Seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) im Jahr 2018 musste sich der Meta-Konzern (ehemals Facebook) mehrmals Untersuchungen der Datenschutzaufsichtsbehörden unterziehen, da sowohl Meta als auch die Tochterunternehmen immer wieder wegen Datenschutzverstößen auffallen. Die aufsichtsbehördlichen Untersuchungen führten nicht nur einmal zu einer empfindlichen Sanktion in Millionenhöhe. Nun hat die irische Datenschutzbehörde (DPC) bekannt gegeben, dass sie gegen Instagram (Meta Platforms Ireland Limited (im Folgenden: Meta IE)) ein Rekord-DSGVO-Bußgeld in Höhe von 405 Millionen Euro verhängt hat. Grund dafür sei ein fragwürdiger Umgang mit Daten minderjähriger Nutzer.
Das Wichtigste in Kürze
- Die Entscheidung beruht auf einer bereits im Jahr 2020 initiierten Untersuchung, bei der es um die Angemessenheit der Einstellungen zu Instagram-Profilen und um die Verantwortung der Plattform bei der Wahrung der Datenschutzrechte von Kindern ging.
- Andere Datenschutzbehörden hatten Einwände gegen den ursprünglichen Entscheidungsentwurf eines Bußgeldbescheids der DPC.
- Der Europäische Datenschutzausschuss (EDSA) kam in einem Streitbeilegungsverfahren zu dem Schluss, dass Instagram personenbezogenen Daten von Kindern ohne Rechtsgrundlage und damit unrechtmäßig verarbeitete.
- Die DPC wurde angewiesen, ihren Entscheidungsentwurf dahingehend zu ändern, dass in diesem auch die Verstöße gegen Art. 6 Abs. 1 DSGVO berücksichtigt werden.
Fehlerhafter Umgang mit personenbezogenen Daten Minderjähriger
Die Entscheidung der irischen Datenschutzbehörde folgte auf eine selbstinitiierte Untersuchung im Jahr 2020, bei der es um die Angemessenheit der Einstellungen bei Instagram-Profilen und um die Verantwortung der Plattform bei der Wahrung der Datenschutzrechte von Kindern als besonders schützenswerte Nutzergruppe ging. Konkret ging es dabei um den öffentlichen Zugang zu einer Vielzahl von E-Mail-Adressen und/oder Telefonnummern von Kindern, die die Instagram-Funktion für Geschäftskonten nutzten, sowie um die Standardeinstellung „öffentlich“ für Instagram-Konten von Kindern während des Zeitraums, der in den zeitlichen Geltungsbereich der Untersuchung fiel. Da es minderjährigen Nutzern möglich war, auf der Social Media Plattform einen Business-Account anzulegen, wechselten viele Jugendliche auf solche Accounts, um mehr Interaktionsdaten zu ihrem Profil einsehen zu können. Durch einen solchen Wechsel wurden jedoch Kontaktinformationen der Minderjährigen im Profil öffentlich zugänglich. Diese Praxis wurde als Folge der Untersuchung der irischen Datenschutzbehörde inzwischen eingestellt.
Einwände gegen die Rechtsgrundlage für die Verarbeitung und die Festsetzung der Geldbuße
Bereits im September 2020 startete die DPC die erste Überprüfung von Vorwürfen gegen die Social Media Plattform Instagram im Zusammenhang mit der Verarbeitung von personenbezogenen Daten Minderjähriger. Aufgrund der grenzüberschreitenden Verarbeitung personenbezogener Daten beteiligte die irische Datenschutzbehörde andere betroffene europäische Datenschutzaufsichtsbehörden im Kooperationsverfahren nach Artikel 60 DSGVO. Das formelle Verfahren sieht vor, dass die betroffenen Aufsichtsbehörden sowie die federführende Datenschutzaufsichtsbehörde zusammenarbeiten und alle notwendigen Informationen untereinander austauschen, um letztlich eine Einigung zu erzielen. Nach Abschluss ihrer Untersuchungen fertige die Datenschutzbehörde einen ersten Entscheidungsentwurf eines Bußgeldbescheides an, gegen den sich andere betroffene Aufsichtsbehörden ausgesprochen hatten. Diese hatten unter anderem Einwände gegen die Feststellung einer Rechtsgrundlage für die Datenverarbeitung auf die sich die Plattform-Betreiber stützen und die Festsetzung der Geldbuße im Entscheidungsentwurf erhoben.
Endgültige Entscheidung des Europäischen Datenschutzausschusses
Nachdem die irische Datenschutzbehörde als federführende Aufsichtsbehörde bezüglich der Einwände mehrerer betroffener Aufsichtsbehörden das Streitbeilegungsverfahren eingeleitet hatte, erließ der EDSA eine entsprechende Entscheidung gemäß Art. 65 DSGVO. Im Anschluss an das Streitbeilegungsverfahren nahm die irische Datenschutzbehörde Änderungen an ihrem Entscheidungsentwurf vor. Der Streitbeilegungsbeschluss des Datenschutzausschusses ist die erste verbindliche Entscheidung der Behörde, die sich mit der Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO und damit einem der Grundpfeiler des EU-Datenschutzrechts befasst.
