Der Facebook-Konzern Meta hat wegen eines Verstoßes gegen die europäische Datenschutzgrundverordnung (DSGVO) eine Rekordstrafe in Höhe von 1,2 Milliarden Euro erhalten. Das teilte die irische Datenschutzbehörde DPC am Montag in Dublin mit.
In dem Verfahren geht es um die Beteiligung von Facebook an der Massenüberwachung durch angloamerikanische Geheimdienste, die vor zehn Jahren vom US-Whistleblower Edward Snowden aufgedeckt wurde. Der österreichische Datenschutz-Aktivist Max Schrems brachte damals eine Beschwerde gegen Facebook ein.
Das von der DPC verhängte Bußgeld stellt die bisherige Rekordstrafe von 746 Millionen Euro für Amazon.com in Luxemburg in den Schatten. Außerdem muss Meta jede weitere Übermittlung europäischer personenbezogener Daten an die Vereinigten Staaten unterbinden, da das Unternehmen weiterhin den US-Überwachungsgesetzen unterliegt.
Drohung mit Rückzug aus Europa
Experten gehen aber davon aus, dass der US-Konzern Rechtsmittel gegen die Entscheidung einlegen wird. Die Gerichtsverfahren können sich allerdings über Jahre erstrecken. Bis dahin könnte ein neuer Datenpakt zwischen der Europäischen Union und den USA in Kraft treten, mit dem der transatlantische Datenverkehr neu geregelt wird. Meta hatte zuvor mehrfach damit gedroht, sich vollständig aus der EU zurückzuziehen, sollte ein transatlantischer Datentransfer dauerhaft nicht möglich sein.
Schrems erklärte, das verhängte Bußgeld hätte wesentlich höher ausfallen können: «Die Höchststrafe liegt bei über vier Milliarden. Und Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen.» Wenn die US-Überwachungsgesetze nicht geändert würden, werde Meta nun wohl seine Systeme grundlegend umstrukturieren müssen, erklärte Schrems.
Die irische Datenschutzbehörde DPC hatte sich jahrelang geweigert, in dieser Sache gegen Facebook vorzugehen. Letztlich verpflichtete der Europäische Datenschutzausschuss (EDSA) die DPC, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss bezieht sich nur auf Facebook, nicht auf andere Dienste aus dem Meta-Konzern wie Instagram oder WhatsApp.
Die Meta-Topmanager Nick Clegg (President Global Affairs) und Jennifer Newstead (Chief Legal Officer) bezeichneten die Entscheidung der DPC in einer ersten Reaktion als «fehlerhaft und ungerechtfertigt». Sie schaffe einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA transferieren. «Die Entscheidung wirft auch ernste Fragen über einen Regulierungsprozess auf, der es dem Europäischen Datenschutzausschuss ermöglicht, eine federführende Regulierungsbehörde auf diese Weise zu überstimmen und die Ergebnisse ihrer mehrjährigen Untersuchung zu missachten, ohne dem betroffenen Unternehmen das Recht zu geben, gehört zu werden.»
Bislang wurden mit der neuen Strafe für Meta seit dem Inkrafttreten der Datenschutzgrundverordnung vor fünf Jahren Bußgelder in Höhe von vier Milliarden Euro verhängt. Meta ist in der Liste der zehn höchsten Bußgelder nun gleich sechsfach vertreten, die Strafen summieren sich jetzt auf 2,5 Milliarden Euro. Das höchste Bußgeld in Deutschland mit 35 Millionen Euro musste die Modekette H&M im Jahr 2020 wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung seines Onlineshops zahlen.