Die irische Datenschutzbehörde (Data Protection Commission – DPC) hat dem Meta Konzern (Meta Platforms Ireland Limited), zu dem unter anderem das soziale Netzwerk Facebook gehört, ein Rekord-Bußgeld in Höhe von 1,2 Milliarden EUR auferlegt und die weitere Datenübertragung in die USA untersagt.

Sachverhalt

Nachdem die DPC sich jahrelang geweigert hatte, war sie von dem Europäischen Datenschutzausschuss (EDSA) verpflichtet worden, eine Strafe gegen Meta für die Aktivitäten von Facebook zu verhängen. Begründet wurde das Verfahren mit der unzulässigen Übermittlung von personenbezogenen Daten durch Facebook aus Europa in die USA und die damit verbundene Beteiligung an der Überwachung durch die Geheimdienste der USA. Die Überwachung der Geheimdienste war im Jahr 2013 durch Edward Snowden aufgedeckt worden.

Meta hat die Entscheidung der DPC vom 22.05.2023 noch am Tag ihrer Veröffentlichung öffentlich kritisiert und bekannt gegeben, Rechtsmittel dagegen einzulegen.

Inhalt der Entscheidung

Die DPC wirft Meta vor, dass diese durch die Datenverarbeitung von Facebook gegen Art. 46 Abs. 1 DS-GVO verstoßen hat.

Die Gesetze in den USA würden kein gleichwertiges Datenschutzniveau bieten, welches demjenigen der EU entspreche, und die Standardvertragsklauseln von 2010 und 2021 vermögen dieses mangelnde Schutzniveau nicht auszugleichen. Außerdem habe Meta keine zusätzlichen Maßnahmen ergriffen, um diesen unzureichenden Schutz auszugleichen und könne sich auch nicht auf die Ausnahmeregelungen aus Art. 49 Abs. 1 DS-GVO berufen.

Bewertung und Ausblick

Das Rekord-Bußgeld gegenüber Meta kommt keinesfalls überraschend. Allerdings zeigt es erneut, dass im Hinblick auf die Verarbeitung von personenbezogenen Daten und die Übertragung dieser Daten besondere Vorsicht geboten ist. Dies gilt umso mehr für Gesundheitsdaten, die nach Art. 9 Abs. 1 DS-GVO unter besonderem Schutz stehen.

Bereits die Nutzung eines Cloud Systems von einem Dienstleister für das eigene Unternehmen kann dazu führen, dass Daten in Drittländer übertragen werden, da sich Server der Dienstleister häufig in den USA oder anderen Drittländern befinden. Die Datenübertragung in Drittländer ist nur nach Maßgabe der Art. 44–49 DS-GVO zulässig, wobei diese Regelungen strenge Voraussetzungen vorsehen. Die Entscheidung zeigt zudem, dass eine rechtskonforme Datenübertragung in die USA aktuell kaum möglich ist.

Diese Risiken sind bei der Vertragsgestaltung mit IT-Dienstleistern oder anderen Vertragspartnern oder der Gestaltung von Datenschutzerklärungen und -einwilligungen dringend zu berücksichtigen, anderenfalls drohen empfindliche Bußgelder.