EUR 1.200.000.000,-- an DSGVO-Strafe gegen Meta in Irland.
Die Data Protection Commission (DPC) in Irland hat eine Entscheidung gegen Meta Platforms Ireland Limited ("Meta Ireland") gefällt, bei der es um die Datenübermittlung von Daten aus der EU in die USA geht.
Die DPC hat die Entscheidung nach jahrelangen Streitereien mit Max Schrems bzw. NOYB gefällt, und auch die anderen Datenschutzbehörden sowie der Europäische Datenschutzausschuss wurde bemüht.
In der Entscheidung wird festgestellt, dass Meta Ireland gegen Artikel 46 Absatz 1 DSGVO (Regelungen zum internationalen Datenverkehr in "unsichere Drittstaten")
verstoßen hat, als es nach dem EuGH-Urteil vom 16.7.2020 ("Schrems-II") des
EuGH weiterhin personenbezogene Daten aus der EU/dem EWR in die USA übermittelte.
Obwohl Meta Ireland die Übermittlung der Daten in die USA auf der Grundlage der aktualisierten Standardvertragsklauseln ("SCCs") durchführte und auch weitere Maßnahmen
(technische, organisatorische und rechtliche) gesetzt hat, stellte die DPC fest,
dass diese Vorkehrungen die vom EuGH in seinem Urteil festgestellten Risiken für die Grundrechte und -freiheiten der betroffenen Personen nicht beseitigten, und daher in den USA ein nicht
angemessenes Datenschutzniveau für die Daten von Personen, die in der EU leben gegeben ist.
Die DPC hatte am 6. Juli 2022 einen Entscheidungsentwurf, der (noch) keine DSGVO-Strafe vorgesehen hatte.
Darin wird insbesondere festgestellt, dass
1. die fraglichen Datenübermittlungen einen Verstoß gegen Artikel 46 Absatz 1 DSGVO darstellen wurden; und
2. diese Datenübermittlungen
ausgesetzt werden müssen.
Nach Art 60 DSGVO wurde der Entwurf des Beschlusses den anderen Aufsichtsbehörden in der EU/im EWR, den so genannten betroffenen Aufsichtsbehörden, vorgelegt.
Übereinstimmung bestand zur Frage der Nichteinhaltung der DSGVO durch Meta Ireland und der Anordnung einer Aussetzung der internationalen Datenübermittlungen in die USA.
Vier von 47 Aufsichtsbehörden waren jedoch der Meinung, dass auch eine DSGVO-Strafe zu verhängen ist.
Zwei der Aufsichtsbehörden vertraten außerdem die Ansicht, dass Meta Ireland angewiesen werden sollte, Maßnahmen gegen die personenbezogenen Daten zu ergreifen, die bereits unrechtmäßig an die USA übermittelt wurden, d. h. die Daten, die von Juli 2020 bis heute übermittelt wurden.
Die irische Datenschutzbehörde war anderer Meinung und vertrat die Auffassung, dass die diese zusätzlichen Maßnahmen über die vorgeschlagene Aussetzungsanordnung hinaus den Umfang der Befugnisse überschreiten würde, die als "geeignet, verhältnismäßig und erforderlich" bezeichnet werden könnten.
Nach einem informellen Konsultationsverfahren wurde klar, dass keine Einigung unter den Aufsichtsbehörden gefunden werden konnte. Es musste daher der Europäische Datenschutzausschuss entscheiden, und dieser hat mit einer Entscheidung am 13. April 2023 eine entsprechende Vorgabe gemacht.
Im Einklang mit der Verpflichtung, die endgültige Entscheidung "auf der Grundlage" der Entscheidung des EDSA zu erlassen, hält die DPC in der Entscheidung vom 12. Mai 2023 Folgendes erlassen:
-
eine Anordnung gemäß Artikel 58 Absatz 2 Buchstabe j DSGVO, mit der Meta Ireland
verpflichtet wird, innerhalb von fünf Monaten ab dem Datum der Mitteilung der Entscheidung des DPC an Meta Ireland jede künftige Übermittlung personenbezogener Daten
in die USA auszusetzen
-
ein Bußgeld in Höhe von 1,2 Milliarden Euro (entsprechend der Feststellung des EDSA, dass ein
Bußgeld verhängt werden sollte, um den festgestellten Verstoß zu ahnden).
- eine Anordnung gemäß Artikel 58 Absatz 2 Buchstabe d der Datenschutz-Grundverordnung, die Meta Ireland dazu verpflichtet, ihre Verarbeitungsvorgänge mit Kapitel V der Datenschutz-Grundverordnung in Einklang zu bringen, indem sie die rechtswidrige Verarbeitung, einschließlich der Speicherung, von personenbezogenen Daten von EU-/EWR-Nutzern in den USA, die unter Verstoß gegen die Datenschutz-Grundverordnung übermittelt wurden, innerhalb von sechs Monaten nach dem Datum der Mitteilung der Entscheidung des EDSB an Meta Ireland einstellt.
Die Entscheidung der DPC hat 222 Seiten, und ist hier abrufbar, da alle Entscheidungen, die nach dem sog. Kohärenzverfahren der DSGVO in Abstimmung der Aufsichtsbehörden gefällt werden, in einem Register veröffentlicht werden.
.
Auch der Europäische Datenschutzausschuss (EDSA) hat ebenfalls eine Pressemitteilung veröffentlicht, in der Andrea Jelinek, Vorsitzende des EDSA, erklärte: "Der EDSA stellte fest, dass der Verstoß von Meta IE sehr schwerwiegend ist, da es sich um systematische, sich wiederholende und kontinuierliche Übertragungen handelt. Facebook hat Millionen von Nutzern in Europa, daher ist das Volumen der übertragenen personenbezogenen Daten enorm. Das beispiellose Bußgeld ist ein starkes Signal an Organisationen, dass schwerwiegende Verstöße weitreichende Konsequenzen haben."
Facebook hat bereits darauf reagiert, spricht die Rechtslage und auch die Verhandlungen zum Data Transfer Protocol an, und festgehalten:
"Takeaways
Tausende von Unternehmen und Organisationen sind auf die Möglichkeit angewiesen, Daten zwischen der EU und den USA zu übertragen, um zu arbeiten und alltägliche Dienstleistungen anzubieten.
Hier geht es nicht um die Datenschutzpraktiken eines einzelnen Unternehmens - es besteht ein grundlegender Konflikt zwischen den Vorschriften der US-Regierung über den Zugang zu Daten und den europäischen Datenschutzrechten, den die politischen Entscheidungsträger voraussichtlich im Sommer lösen werden.
Meta wird gegen das Urteil, einschließlich der ungerechtfertigten und unnötigen Geldbuße, Rechtsmittel einlegen und eine gerichtliche Aussetzung der Anordnungen anstreben.
Es gibt keine unmittelbaren Beeinträchtigungen für Facebook in Europa."
Kommentar schreiben