Rekordbussgeld gegen Meta – 1,2 Milliarden EUR – Handlungsbedarf JETZT!
Mit Entscheidung vom 22. Mai 2023 hat die Irische Datenschutzaufsichtsbehörde (Data Protection Commission – the DPC) den Entscheidungsentwurf vom 12. Mai 2023 angenommen und gegen den Meta Konzern ein Milliardenbußgeld festgesetz. Weiterhin wurde Meta aufgegeben, innerhalb von 6 Monaten seine Datenübermittlungspraxis aus der Europäischen Union in die USA DSGVO-konform umzustellen.
Konkret geht es darum, dass die eingesetzten Übermittlungsinstrumente nicht den Anforderungen der Datenschutzgrundverordnung, insbesondere dem Art. 46 Abs. 1 DSGVO, entsprechen (vgl. Entscheidung DPC 22.05.2023).
Insofern ist nunmehr ein Rekordbußgeld ergangen, das damit die bislang aus Juli 2021 stammende höchst ergangene Geldbuße nach Art. 83 DSGVO, von der Luxemburgischen Datenschutzaufsichtsbehörde gegen Amazon Europe in Höhe von 746 Millionen EUR festgesetzt, als Spitzenreiter ablöst.
Nicht unerwähnt bleiben sollte, dass dieser Entscheidung der irischen Aufsicht ein Kohärenzverfahren nach Art. 65 DSGVO des Europäischen Datenschutzausschusses (EDSA bzw. EDPB) vorausgegangen war.
Es war also leichter Druck aus Resteuropa notwendig geworden, um zu dieser Entscheidung des DPC zu kommen.
Denn insoweit hatte der Europäische Datenschutzausschuss das Vorgehen u.a. auch auf Initiative der Hamburger Datenschutzaufsichtsbehörde gegenüber Meta wiederholt kritisch beurteilt und mit seiner Entscheidung nach Art. 65 DSGVO vom 13.04.2023 konkrete Vorgaben zur Umsetzung für die DPC beschlossen (vgl. hier). Angesichts der Schwere des Verstoßes legte der EDSA beispielsweise fest, dass für die Berechnung des seiner Auffassung nach nunmehr zwingend anzusetzenden Bußgeldes ein Rahmen von 20%-100 % des geltenden gesetzlichen Höchstbetrages anzusetzen sei.
Dieser ergibt sich bekanntlich aus Art. 83 Abs. 5 DSGVO und ist dort mit bis zu 20 Millionen EUR bzw. bis zu 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres anzusetzen. Insoweit dürften die 1,2 Milliarden EUR, die nunmehr festgesetzt worden sind, sogar noch als glimpflich angesehen werden.
Interessant sind Details des Verfahrens auch und gerade für die Beantwortung der Frage, welcher Handlungsbedarf nunmehr für Unternehmen mit Sitz in Europa abzuleiten ist.
Eine zentrale Aussage des gesamten Verfahrens ist die Problematik der Datenübermittlung in die USA, die hier mit diesem Verfahren und Entscheidungen sowohl des Europäischen Datenschutzausschusses als auch der irischen Datenschutzaufsichtsbehörde eine weitere Verschärfung und auch Konkretisierung erfahren haben.
Es werden ausdrücklich die Defizite des US-amerikanischen Rechts in Bezug auf europäische Bürger, deren Daten in die USA übermittelt werden, angesprochen. Denn Fakt ist, dass diese gerade nicht dieselben Rechtsbehelfe wie US-Bürger zur Verfügung haben und im Gegenteil diesen aktuell gar kein gerichtliches Verfahren im Sinne europäischen Rechts, das heißt durch ein unabhängiges mit Richtern besetztes Gremium, zukommt.
Dies ist übrigens auch ein zentraler Kritikpunkt an dem aktuell in Arbeit befindlichen neuen Angemessenheitsbeschluss, basierend auf der Executive Order vom 07.10.2022, die Präsident Biden mit Blick auf eine Einigung beschlossen hatte. Denn auch jene Regelung sieht gerade kein Gerichtsverfahren vor, sondern ein nach europäischen Maßstäben zu bewertendes Verwaltungsverfahren ohne eine echte unabhängige richterliche Instanz.
Daraus ergibt sich perspektivisch, dass die Kritik an diesen in Vorbereitung befindlichen Abkommen aller Voraussicht nach noch deutlich zunehmen wird, nachdem das Europäische Parlament mit Beschluss vom 11.05.2023 gerade zu dieser Frage auch ausdrücklich Klarstellungen, Konkretisierungen und vor allem Ergänzungen eingefordert hat, anderenfalls komme es nicht zu einer Zustimmung.
