Der US-Technologieriese Meta wurde mit einer Rekordstrafe von 1,2 Milliarden Euro belegt, weil er sich nicht an die EU-Datenschutzvorschriften gehalten hat.
Die irische Datenschutzkommission gab am Montag bekannt, dass Meta gegen die Datenschutz-Grundverordnung (DSGVO) verstoßen habe, als es Bestände an personenbezogenen Daten europäischer Facebook-Nutzer in die USA verschickte, ohne sie ausreichend vor den Datenüberwachungspraktiken Washingtons zu schützen.
Es handelt sich um die höchste Geldbuße, die im Rahmen des wichtigsten Datenschutzgesetzes der EU, der Datenschutz-Grundverordnung (DSGVO), verhängt wurde, und sie fällt am Vorabend des fünften Jahrestages der Inkraftsetzung des Gesetzes am 25. Mai.
Amazon wurde zuvor von Luxemburg mit einer Geldbuße in Höhe von 746 Millionen Euro belegt, und die irische Regulierungsbehörde verhängte in den letzten zwei Jahren außerdem vier Geldbußen gegen die Meta-Plattformen Facebook, Instagram und WhatsApp in Höhe von 405 bis 225 Millionen Euro.
Die irische Datenschutzbehörde sagte, dass Metas Verwendung eines Rechtsinstruments, das als Standardvertragsklauseln (SCCs) bekannt ist, um Daten in die USA zu übertragen, „die Risiken für die Grundrechte und Freiheiten“ der europäischen Facebook-Nutzer, die durch ein bahnbrechendes Urteil der irischen Datenschutzbehörde entstehen, nicht berücksichtigt Das oberste Gericht der EU.
Der Europäische Gerichtshof hat im Jahr 2020 ein als „Privacy Shield“ bekanntes Datenverkehrsabkommen zwischen der EU und den USA aufgrund von Befürchtungen hinsichtlich der Überwachungspraktiken der US-Geheimdienste gekündigt. Im selben Urteil verschärfte das oberste EU-Gericht auch die Anforderungen an die Verwendung von Standardvertragsklauseln, einem weiteren Rechtsinstrument, das Unternehmen häufig zur Übermittlung personenbezogener Daten in die USA nutzen
Meta – wie auch andere internationale Unternehmen – verließen sich weiterhin auf das Rechtsinstrument, da europäische und US-Beamte Schwierigkeiten hatten, eine neue Datenflussvereinbarung zu treffen, und dem US-amerikanischen Technologieriesen andere rechtliche Mechanismen für die Übermittlung seiner personenbezogenen Daten fehlten.
Die EU und die USA schließen gerade ein neues Datenflussabkommen ab, das bereits im Juli und erst im Oktober abgeschlossen werden könnte. Meta hat bis zum 12. Oktober Zeit, sich bei ihren Transfers nicht mehr auf SCCs zu verlassen.
Der US-amerikanische Technologieriese warnte zuvor davor, dass er Dienste wie Facebook und Instagram in Europa schließen könnte, wenn er gezwungen wäre, die Nutzung von SCCs einzustellen, ohne dass eine ordnungsgemäße Vereinbarung über den alternativen Datenfluss vorliegt.
Meta hat außerdem bis zum 12. November Zeit, die personenbezogenen Daten europäischer Facebook-Nutzer, die seit 2020 in den USA übertragen und gespeichert wurden, zu löschen oder in die EU zurückzubringen, bis ein neues Abkommen zwischen der EU und den USA zustande kommt.
„Diese Entscheidung ist fehlerhaft, ungerechtfertigt und stellt einen gefährlichen Präzedenzfall für die unzähligen anderen Unternehmen dar, die Daten zwischen der EU und den USA übertragen“, sagten Nick Clegg, President of Global Affairs bei Meta, und Jennifer Newstead, Chief Legal Officer, in einer Erklärung am Montag.
Clegg und Newstead sagten, das Unternehmen werde gegen die Entscheidung Berufung einlegen und eine Aussetzung bei den Gerichten beantragen, um die Umsetzungsfristen auszusetzen. „Es gibt keine unmittelbare Störung für Facebook, da die Entscheidung Umsetzungsfristen vorsieht, die bis später in diesem Jahr laufen“, fügten sie hinzu.
Max Schrems, der Datenschutzaktivist hinter der ursprünglichen Beschwerde aus dem Jahr 2013, die den Fall unterstützte, sagte: „Wir freuen uns über diese Entscheidung nach zehn Jahren Rechtsstreit … Sofern die US-Überwachungsgesetze nicht geändert werden, muss Meta seine Systeme grundlegend umstrukturieren.“
Die irische Datenschutzkommission erklärte, sie sei mit der gegen Meta verhängten Geldbuße und Maßnahme nicht einverstanden, sei aber vom europaweiten Netzwerk nationaler Regulierungsbehörden, dem Europäischen Datenschutzausschuss (EDPB), erzwungen worden, nachdem Dublins ursprüngliche Entscheidung von vier Stellen angefochten worden war seiner vergleichbaren Regulierungsbehörden in Europa.
Dieser Artikel wurde aktualisiert und enthält nun Kommentare von Meta und Max Schrems.