Meta-Konzern erhält bisher höchstes Bußgeld seit bestehen der DSGVO – was sollten Datenschützerinnen und Datenschützer mitnehmen?

Mit Datenschutzanforderungen ist nicht leichtfertig umzugehen, da entsprechende Verstöße mit erheblichen Bußgeldern verbunden sind. Bußgelder sollen dabei wirksam, verhältnismäßig und abschreckend sein (vgl. Art. 83 Abs. 1 DSGVO). Das hat sich die irische Datenschutzbehörde (offi. „Data Protection Commission“) zu Herzen genommen, als sie nun, zum 5-jährigen-Jubiläum der europäischen Datenschutz-Grundverordnung (DSGVO), das bisher höchste Bußgeld von 1.2 Millarden EUR aussprach. 

Zuvor hatte es Kritik gegen die initiale Entscheidung der irischen Behörde gegeben, unter anderem, weil die Behörde ursprünglich auf ein Bußgeld gegen Meta verzichten wollte. Ein entsprechendes Streitbeilegungsverfahren des Europäischen Datenschutzausschusses (EDSA) gem. Art. 65 DSGVO wurde daher eingeleitet, woraufhin die ursprüngliche Entscheidung der irischen Behörde korrigiert wurde. 

Datenübertragungen in die USA weiterhin ein Risiko-Thema für europäische Unternehmen 

Hintergrund der Entscheidung gegen den Meta-Konzern ist die rechtswidrige Datenübertragung durch Meta Irland an die US-Muttergesellschaft (damals noch „Facebook“). Hiergegen ging der Aktivist Max Schrems vor, der rechtliche Schritte gegen den Konzern einleitete, was zuletzt in der entsprechenden Schrems II-Entscheidung des Europäischen Gerichtshofs (EuGH) mündete. Zu Details der daraus resultierenden Konsequenzen verweisen wir auf unseren aktuellen Newsartikel. 

Als Reaktion auf die Schrems-II-Entscheidung des EuGH, begründete der Meta-Konzern die Datenübermittlung in die USA nicht mehr auf dem bis dahin geltenden Angmessenheitsbeschluss in Form des „Privacy Shield“, sondern den aktualisierten Standarddatenschutzklauseln der EU-Kommission. Ergänzend traf der Konzern auch „zusätzliche Maßnahmen“ (engl. „supplementary measures“) um Bedenken an der Datenübertragung entgegen zu wirken. Diese getroffenen Maßnahmen wurden nun durch die finale Entscheidung der irischen Behörden bemängelt. 

Was hat die Behörde zum Meta-Konzern entschieden? 

Zunächst ist festzuhalten, dass es sich im Detail um zwei Entscheidungen handelt: einerseits die finale und bindende Entscheidung der irischen Aufsichtsbehörde und die ergänzende Entscheidung des EDSA, welche aus dem Streitbeilegungsverfahren resultiert und Vorgaben an die irische Behörde umfasst, wie diese zu strittigen Punkten zu entscheiden hatte. Inhaltlich kam die irische Behörde zum Ergebnis, dass die Datenübertragung in die USA durch Meta rechtswidrig ist, da ein gleichwertiges Datenschutzniveau nicht vorhanden sei und auch die aktuellen Standarddatenschutzklauseln von 2021 in Verbindung mit den getroffenen Maßnahmen nicht ausreichend seien, um ein solches herzustellen. 

Zwar nahm die Behörde dabei Bezug auf die aktuellen Änderungen des US-Rechts via der Executive Order 14086, kam aber zum Ergebnis, dass diese Regeln noch nicht operativ seien und daher eine Gleichwertigkeit aktuell nicht angenommen werden könne. Bemerkenswert ist auch die Einschätzung, dass eine Abweichung auf Ausnahmetatbestände zur Legitimierung der Datenübertragung (siehe Art. 49 Abs. 1 DSGVO) nicht möglich sei. Ein Ausweg ist für den Meta-Konzern also nicht ersichtlich. 

