Als Grundlage des globalen offenen Internets hat grenzüberschreitender Datentransfer eine große Bedeutung und ist vor allem im unternehmerischen Bereich oftmals unabdingbar. Insbesondere, da viele europäische Unternehmen auf Dienstleister zurückgreifen, die ihren Sitz in den USA haben. Doch spätestens seit dem Schrems II-Urteil, in dem der Europäische Gerichtshof (EuGH) der Übermittlung personenbezogener Daten aus der EU in die USA die verlässliche und rechtssichere Grundlage entzogen hat, gestaltet sich dieser Transfer problematisch. Nun erließ die irische Datenschutzbehörde (Data Protection Commission, kurz: DPC) nach einem langjährigen Verfahren einen Bußgeldbescheid in Höhe von rund 1,2 Milliarden Euro gegen Meta Platforms Ireland Limited wegen des rechtswidrigen Datentransfers in die USA. Es handelt sich um das bisher höchste DSGVO-Bußgeld, das aufgrund von Datenschutzverstößen ausgesprochen wurde.

 

Das Wichtigste in Kürze

  • Am 12. Mai 2023 veröffentlichte die DPC ihre endgültige Entscheidung, die das Ergebnis eines Streitbeilegungsverfahrens vor dem EDSA abbildet.
  • Die Übermittlung personenbezogener Daten der Facebook-Nutzer aus dem EWR in die USA ist rechtswidrig.
  • Neben dem Rekordbußgeld, ist Meta verpflichtet jede weitere datenschutzwidrige Übermittlung binnen 5 Monaten auszusetzen.
  • Der rechtswidrige Zustand im Hinblick auf die bereits übermittelten Daten der Facebook-Nutzer aus dem EWR in die USA einschließlich der Speicherung in den USA ist binnen 6 Monaten zu beenden.

 

Schrems Datenschutzbeschwerde aus dem Jahr 2013

Nachdem Edward Snowden 2013 die Massenüberwachungspraxis der US-Regierung aufgedeckt hatte, brachte Max Schrems im selben Jahr eine Beschwerde bei der irischen Datenschutzbehörde gegen Facebook Ireland (jetzt Meta Platforms Ireland) ein. Grund dafür war die datenschutzwidrige Übermittlung personenbezogener Daten von Facebook-Nutzern aus der EU auf die US-Server des Konzerns. Schrems machte geltend, dass in den USA aufgrund der umfassenden Zugriffsbefugnisse der US-Nachrichtendienste unter anderem aus dem Foreign Surveillance Act (FISA) kein angemessenes Datenschutzniveau herrsche, sodass die Übertragung einschließlich der Speicherung personenbezogener Daten der europäischen Nutzer rechtswidrig sei.

 

DPC bleibt jahrelang untätig

Nachdem die DPC die ursprüngliche Beschwerde zurückgewiesen hat, zog der Datenschutzaktivist mehrfach vor den Europäschen Gerichtshof und erreichte zwei grundlegende Entscheidungen. So wurde mit dem ersten Urteil das Safe Harbor-Abkommen, das bis dahin als Rechtsgrundlage für den transatlantischen Datentransfer galt, für ungültig erklärt. Einige Jahre später kippte der EuGH in seiner Schrems II-Entscheidung auch das Nachfolgeabkommen, den EU-US-Privacy Shield.

 

Entscheidungsentwurf der DPC

Nach einer umfassenden Untersuchung, die im Anschluss an das Schrems II-Urteil im August 2020 eingeleitet wurde, erstellte die DPC am 6. Juli 2022 einen Entscheidungsentwurf. In diesem wurde insbesondere festgestellt, dass die beschwerdegegenständlichen Datenübermittlungen unter Verstoß gegen Art. 46 Abs. 1 DSGVO erfolgt sind und daher ausgesetzt werden müssen.

 

Uneinigkeit der europäischen Datenschutzaufsichtsbehörden

Da die Datenverarbeitung durch Meta auch Nutzer aus anderen Mitgliedsstaaten des Europäischen Wirtschaftsraumes bzw. der EU betrifft, durften auch die jeweiligen nationalen Aufsichtsbehörden an der Entscheidungsfindung mitwirken. Daher wurde der Entscheidungsentwurf der irischen Datenschutzbehörde als federführende Behörde auch den übrigen EU-Aufsichtsbehörden vorgelegt. Diese äußerten erhebliche Einwände, insbesondere, da die irische Behörde in ihrer Entscheidung von einem Bußgeld absah. Weil die Behörden keine Einigung im Hinblick auf den Inhalt der Entscheidung erzielen konnten, fasste der Europäische Datenschutzausschuss im Streitbeilegungsverfahren einen verbindlichen Beschluss. Mit diesem hob er die Entscheidung der DPC weitgehend auf und verpflichtete die irische Behörde zur Verhängung einer Geldbuße unter Berücksichtigung des Art. 83 DSGVO und zur Anordnung von Abhilfemaßnahmen. Am 12. Mai 2023 veröffentlichte die irische Datenschutzaufsicht ihre endgültige Entscheidung, die sie auf Grundlage des Beschlusses des EDSA gefasst hat.