In seinem Beschluss hat der EDSA insbesondere die Anwendbarkeit der Rechtsgrundlagen „Vertragserfüllung“ und „berechtigtes Interesse“ näher erläutert, da Meta IE sich bei der Veröffentlichung der Kontaktdaten von Kindern, die Instagram-Geschäftskonten nutzten, alternativ auf diese beiden Rechtsgrundlagen gestützt hat. Der Europäische Datenschutzausschuss stellte dabei fest, dass es für die irische Datenschutzbehörde keine Gründe für die Schlussfolgerung gab, dass die fragliche Verarbeitung für die Erfüllung eines Vertrags erforderlich war. Folglich konnte sich Meta IE nicht auf Art. 6 Abs. 1 lit. b) DSGVO als Rechtsgrundlage für diese Verarbeitung berufen. Im Hinblick auf das berechtigte Interesse als alternative Rechtsgrundlage für die Verarbeitung stellte der EDSA fest, dass die Veröffentlichung der E-Mail-Adressen und/oder Telefonnummern von Kindern die Anforderungen des Art. 6 Abs. 1 lit. f) DSGVO nicht erfüllte, da die Verarbeitung entweder nicht erforderlich war oder, falls sie als erforderlich angesehen werden sollte, die bei der Bestimmung des berechtigten Interesses erforderliche Interessenabwägung nicht vorgenommen wurde.
Die Mitglieder des Ausschusses kamen daher zu dem Schluss, dass Meta IE die personenbezogenen Daten von Kindern ohne Rechtsgrundlage unrechtmäßig verarbeitet hat. Aus diesem Grund wurde die irische Datenschutzbehörde angewiesen, ihren Entscheidungsentwurf dahingehend zu überarbeiten, dass in diesem auch der Verstoß gegen Art. 6 Abs. 1 DSGVO festgestellt wird. In diesem Zusammenhang wurde die irische Datenschutzbehörde weiterhin dazu veranlasst, ihr geplantes Bußgeld gemäß Art. 83 Abs. 1 und 83 Abs. 2 DSGVO zu überprüfen, um eine wirksame, verhältnismäßige und abschreckende Gesamtgeldbuße für alle Verstöße zu verhängen.
Entscheidung des EDSA von großer Bedeutung für den Datenschutz
Der Europäische Datenschutzausschuss führte aus, dass es sich bei dieser Entscheidung um eine solche handle, die von historischer Bedeutung für den Datenschutz sei. Dies sei nicht allein der Tatsache geschuldet, dass es sich bei dem verhängten Bußgeld um die zweithöchste Sanktion seit Inkrafttreten der Datenschutzgrundverordnung handle, sondern weil es sich auch um die erste EU-weite Entscheidung handle, die Datenschutzrechte von Kindern zum Gegenstand hat. Mit dieser verbindlichen Entscheidung macht der EDSA deutlich, dass Unternehmen, die personenbezogene Daten von Kindern verarbeiten, im Umgang mit diesen Daten besonders behutsam umgehen müssen, weil die Daten dieser Personengruppe in einem besonderen Maße schützenswert sind.
Endgültige Entscheidung der irischen Datenschutzbehörde
Die irische Datenschutzbehörde hat am 15. September 2022 den Abschluss ihrer Untersuchung gegen Instagram bekannt gegeben. Im ursprünglichen Entscheidungsentwurf der Datenschutzbehörde wurde eine Geldbuße von bis zu 405 Mio. Euro empfohlen. Unter Berücksichtigung der verbindlichen Entscheidung des EDSA beläuft sich die verhängte Geldbuße weiterhin auf insgesamt 405 Mio. Euro, einschließlich einer Geldbuße von 20 Mio. Euro für den Verstoß gegen Art. 6 Abs. 1 DSGVO. Zusätzlich zu diesem Bußgeld hat der EDSA auch einen Verweis und eine Anordnung getroffen, die Meta Platforms Ireland Limited dazu verpflichtet, die stattfindenden Datenverarbeitungsprozesse durch eine Reihe spezifischer Abhilfemaßnahmen mit geltendem Recht in Einklang zu bringen.
Ausblick
Bereits zum dritten Mal innerhalb der letzten 12 Monate hat die irische Datenschutzbehörde ein Bußgeld in Millionenhöhe gegen den Meta-Konzern ausgesprochen. Nach den bisherigen Bußgeldern der DPC in Höhe von 225 Mio. Euro gegen WhatsApp und 17 Mio. Euro gegen Meta hat die irische Datenschutzbehörde nun mit 405 Millionen EUR eines der höchsten Datenschutzbußgelder seit Inkrafttreten der DSGVO verhängt. Der Konzern soll in einer nicht-öffentlichen Stellungnahme angekündigt haben, die Entscheidung der Behörde anzufechten, insbesondere weil er nicht damit einverstanden sei, wie das Bußgeld berechnet wurde. Ferner soll der Konzern betont haben, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handle, die in der Zwischenzeit behoben worden seien. Die Konten von minderjährigen Nutzern werden nun automatisch in den privaten Modus gestellt, wenn sie sich bei Instagram anmelden. Dadurch ist es Nicht-Follower grundsätzlich nicht möglich, die Jugendlichen über die Nachrichtenfunktion zu kontaktieren. Das Vorgehen der europäischen Aufsichtsbehörden verzeichnet mittlerweile einen klaren Trend dahingehend, dass die Datenschutzpraxis großer Techkonzerne zielstrebig untersucht und Verstöße in diesem Zusammenhang empfindlich sanktioniert werden. Doch auch kleinen und mittleren Unternehmen sollte die aktuelle Praxis der Datenschutzbehörde Warnschuss dafür sein, das eigene Datenschutzmanagement zu etablieren und zu verbessern. Dies gilt insbesondere dann, wenn besonders schützenswerte Datenkategorien verarbeitet werden.
