10 Jahre nach Snowden: Meta erhält Rekordstrafe von 1,2 Mrd. Euro für DSGVO-Verstöße
Facebooks Mutterkonzern Meta muss eine Rekordstrafe für DSGVO-Verstöße zahlen. Die irische Datenschutzbehörde DPC hat eine Geldbuße in Höhe von 1,2 Milliarden Euro verhängt, weil der Konzern unrechtmäßig europäische Nutzerdaten in die USA übermittelt hat.
Ausgangspunkt für das aktuelle Verfahren sind die NSA-Enthüllungen von Edward Snowden, die bald das 10-jährige Jubiläum feiern. Denn eine der Konsequenzen aus den Enthüllungen war, dass die USA im Sinne des europäischen Datenschutzrechts kein sicherer Hafen sind. Nutzerdaten aus Europa können also nicht ohne Weiteres in die USA übertragen werden. Das ursprüngliche Safe-Harbor-Abkommen hatte keinen Bestand vor dem Europäischen Gerichtshof (EuGH), dasselbe galt für den Nachfolger Privacy Shield.
Europäische Nutzerdaten in den USA nicht ausreichend geschützt
Eingereicht wurden die Klagen von dem österreichischen Datenschutzaktivist Max Schrems und der Organisation Noyb. Dort ist man nun auch zufrieden mit der Entscheidung.
Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit. Das Bußgeld hätte wesentlich höher ausfallen können, da die Höchststrafe bei über 4 Milliarden liegt und Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen.
Max Schrems
Wie bedeutend der transatlantische Austausch von Nutzerdaten für das Geschäft ist, betonte Meta in der Vergangenheit auch selbst.
Meta müsse seine Infrastruktur nun umstrukturieren, weil dem Konzern – neben der Geldbuße – auch untersagt wurde, weiterhin europäische Nutzerdaten in die USA zu übermitteln. Das Problem sind die US-Überwachungsgesetze wie der Fisa 702, der es amerikanischen Sicherheitsbehörden ermöglicht, Daten von Europäern ohne Richtervorbehalt abzurufen. Dass ist aber nicht mit der DSGVO vereinbar, die Massenüberwachung bleibt der Knackpunkt. Nötig wären also Anpassungen und „vernünftige Garantien im US-Recht“, so Schrems.
Die EU und die USA arbeiten derzeit an einem neuen Abkommen, dass den Datentransfer zwischen den USA und Europa legalisieren soll. Es soll aber erst im Sommer in Kraft treten.
Urteil betrifft nicht nur Meta
Laut Medienberichten hat Meta bereits Berufung gegen die Strafe eingelegt.
Hier geht es nicht um die Datenschutzpraktiken eines Unternehmens – es besteht ein grundlegender Rechtskonflikt zwischen den Regeln der US-Regierung für den Zugang zu Daten und den europäischen Datenschutzrechten, den die politischen Entscheidungsträger voraussichtlich im Sommer lösen werde.
Stellungnahme von Meta
Schrems geht allerdings nicht davon aus, dass Metas Einspruch erfolgreich sein wird. Frühere Rechtsverletzungen könnten nicht durch ein neues Abkommen zwischen der EU und den USA beseitigt werden. Zutreffend ist aber, dass die Entscheidung nicht nur Auswirkungen für Meta haben könnte. „Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein“, so Schrems.
Neuer Rekord bei DSGVO-Strafen
Sollte die Geldbuße bestehen bleiben, wäre es die bislang höchste, die ein Konzern zahlen musste. Den Rekord hält bislang Amazon, 2021 musste der Handelskonzern eine Geldbuße in Höhe von 746 Millionen Euro zahlen.
Die Plätze 2 bis 5 im bisherigen Ranking belegt laut einer Tracker-Übersicht aber Meta mit Geldbußen von 405 Millionen Euro bis 225 Millionen Euro – letztere entfiel aber auf die Tochterfirma WhatsApp.