Irische Datenschutzbehörde DPC: Meta soll 1,2 Milliarden Euro wegen Verstößen gegen EU-Datenschutzregeln zahlen

Die Datenschutzkommission („DPC“) gab heute bekannt, dass sie ihre Untersuchung von Meta Platforms Ireland Limited („Meta Ireland“) abgeschlossen hat. Die Untersuchung drehte sich um die Frage, auf welcher rechtlichen Grundlage Meta Ireland personenbezogene Daten aus der EU/dem EWR in die USA überträgt, während es seinen Facebook-Dienst bereitstellt.

law 6598281 1280
Irische Datenschutzbehörde DPC: Meta soll 1,2 Milliarden Euro wegen Verstößen gegen EU-Datenschutzregeln zahlen. pixabay.com ©Geralt (Creative Commons CC0)

Am 12. Mai 2023 traf die DPC ihre endgültige Entscheidung in dieser Untersuchung. In der Entscheidung wurde festgestellt, dass Meta Ireland gegen Artikel 46 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) verstoßen hat, indem es weiterhin personenbezogene Daten aus der EU/dem EWR in die USA übertrug, nachdem das Urteil des Europäischen Gerichtshofs (EuGH) in der Rechtssache Data Protection Commissioner gegen Facebook Ireland Limited und Maximillian Schrems verkündet wurde. Obwohl Meta Ireland diese Übertragungen auf der Grundlage der aktualisierten Standardvertragsklauseln („SCC“) durchführte, die von der Europäischen Kommission im Jahr 2021 in Verbindung mit zusätzlichen von Meta Ireland ergriffenen Maßnahmen angenommen wurden, stellte die DPC fest, dass diese Vereinbarungen die im Urteil des EuGH festgestellten Risiken für die Grundrechte und -freiheiten der betroffenen Personen nicht beseitigen.

Die Untersuchung wurde ursprünglich im August 2020 eingeleitet und anschließend durch eine Verfügung des High Court of Ireland bis zum 20. Mai 2021 ausgesetzt, bis eine Reihe von Gerichtsverfahren abgeschlossen war. Nach einer umfassenden Untersuchung erstellte die DPC am 6. Juli 2022 einen Entwurf ihrer Entscheidung. In diesem Entwurf wurde insbesondere festgestellt, dass:

  1. Die fraglichen Datenübertragungen unter Verstoß gegen Artikel 46 Absatz 1 der DSGVO durchgeführt wurden; und
  2. Unter diesen Umständen sollten die Datenübertragungen ausgesetzt werden.

Gemäß dem in der Datenschutz-Grundverordnung (Artikel 60) vorgeschriebenen Kooperationsverfahren wurde der Entwurf der Entscheidung, den die Datenschutzkommission erstellt hatte, den anderen Aufsichtsbehörden in der EU/im EWR, den so genannten betroffenen Aufsichtsbehörden, vorgelegt. Aufgrund der Art der im Rahmen der Untersuchung untersuchten Verarbeitung wurden alle anderen EU/EWR-Aufsichtsbehörden für die Zwecke des Kooperationsverfahrens als CSAs eingeschaltet.

In Bezug auf die Nichteinhaltung der Datenschutz-Grundverordnung durch Meta Ireland und den Vorschlag der DPC, die Datenübertragung auszusetzen, stimmten die CSAs (EU/EWR-Aufsichtsbehörden) der Entscheidung der DPC zu.

Eine kleine Anzahl (4) der 47 CSAs erhob Einwände in Bezug auf die Korrekturbefugnis, die die DPC gemäß dem Entwurf ihrer Entscheidung ausüben wollte. Innerhalb dieser Gruppe von CSAs waren alle vier der Meinung, dass Meta Ireland mit einer Geldstrafe belegt werden sollte, um den festgestellten Verstoß zu ahnden. Zwei dieser CSAs waren außerdem der Ansicht, dass Meta Ireland angewiesen werden sollte, Maßnahmen gegen die personenbezogenen Daten zu ergreifen, die bereits unrechtmäßig in die USA übertragen wurden, d.h. die Daten, die von Juli 2020 bis heute übertragen wurden.

Der Datenschutzbeauftragte war anderer Meinung und vertrat die Auffassung, dass die Ausübung zusätzlicher Korrekturbefugnisse über die vorgeschlagene Aussetzungsanordnung hinaus den Umfang der Befugnisse überschreiten würde, die als „geeignet, verhältnismäßig und erforderlich“ betrachtet werden könnten, um den Verstoß gegen Artikel 46 Absatz 1 der DSGVO zu beheben.

Nach einem informellen Konsultationsverfahren wurde klar, dass kein Konsens erzielt werden konnte. Gemäß ihren Verpflichtungen gemäß der DSGVO überwies die Datenschutzkommission die Einwände an den Europäischen Datenschutzausschuss („EDSB“) zur Entscheidung gemäß dem Streitbeilegungsverfahren nach Artikel 65.

Am 13. April 2023 traf der EDSB seine Entscheidung. In Übereinstimmung mit ihrer Verpflichtung, ihre endgültige Entscheidung „auf der Grundlage“ der Entscheidung des EDSB zu treffen, erlässt die DPC in ihrer Entscheidung vom 12. Mai 2023 die folgenden Maßnahmen:

  • Eine Anordnung gemäß Artikel 58 Absatz 2 Buchstabe j der DSGVO, wonach Meta Ireland verpflichtet ist, innerhalb von fünf Monaten nach dem Datum der Mitteilung der Entscheidung der DPC an Meta Ireland jegliche künftige Übertragung personenbezogener Daten in die USA auszusetzen.
  • Eine Geldstrafe in Höhe von 1,2 Milliarden Euro (entsprechend der Feststellung des EDSB, dass eine Geldstrafe verhängt werden sollte, um den festgestellten Verstoß zu ahnden). Die Höhe der Geldstrafe wurde von der DPC unter Berücksichtigung der in der Entscheidung des EDSB enthaltenen Bewertungen und Feststellungen festgelegt.
  • Eine Anordnung gemäß Artikel 58 Absatz 2 Buchstabe d der Datenschutz-Grundverordnung, wonach Meta Ireland verpflichtet ist, ihre Verarbeitungsvorgänge mit Kapitel V der Datenschutz-Grundverordnung in Einklang zu bringen, indem sie die rechtswidrige Verarbeitung, einschließlich der Speicherung, von personenbezogenen Daten von EU-/EWR-Nutzern in den USA, die unter Verstoß gegen die Datenschutz-Grundverordnung übertragen wurden, innerhalb von sechs Monaten nach dem Datum der Mitteilung der Entscheidung des EDSB an Meta Ireland beendet.
Frank