Konsequenzen der Entscheidung für den Meta-Konzern 

Vor diesem Hintergrund verhängte die Behörde folgende Maßnahmen: 

1. Aufforderung zum Datenübertragungs-Stop – Nach der Pressemitteilung der irischen Datenschutzbehörde wurde Meta aufgefordert, die Datenübertragung in die USA innerhalb von fünf Monaten einzustellen. Diese Maßnahme wurde von der irischen Behörde selbst getroffen. 

2. Aufforderung zur Herstellung der Compliance – Auf Anweisung des EDSA forderte die irische Behörde nun Meta zusätzlich auf, die durch unrechtmäßige Datenübertragungen entstandenen Compliance-Verstöße zu korrigieren. Während die Entscheidung nicht präzisiert, welche konkreten Maßnahmen dies umfasst, müssen übertragene Daten voraussichtlich gelöscht, zurückgegeben oder anderweitig mit den Regeln der DSGVO (insb. Kapitel 5 DSGVO) in Einklang gebracht werden. 

3. Bußgeld – Ebenfalls auf Anweisung des EDSA verhängete die irische Aufsichtsbehörde ergänzend zu den beschriebenen Maßnahmen ein Bußgeld. Die Summe von 1,2 Millarden EUR bestimmte die irische Behörde dabei selbst. Damit ist dieses Bußgeld zurzeit das Höchste nach DSGVO. Auch ist es das erste Bußgeld, das für die unrechtmäßige Datenübertragung verhängt worden ist. Begründet wurde die Notwendigkeit eines Bußgeldes durch den EDSA unter anderem mit dem Umfang der Datenverarbeitung, der hohen Anzahl betroffener Personen und dem signifikanten Grad der Verletzung datenschutzrechtlicher Anforderungen durch den Meta-Konzern.

Ausblick

Es ist davon auszugehen, dass Meta gegen diese behördliche Entscheidung Widerspruch einlegen und konsequenterweise den Rechtsweg beschreiten wird. Dies würde den Schlagabtausch des Konzerns mit den europäischen Behörden fortsetzen, während zwischenzeitlich die Datenübertragung in die USA andauert. 

Während diese Entscheidung einen Meilenstein für behördliche Tätigkeiten darstellt, insb. für die Zusammenarbeit der Behörden im Rahmen des Streitbeilegungsprozesses im EDSA, könnte die anstehende Angemessenheitsentscheidung der EU-Kommission für die USA (sog. Transatlantische Abkommen) die Situation entzerren. Hierzu veröffentlichte die EU-Kommission im Dezember 2022 einen ersten Entwurf der Angemessenheitsentscheidung, der allerdings kürzlich von einem Ausschuss des EU-Parlaments scharf kritisiert wurde. In ihrer Stellungnahme kommt der Ausschuss zum Ergebnis, dass der aktuelle Entwurf des Datenschutzrahmens im Vergleich zum Vorgängerabkommen (Privacy Shield) zwar Fortschritte erkennen lässt, diese allerdings nicht ausreichend seien, um ein angemessenes Datenschutzniveau zu bejahen. Auch der Europäische Datenschutzausschuss identifiziert verbesserungswürdige Punkte, spricht sich allerdings nicht gegen die Annahme des Entwurfs aus.

Es ist wichtig hervorzuheben, dass selbst mit zukünftigem Angemessenheitsbescheid aktuelle Datenübertragungen auch retrospektiv unrechtmäßig bleiben. Somit ist die Angemessenheitsentscheidung, welche zukünftige Datenübertragungen in die USA legitimieren würde, nicht der Ausweg für den Meta-Konzern aus der aktuellen Lage. Eine vergleichbare Bewertung sollten Unternehmen aktuell auch vornehmen, wenn es um die aktuell häufig gestellte Frage geht: „Warten wir auf den Angemessenheitsbeschluss oder treffen wir zwischenzeitig Maßnahmen?“.