO verstoßen, “um Profit zu machen”. “Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen.”
Meta will in Berufung gehen
Der Facebook-Konzern hat bereits angekündigt, gegen die Entscheidung Berufung einzulegen. Der Betrieb von Facebook in Europa sei aber nicht unmittelbar gefährdet. Die Entscheidung bezeichnete das Unternehmen als “fehlerhaft und ungerechtfertigt”. Außerdem schaffe sie einen “gefährlichen Präzedenzfall” für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA übertragen. Es handle sich um einen grundlegenden Rechtskonflikt zwischen den Vorschriften der US-Regierung über den Zugang zu Daten und den Datenschutzbestimmungen in Europa.
Auch Max Schrems erklärte: “Die einfachste Lösung wären vernünftige Garantien im US-Recht.” Es bestehe “auf beiden Seiten des Atlantiks” Einigkeit darüber, dass für legale Überwachung ein begründeter Verdacht und eine richterliche Genehmigung benötigt würden. Schrems kritisirte: “Bisher gilt das aber nach US-Recht nur für die eigenen Bürger. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren. Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein.”
Meta hofft nun darauf, dass ein neues Abkommen zum Datentransfer zwischen den USA und der EU verabschiedet wird. Schrems hingegen hält es für “nicht unwahrscheinlich”, dass auch ein solches Abkommen vom EuGH für ungültig erklärt würde. “Solange die US-Überwachungsgesetze nicht geändert werden, wird Meta die EU-Daten wahrscheinlich in der EU behalten müssen”, erklärte er.
Kritik übte der Datenschutzaktivist auch an der irischen Datenschutzbehörde. Diese habe “alles getan, um diese Entscheidung zu verhindern”. Der Europäische Datenschutzausschuss (EDSA) hatte die Behörde aber überstimmt und angewiesen, eine entsprechende Entscheidung zu veröffentlichen. Die irische Datenschutzbehörde ist für Meta zuständig, weil das Unternehmen – wie viele seiner Mitbewerber – seinen europäischen Sitz in dem Land hat.
Die EDSA-Vorsitzende Andrea Jelinek bezeichnete die Datenschutzverstöße von Facebook als “sehr schwerwiegend”, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen gehandelt habe. Facebook habe Millionen Nutzerinnen und Nutzer in Europa, sodass der Umfang der übermittelten personenbezogenen Daten enorm sei.
Die nun verhängte Geldstrafe ist das höchste bisher verhängte Bußgeld nach der DSGVO. (dpa / js)