DSGVO-Rekordstrafe gegen Facebook: Meta soll 1,2 Milliarden Euro Bußgeld zahlen
Seit zehn Jahren tobt der Streit über Facebooks Weitergabe von Nutzerdaten in die USA, wo sie nicht ausreichend geschützt sind. Jetzt folgt ein Rekordbußgeld.
(Bild: Derick Hudson/Shutterstock.com)
Die irische Datenschutzaufsicht hat eine DSGVO-Rekordstrafe in Höhe von 1,2 Milliarden Euro gegen Meta verhängt und den Facebook-Mutterkonzern verpflichtet, alle personenbezogenen Daten wieder in Rechenzentren in der Europäischen Union vorzuhalten. Das hat die in der EU für Meta zuständige irische Datenschutzaufsicht DPC (Data Protection Commission) am Montag mitgeteilt. Sie setzt Meta eine Frist von fünf Monaten für die Einstellung der Datenweitergabe und sechs Monate für deren Rückholung.
Die Entscheidung, gegen die Meta gerichtlich vorgehen will, ist der jüngste Teil einer sich seit Jahren hinziehenden Auseinandersetzung um den Datenschutz. Ihren Ausgang genommen hat sie vor zehn Jahren mit den Enthüllungen des NSA-Whistleblowers Edward Snowden. Die Entscheidung gilt nun nur für Facebook, nicht aber für andere Meta-Dienste wie Instagram oder Whatsapp.
10 Jahre Rechtsstreit
Snowden hat vor 10 Jahren umfangreiche Massenüberwachungsprogramme der USA publik gemacht: in den Fokus geraten sind dadurch unter anderem das US-Überwachungsgesetz FISA. Paragraf 702 dieses Foreign Intelligence Surveillance Acts erlaubt es US-Geheimdiensten, von US-Unternehmen ohne richterliche Zustimmung E-Mails und andere Kommunikation ihrer Kunden einzufordern. Datenschutzbedingungen gelten dabei immer nur für US-Bürgerinnen und Bürger sowie Menschen, die sich in den USA aufhalten. Das widerspricht EU-Datenschutzgesetzen und ist deshalb seit Langem ein Streitpunkt. Während in der EU immer wieder gefordert wurde, dass US-Konzerne die Daten von Europäern vor diesen Zugriffen schützen müssten, ist das nie hinreichend umgesetzt worden.
Der österreichische Datenschutzaktivist Max Schrems hat bereits 2013 bei der irischen Datenschutzaufsicht Beschwerde eingereicht und Facebook vorgeworfen, dass persönliche Daten in den USA nicht vor staatlicher Überwachung geschützt seien. In der Folge hat er mehrfach vor dem Europäischen Gerichtshof (EuGH) grundlegende Entscheidungen gegen die rechtlichen Grundlagen für die Datenweitergabe erreicht, so ist unter anderem das Abkommen Safe Harbor für ungültig erklärt worden. Gleichzeitig hat die DPC immer wieder schärfere Maßnahmen gegen Facebook verweigert und damit europaweit Unmut auf sich gezogen. Die Rekordstrafe geht jetzt auf den Europäischen Datenschutzausschuss zurück, der die irische Datenschutzaufsicht überstimmt hat.
Sechsmal in den Top 10 der DSGVO-Strafen
Schrems Datenschutzverein Noyb ist jetzt "froh über diese Entscheidung nach zehn Jahren Rechtsstreit". Das Bußgeld hätte sogar noch höher ausfallen können, denn Meta habe wissentlich zehn Jahre gegen die DSGVO verstoßen, "um Profit zu machen". Sollten die US-Überwachungsgesetze nicht geändert werden, müsste Meta "nun wohl seine Systeme grundlegend umstrukturieren". Meta hat gegenüber dem Spiegel darauf verwiesen, dass der Strafe ein grundlegender Rechtskonflikt zwischen den Regeln der US-Regierung und den europäischen Datenschutzrechten zugrunde liege. Im US-Parlament steht derweil eine Erneuerung von Paragraf 702 des FISA an, bislang ist es in den Debatten darum nicht um die Datenschutzrechte von Nicht-US-Bürgern gegangen.
Das verhängte Bußgeld ist das bislang höchste, das für DSGVO-Verstöße verhängt wurde. An der Spitze abgelöst wird damit eine Strafe gegen Amazon in Höhe von 746 Millionen Euro. Die wurde 2021 von Luxemburgs Datenschutzbehörde verhängt. In der Liste der zehn höchsten DSGVO-Strafen nimmt die Facebook-Mutter Meta damit inzwischen sechs Plätze in den Top 10 ein, insgesamt summieren sich diese Strafen für den US-Konzern auf 2,5 Milliarden Euro.
(mho)