 

Endgültige Entscheidung des DPC

In ihrer endgültigen Entscheidung stellt die Behörde fest, dass die Übermittlung personenbezogener Daten europäischer Facebook-Nutzer an Meta Platforms Inc. mit Sitz in den USA entgegen Art. 46 Abs. 1 DSGVO erfolgt. Konkret soll das in Irland ansässige Tochterunternehmen die Daten der Facebook-Nutzer nicht ausreichend vor Zugriffen durch US-Behörden schützen.

Nach Art. 46 Abs. 1 DSGVO ist ein Datentransfer in ein Drittland, für das kein Angemessenheitsbeschluss der EU-Kommission vorliegt, nur dann rechtmäßig, wenn geeignete Garantien zum Schutz der personenbezogenen Daten vorliegen. Solche „geeigneten Garantien“ bestehen unter anderem im Abschluss der Standarddatenschutzklauseln der EU-Kommission (engl. Standard Contractual Clauses, kurz: SCC) (Mehr dazu lesen Sie hier).

Nach der Aufhebung des Privacy Shield durch den EuGH hat Meta die stattfindenden Datenübertragungen zwar auf die SCC der EU-Kommission sowie auf konzerninterne Vereinbarungen gestützt. Der EDSA und schließlich auch die irische Datenschutzbehörde befanden jedoch, dass weder die verwendeten SCC noch die zusätzlich ergriffenen Maßnahmen ausreichend seien, um die vom EuGH festgestellten Risiken zu beseitigen, da der US-Regierung nach der Rechtslage in den USA weiterhin weitreichende Zugriffsmöglichkeiten zustünden.

Aus diesem Grund wurde Meta verpflichtet, weitere Datenübermittlungen innerhalb von 5 Monaten auszusetzen und die Verarbeitungsvorgänge mit dem europäischen Datenschutzrecht in Einklang zu bringen. Der rechtswidrige Zustand im Hinblick auf die bereits übermittelten Daten der Facebook-Nutzer aus dem EWR in die USA einschließlich der Speicherung in den USA ist laut Anordnung binnen 6 Monaten zu beenden. Meta steht es laut Anordnung frei, ob sie diese vollständig löscht oder zurück auf Server im EWR überträgt, solange dadurch ein Zugriff durch US-Behörden ausgeschlossen werden kann. Zudem verhängte die DPC ein Bußgeld in Höhe von umgerechnet 1,2 Milliarden Euro und damit das bisher höchste Bußgeld, das aufgrund von Datenschutzverstößen ausgesprochen wurde.

 

 

Ausblick

Meta hat bereits angekündigt, gegen die Entscheidung vorzugehen (Zu der Stellungnahme gelangen Sie hier). Angesichts der hohen Anforderungen, die der EuGH in seinem Schrems II-Urteil an die Datenübermittlung in die USA gestellt hat, ist es allerdings unwahrscheinlich, dass das Unternehmen damit Erfolg haben wird. Da Europa dem Konzern gleich nach den USA die meisten Einnahmen einbringt, scheint es allerdings auch eher unwahrscheinlich, dass Meta seine Dienste in Europa einstellen wird. Insoweit besteht Hoffnung, dass die Daten der europäischen Nutzer zukünftig in der EU verbleiben und nur notwendige Übermittlungen, die allein Kommunikationszwecken dienen, fortgesetzt werden.

Trotz der Tatsache, dass die Entscheidung nur an Meta gerichtet ist, hat sie auch für andere Unternehmen große Bedeutung. Das gilt insbesondere für Unternehmen, die ein Facebook-Unternehmensprofil betreiben (wir berichteten hier) und daher gemeinsam mit Meta für die Datenverarbeitung verantwortlich sind. Solche Unternehmen könnten ebenso für unrechtmäßige Datenübermittlungen haftbar gemacht werden, da sie die Datenverarbeitung wesentlich mitbestimmen. Nach Möglichkeit sollte daher auf solche Profile verzichtet werden.

Die Frage einer rechtssicheren Datenübermittlung in die USA ist von großer praktischer Bedeutung und sorgte in den letzten Jahren für viel Unsicherheiten und Prüfungsaufwand. Insoweit ist es wünschenswert, wenn die politischen Entscheidungsträger der EU und den USA mit dem neuen EU-US-Data Privacy Framework Rechtssicherheit schaffen. Ein angemessenes Datenschutzniveau und insbesondere die Schaffung von Transparenz dürfen dabei jedoch nicht vergessen werden. Da sich der zuständige parlamentarische Ausschuss gegen den aktuellen Entwurf der EU-Kommission ausgesprochen hat (Mehr dazu lesen Sie hier.), könnte sich das Verfahren noch verzögern. Es kann jedoch mit einem Erlass noch in diesem Jahr gerechnet werden.

 

„>

Kontakt aufnehmen