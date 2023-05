Die irische Datenschutzaufsicht hat eine DSGVO-Rekordstrafe in Höhe von 1,2 Milliarden Euro gegen Meta verhängt und den Facebook-Mutterkonzern verpflichtet, alle personenbezogenen Daten wieder in Rechenzentren in der Europäischen Union vorzuhalten. Das hat die in der EU für Meta zuständige irische Datenschutzaufsicht DPC (Data Protection Commission) am Montag mitgeteilt. Sie setzt Meta eine Frist von fünf Monaten für die Einstellung der Datenweitergabe und sechs Monate für deren Rückholung.

Die Entscheidung, gegen die Meta gerichtlich vorgehen will, ist der jüngste Teil einer sich seit Jahren hinziehenden Auseinandersetzung um den Datenschutz. Ihren Ausgang genommen hatte die vor zehn Jahren mit den Enthüllungen des NSA-Whistleblowers Edward Snowden. Die Entscheidung gilt nun nur für Facebook, nicht aber für andere Meta-Dienste wie Instagram oder Whatsapp.

10 Jahre Rechtsstreit

Snowden hatte vor 10 Jahren umfangreiche Massenüberwachungsprogramme der USA publik gemacht, in den Fokus geraten war dadurch unter anderem das US-Überwachungsgesetz FISA. Paragraf 702 dieses Foreign Intelligence Surveillance Acts erlaubt es US-Geheimdiensten, von US-Unternehmen ohne richterliche Zustimmung E-Mails und andere Kommunikation ihrer Kunden einzufordern. Datenschutzbedingungen gelten dabei immer nur für US-Bürgerinnen und Bürger sowie Menschen, die sich in den USA aufhalten. Das widerspricht EU-Datenschutzgesetzen und ist deshalb seit Langem ein Streitpunkt. Während in der EU immer wieder gefordert worden war, dass US-Konzerne die Daten von Europäern vor diesen Zugriffen schützen müssten, war das nie hinreichend umgesetzt worden.

Der österreichische Datenschutzaktivist Max Schrems hatte bereits 2013 bei der irischen Datenschutzaufsicht Beschwerde eingereicht und Facebook vorgeworfen, dass persönliche Daten in den USA nicht vor staatlicher Überwachung geschützt seien. In der Folge hat er mehrfach vor dem Europäischen Gerichtshof grundlegende Entscheidungen gegen die rechtlichen Grundlagen für die Datenweitergabe erreicht, so war unter anderem das Abkommen Safe Harbor für ungültig erklärt worden. Gleichzeitig hatte die DPC immer wieder schärfere Maßnahmen gegen Facebook verweigert und damit europaweit Unmut auf sich gezogen. Die Rekordstrafe geht jetzt auf den Europäischen Datenschutzausschuss zurück, der die irische Datenschutzaufsicht überstimmte.

Sechsmal in den Top 10 der DSGVO-Strafen

Schrems Datenschutzverein Noyb ist jetzt "froh über diese Entscheidung nach zehn Jahren Rechtsstreit". Das Bußgeld habe sogar noch höher ausfallen können, denn Meta habe wissentlich zehn Jahre gegen die DSGVO verstoßen, "um Profit zu machen". Sollten die US-Überwachungsgesetze nicht geändert werden, müsste Meta "nun wohl seine Systeme grundlegend umstrukturieren". Meta hat gegenüber dem Spiegel darauf verwiesen, dass der Strafe ein grundlegender Rechtskonflikt wischen den Regeln der US-Regierung und den europäischen Datenschutzrechten zugrunde liegt. Im US-Parlament steht derweil eine Erneuerung von Paragraf 702 des FISA an, bislang war es in den Debatten darum nicht um die Datenschutzrechte von Nicht-US-Bürgern gegangen.

Das verhängte Bußgeld ist das bislang höchste, das für DSGVO-Verstöße verhängt wurde. An der Spitze abgelöst wird damit eine Strafe gegen Amazon in Höhe von 746 Millionen Euro. Die war 2021 von Luxemburgs Datenschutzbehörde verhängt worden. In der Liste der zehn höchsten DSGVO-Strafen nimmt die Facebook-Mutter Meta damit inzwischen sechs Plätze in den Top 10 ein, insgesamt summieren sich diese Strafen für den US-Konzern auf 2,5 Milliarden Euro.

