Rekordbußgeld in Höhe von 1,2 Milliarden Euro für Facebook-Mutter Meta Platforms Inc.

Die irische Datenschutzbehörde Data Protection Commission (DPC) verhängt im Zusammenhang mit dem Datentransfer von Facebooks EU-Nutzern zu US-Servern ein Bußgeld in Höhe von umgerechnet 1,2 Milliarden Euro gegen Meta Platforms Inc. (Meta) und löste damit die 746 Millionen Euro Geldbuße gegen Amazon aus dem Jahre 2021 als das höchste bisher ausgesprochene DSGVO-Bußgeld ab.

Daneben wurde Meta eine Frist von fünf Monaten gesetzt, um die Übermittlung von Nutzerdaten in die USA auszusetzen. Zudem wurde Meta eine Frist von sechs Monaten gesetzt, um die unrechtmäßige Verarbeitung der Nutzerdaten, einschließlich der Speicherung in den USA zu beenden. Die Bußgeldentscheidung des DPC basierte auf einer vorherigen verbindlichen Entscheidung des Europäischen Datenschutzausschusses (EDPB).

Vorgeschichte

Das Bußgeld ist keine Überraschung für Meta: Bereits im August 2020 stellte der DPC in einer vorläufigen Anordnung fest, dass der Rückgriff auf Standardvertragsklauseln (SCC) beim Datentransfer von Facebook-Nutzerdaten aus der EU in die USA in Bezug nicht mit der DSGVO vereinbar sei und daher ausgesetzt werden müsse. Am 21. Februar 2022 erhielt Meta einen überarbeiteten Entscheidungsentwurf, in dem die Behörde an ihrer Schlussfolgerung festhielt. Davor hatte Meta noch angedeutet, dass ein Verbot des Drittlandtransfer-Mechanismus zum Rückzug von Facebook aus Europa führen könnte, dies nach einem großen Medienecho jedoch schnell wieder ausgeräumt. Am 13. April 2023 wies der EDPB in einer verbindlichen Entscheidung den DPC an, seinen Entscheidungsentwurf zu ändern und eine Geldbuße gegen Meta zu verhängen, deren Ausgangspunkt zwischen 20 % und 100 % der geltenden gesetzlichen Höchstgrenze liegen sollte. Eine endgültige Bußgeld-Entscheidung des DPC war für Mai 2023 erwartet worden, Meta rechnete mit einer „erheblichen Geldbuße“ und kündigte bereits im Vorfeld an, die Entscheidung und ihre potenziellen Auswirkungen auf das Geschäftsmodell zu prüfen.

Sachverhalt und Entscheidung der Behörde

Meta stützte zunächst seine Übermittlung von Nutzerdaten in die USA auf Angemessenheitsbeschlüsse der EU-Kommission (zunächst Safe Harbor und dann das Privacy Shield). Nachdem der EuGH diese allerdings in den sogenannten Schrems I- und II-Entscheidungen kippte, ging Facebook dazu über, SCCs und ergänzende Maßnahmen für seine Übermittlungen zu verwenden.

Nach Ansicht des DPC, basierend auf einer vorherigen verbindlichen Entscheidung des EDSA, verstoße Meta damit dennoch gegen Artikel 46 Absatz 1 DSGVO, da die Übermittlungen unter Umständen erfolgen, die kein im Wesentlichen gleichwertiges Schutzniveau wie das der DSGVO gewährleisten. Weder die von Meta verwendeten SCCs noch die von ihr ergriffenen zusätzlichen Maßnahmen könnten das fehlende Schutzniveau ausgleichen und Meta könne sich nicht auf Ausnahmen vom Übermittlungsverbot berufen.

Die Datenübermittlungen müssten daher ausgesetzt werden und Meta müsse seine Verarbeitungsvorgänge mit den Vorschriften für Datenübermittlungen in Einklang bringen. Indem sie die rechtswidrige Verarbeitung, einschließlich der Speicherung von rechtswidrig übermittelten personenbezogenen Daten aus dem EWR in den USA, einstelle. Zusätzlich verhängte der DPC eine Geldbuße in Höhe von umgerechnet 1,2 Milliarden Euro und damit die bisher höchste DSGVO-Geldbuße.

Praxishinweis

Diese Entscheidung wird große Auswirkungen auf die zukünftige Praxis der grenzüberschreitenden Datenübermittlung haben. Die Entscheidung des DPC zeigt, dass Drittlandtransfers und die Notwendigkeit ein angemessenes Schutzniveau für Betroffene zu schaffen, deren personenbezogene Daten an Unternehmen in einem Drittland übermittelt werden, verstärkt im Fokus der Datenschutzbehörden stehen. Das gilt für alle Drittländer mit einem niedrigeren Datenschutzniveau als in der EU, allerdings insbesondere für Datenübertragungen in die USA.

Auch das lang ersehnte Datenschutzabkommen EU-U.S. Data Privacy Framework (DPF) zwischen der Europäischen Union und den USA, ist noch lange nicht in trockenen Tüchern, sodass Datentransfers in die USA, vor allem aufgrund der umfangreichen Zugriffsbefugnisse der US-amerikanischen Sicherheitsbehörden, weiterhin genau überprüft werden müssen. Auch wenn der Europäische Datenschutzausschuss (EDSA) in seiner Stellungnahme zum im Dezember 2022 veröffentlichen Entwurf eines Angemessenheitsbeschlusses, welcher dem DPF erst Wirksamkeit verleihen würde, wesentliche Verbesserungen begrüßt, so bleiben doch Bedenken offen, die auch der BfDI teilt, ob die neuen Regelungen tatsächlich ein den Datenschutzstandards der EU nach gleichwertiges Schutzniveau gewährleisten. Diese Bedenken teilt auch das Europäische Parlament, da dieses erst Mitte Mai 2023 gegen die Übermittlung personenbezogener Daten an die USA nach derzeitigem Recht stimmte. Nach Ansicht der Abgeordneten kann das DPF die Bedenken hinsichtlich der Datenschutzbestimmungen zwischen der EU und den USA aufgrund des Schrems II-Urteils des Europäischen Gerichtshofs nicht vollständig ausräumen.

Hinzu kommt: Selbst wenn der Angemessenheitsbeschluss von der EU Kommission wie geplant im Juli 2023 erlassen wird, so würde der Datentransfer in die USA möglicherweise nicht sofort davon erfasst. Denn von Seiten der US-Regierung sind noch verschiedene Maßnahmen zur Umsetzung des DPF erforderlich, die frühestens ab Oktober 2023 greifen werden.

Für Meta kommt der Angemessenheitsbeschluss ohnehin zu spät, denn es ist davon auszugehen, dass das Bußgeld für die Unzulässigkeit des Drittlandtransfers in der Vergangenheit verhängt wird und nicht etwa durch einen späteren Beitritt zum DPF reduziert werden kann. Das Bußgeld gegen Meta wird nicht nur dazu führen, dass Meta seine Datenschutzaktivitäten neu überdenken werden muss, sondern setzt auch ein klares Zeichen für andere Unternehmen ihre Datentransfers erneut zu überprüfen, auch wenn sie die Entscheidung nicht direkt betrifft.

Meta hat bereits angekündigt, gerichtlichen Schutz gegen die Entscheidungen der EDSA und der DPC zu suchen. Der Vorgang wird daher schon bald die irischen Gerichte, das EuG und mittelfristig auch den Gerichtshof beschäftigen. Erst mit dessen Urteil wird der Streit beendet sein.