Die irische Datenschutzaufsicht Data Protection Commission (DPC) sieht erneut eine Rekordstrafe von 1,2 Milliarden Euro gegen Meta (ehemals Facebook) vor. Die Strafe ist eine Reaktion auf anhaltende Verstöße gegen den Datenschutz seitens Meta, insbesondere in Bezug auf die Übertragung personenbezogener Daten in die USA. Die bereits langjährige Debatte über unzulässige Datenübertragungen hat nun zu einem Durchgreifen seitens der DPC geführt, nachdem der Europäische Datenschutzausschuss (EDSA) die DPC überstimmt und so zum Handeln gezwungen hat.
Nachdem Meta in den vergangenen Jahren bereits 6 Mal unter den Top 10 Bußgeldern war, dürfte die erneut durchaus staatliche Strafzahlung allerdings einkalkuliert sein. Angesichts des jährlichen Umsatzes von gut 110 Milliarden und einem Gewinn von rund 25 Milliarden Euro, hätte das Bußgeld vermutlich auch höher ausfallen können.
Neben der Strafzahlung hat die Behörde angeordnet, dass Meta die Datenübermittlungen in die USA einstellen und innerhalb von sechs Monate, die bereits übermittelten personenbezogenen Daten nach Europa zurückzuführen muss.
Die Datenübermittlung in die USA als Drittland ist deswegen so problematisch, da in den USA kein angemessenes Datenschutzniveau gewährleistet ist und Europäer Ihre Rechte daher auch nicht wirksam einklagen können.
Edward Snowden machte vor zehn Jahren umfangreiche Massenüberwachungsprogramme der USA öffentlich bekannt, wodurch unter anderem das US-Überwachungsgesetz FISA ins Rampenlicht geriet. Gemäß Paragraf 702 des Foreign Intelligence Surveillance Acts können US-Geheimdienste ohne richterliche Zustimmung E-Mails und andere Kommunikation von Kunden von US-Unternehmen anfordern. Datenschutzbestimmungen gelten jedoch nur für US-Bürger sowie Personen, die sich in den USA befinden. Dies steht im Widerspruch zu den Datenschutzgesetzen der EU und stellt seit langem einen Streitpunkt dar. Obwohl in der EU wiederholt gefordert wurde, dass US-Konzerne die Daten europäischer Bürger vor solchen Zugriffen schützen müssen, wurde dies nie ausreichend umgesetzt.
Bereits 2013 reichte der österreichische Datenschutzaktivist Max Schrems bei der irischen Datenschutzaufsicht eine Beschwerde ein und warf Facebook vor, dass persönliche Daten in den USA nicht ausreichend vor staatlicher Überwachung geschützt seien. In der Folge klagte er mehrfach erfolgreich vor dem Europäischen Gerichtshof grundlegende Entscheidungen ein.
Unter anderem wurde das Safe-Harbor-Abkommen sowie das Abkommen Privacy-Shield zu pauschalen Datenübermittlung personenbezogener Daten in die USA für ungültig erklärt.
Die DPC verweigerte jedoch wiederholt schärfere Maßnahmen gegen Facebook, was europaweit zu Unmut führte. Die Rekordstrafe wurde nun vom Europäischen Datenschutzausschuss verhängt, der die irische Datenschutzaufsicht überstimmt hat.
Sanktionsadressat
Meta Platforms Ireland Limited (Facebook)
Bußgeld
1.200.000.000 Euro
Verletzte Rechtsnorm
Art. 46 Abs. 1 DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
————————————————————————————————————————-
Quellen und Links:
Datenschutzbehörde: Irland – An Coimisiún um Chosaint Sonraí
https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12023-dispute-submitted_en
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.