Die irische Datenschutzbehörde DPC hat gegen die Meta Platforms Ireland Limited, den europäischen Mutterkonzern der Internetdienste Facebook, Instagram und WhatsApp ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt.
Auslöser des Verfahrens war die Übertragung personenbezogener Daten europäischer Facebook-Nutzer in die USA, nachdem der EuGH die sog. Privacy Shield Datenschutzvereinbarung im Sommer 2020 für ungültig erklärt hatte (Urteil vom 16.07.2020, Rechtssache C-311/18). Die Luxemburger Richter entschieden damals, dass durch „Privacy Shield“ kein angemessenes Datenschutzniveau gewährleistet sei, da die US-Behörden in großem Umfang Zugriff auf die übermittelten Daten haben. Eine Datenübertragung aufgrund von sog. Standardvertragsklauseln (SCCs) war nach Ansicht der EuGH-Richter grundsätzlich möglich, die Legalität hänge von der konkreten Ausgestaltung ab.
Jahrelang hat sich die irische Datenschutzbehörde DPC geweigert, wegen der andauernden Datenübermittlung gegen Facebook vorzugehen. Erst nachdem der europäische Datenschutzausschuss (EDSA) die DPC verpflichtete, eine Strafe zu verhängen, entschied diese gegen Meta. Mit der nun veröffentlichten Entscheidung vom 12.05.2023 wird Facebook verboten, weiterhin personenbezogene Daten europäischer Nutzer in die USA zu senden. Meta muss außerdem alle Daten, die in den vergangenen Jahren unter SCCs in die USA übertragen wurden, binnen sechs Monaten löschen und eine Strafe in Höhe von 1,2 Milliarden Euro zahlen. Dass die Zahlung ausgerechnet an Irland geht, dessen Datenschutzbehörde jahrelang versucht hat, die Verhängung einer Strafe zu verhindern, weil die Datenübertragung aufgrund von Facebooks SCCs legal sei, gibt dem ganzen Vorgang einen unangenehmen Geschmack.
Mit dem neuen Bußgeld wurden seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) vor fünf Jahren gegen Meta Strafen in Höhe von insgesamt 2,5 Milliarden Euro verhängt, wobei das aktuelle Bußgeld mit Abstand das höchste ist. Nachdem Meta im Vorfeld der Entscheidung damit gedroht hatte, seine Dienste für Nutzer in Europa abzuschalten, sollte die Datenübertragung aufgrund von SCCs für rechtswidrig erklärt werden, machte der Konzern nun einen Rückzieher: Meta hält die Strafe zwar für ungerechtfertigt und unnötig und kündigt Rechtsmittel anfechten, für europäische Nutzer ergäben sich aber keine „sofortigen“ Veränderungen.
Es bleibt abzuwarten, ob der Dienst in Zukunft die Daten europäischer und nicht-europäischer Nutzer unterschiedlich behandelt und z.B. auf abgeschottete europäische Rechenzentren setzt, oder weiterhin Daten in die USA übermittelt, was auch auf Grundlage einer neuen Vereinbarung über den Datenverkehr geschehen könnte. Die EU und die USA arbeiten derzeit an einer solchen Vereinbarung, die bereits später in diesem Jahr in Kraft treten könnte.
Für Facebook könnte es noch deutlich teurer werden: der EuGH hat kürzlich entschieden, dass Betroffene einer Datenschutzverletzung (immateriellen) Schadensersatz geltend machen können (wir berichteten hier). Eine Bagatellgrenze für derartige Ansprüche gibt es laut EuGH nicht, theoretisch können daher alle europäischen Nutzer Facebook auf Schadensersatz wegen der illegalen Übertragung ihrer Daten in die USA verklagen, sofern ihnen dadurch ein Schaden entstanden ist. In einigen Mitgliedsstaaten können solche Ansprüche mittels Sammelklagen durchgesetzt werden.
Autor: Rechtsanwalt Marc Hügel