Den der Entscheidung gegen Meta zugrundeliegenden Beschlüssen sind mithin für den transatlantischen Datenverkehr eine Vielzahl von Konkretisierungen zu entnehmen, die das Haftungsrisiko (gemeint ist das Compliance-Risiko) auch und gerade für europäische Anwender deutlich steigern dürfte.
Selbstverständlich stehen hier am Ende noch gerichtliche Überprüfungen, aber Beanstandungsverfahren seitens der Datenschutzaufsichtsbehörden dürften nach Maßgabe der hier nunmehr durch den BDSA als auch die DPC festgestellten Entscheidungsgrundlagen einzukalkulieren sein.
Was bedeutet dies konkret, für deutsche bzw. europäische Datenexporteure?
- Stellen Sie fest, welche transatlantischen Datenübermittlungen Sie aktuell im Unternehmen nutzen.
- Stellen Sie weiterhin fest, auf welche vertragliche und datenschutzrechtliche Grundlage diese gestützt werden.
- Weiterhin sollte der genaue Datenfluss, die an der Übermittlung beteiligte Akteure, die diesbezüglichen vertraglichen und datenschutzrechtlichen Konstruktionen als auch und gerade die konkreten Daten (im Zweifel nicht nur Kategorien, sondern bis auf Datenfeldebene) festgestellt und überprüft werden.
- Wie sensitiv sind diese (Schutzbedarf)?
- Ratsam erscheint es auch, für all diese Vorgänge ernsthaft Alternativen zu suchen bzw. eine Neubewertung des Risikomanagements vorzunehmen, was die Abwägung von Chance und Risiko angeht.
Auf der Kostenseite darf insoweit das Bußgeldkonzept des EDSA zugrunde gelegt werden, das dieser im Mai 2022 beschlossen und veröffentlicht hatte.
Der hier für Meta maßgebliche Zeitraum entspricht im übrigen dem Urteil des Europäischen Gerichtshofs in der Sache C 311/18 vom 16.07.2021, herkömmlicherweise Schrems II-Urteil genannt (hier über InfoCuria zu finden).
Meta hat angekündigt, gegen den Beschluss vorzugehen. Und Meta hatte das Verfahren bereits in seinem Geschäftsbericht als Risiko hinterlegt und wurde sogar teilweise in der Öffentlichkeit (wenig glaubwürdig) mit einem aus Europa in Verbindung gebracht.
Insofern darf durchaus festgestellt werden, dass der Druck auf den transatlantischen Datenverkehr deutlich zugenommen hat, was vor allem damit zusammenhängt, dass zwischen den USA und Europa grundsätzlich eine Wertedifferenz im Umgang mit Persönlichkeitsrechten festzustellen ist.
Wie mit dieser Wertedifferenz umzugehen ist, ist eigentlich eine politische Frage. Wenn die Politik aber seit Jahren keine Lösung findet, muss die Justiz handeln; insofern hier nun die Verwaltungsbehörde mit einer solchen Entscheidung, die nunmehr zeitnah einer gerichtlichen Überprüfung und Bewertung zugeführt werden wird.
Klar ist, dass diese Wertedifferenz zwischen Europa und den USA für den gesamten IT- und TK-Sektor von zentraler Bedeutung ist. Die Einführung von KI-gestützten Softwareapplikationen in Breite, wie dies nun Microsoft über den Copiloten bzw. seine Suchmaschine Bing einerseits und Google über AI-gestützte Assistenzsysteme andererseits, verschärfen diese Problematik.
Insofern werden die Herausforderungen aktuell der Privatwirtschaft allein überlassen, flankiert durch die Datenschutzaufsichtsbehörden und deren Maßnahmen sowie den dann leider immer mit erheblicher zeitlicher Verzögerung nachfolgenden gerichtlichen Entscheidungen.
Eine andere Vorgehensweise wäre wünschenswert, ist aber nicht in Sicht.
Möglicherweise helfen derartige spektakuläre Nachrichten dabei, hier die Bedeutung einer Entscheidungsfindung voranzubringen. Es besteht akuter Handlungsbedarf. JETZT!
Trackbacks & Pingbacks
[…] Jüngst hatte die für Facebook Ireland Limited zuständige irische Datenschutzaufsichtsbehörde – Data Protection Commissioner – entschieden, dass die Datenübermittlung und Verarbeitung durch Facebook bzw. META seit eben jenem Urteil des EuGH nicht mehr DSGVO konform erfolge und ein Rekordbussgeld von 1,2 Milliarden EUR festgesetzt (vgl. Beitrag hier). […]
Hinterlasse einen Kommentar
An der Diskussion beteiligen?Hinterlasse uns deinen Kommentar!