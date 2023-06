Pünktlich zum fünfjährigen Wirken der Datenschutz-Grundverordnung (DSGVO) ist die magische Schwelle überschritten: Erstmalig fordert eine Aufsichtsbehörde mehr als eine Milliarde Euro Bußgeld. 1,2 Milliarden Euro soll der Facebook-Mutterkonzern Meta zahlen, weil er über Jahre hinweg ohne ausreichende Rechtsgrundlage personenbezogene Daten von Facebook-Nutzern aus der EU in seine US-amerikanischen Rechenzentren transferiert haben soll. Die Summe entspricht rund einem Prozent des Vorjahresumsatzes, der bei der Bußgeldbemessung als Grundlage dient. Möglich wären sogar bis zu vier Prozent gewesen, also vier Milliarden Euro.

Die Entscheidung stammt von der irischen Datenschutzbehörde DPC. Bereits vor zehn Jahren hatte sich der österreichische Aktivist Max Schrems bei ihr darüber beschwert, dass in den USA wegen der damals durch die Snowden-Enthüllungen bekannt gewordenen Überwachungsprogramme kein den EU-Vorgaben angemessenes Schutzniveau herrscht. Deshalb seien seine bei Facebook gespeicherten Daten in den USA potenziell geheimdienstlichem Zugriff ausgeliefert. Weil Facebook, nun Meta, seinen europäischen Hauptsitz in Dublin hat, unterliegt der Konzern der irischen Aufsicht.

Doch die DPC verschleppte das Verfahren immer wieder. Weil sie sich weigerte, eine Geldbuße zu verhängen, hatte der Europäische Datenschutzausschuss (EDSA) im Streitbeilegungsverfahren nach Art. 65 der DSGVO übernommen. Dessen nun veröffentlichte Entscheidung erging am 13. April und ist eindeutig: Facebook hatte sich demnach seit 2020 auf Standardvertragsklauseln berufen, um die Datentransfers in die USA zu rechtfertigen. Dies sei illegal und ein "sehr schwerwiegender Verstoß" gegen die DSGVO, den die DPC mit 20 bis 100 Prozent der höchstmöglichen Geldstrafe zu ahnden habe.

Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski zum möglichen neuen Datentransfer-Abkommen: "Nicht nur eine nette Überschrift, sondern tatsächlich etwas mit Substanz." (Bild: Edps.europa.eu)

Der EDSA verlangt außerdem, das "Meta Ireland innerhalb von fünf Monaten jede künftige Übermittlung personenbezogener Daten in die USA auszusetzen hat". Diese Entscheidung hat es in sich, denn sie betrifft im Grunde jeden US-Konzern, der in der EU Dienste anbietet. Weil Aktivist Schrems die Datentransfer-Grundlage Privacy Shield 2020 vorm Europäischen Gerichtshof (EuGH) gekippt hatte, galten seitdem die nicht nur von Facebook genutzten Vertragsklauseln als Legitimationsbrücke, bis ein neues Abkommen zwischen der EU-Kommission und der US-Regierung geschmiedet würde.

Meta legt Berufung ein

Meta hat angekündigt: "Wir legen gegen diese Entscheidungen Berufung ein und werden unverzüglich bei den Gerichten eine Aussetzung der Umsetzungsfristen beantragen." Gerüchten, nach denen Facebook in der EU von Meta abgeschaltet werden könnte, trat der Konzern entgegen. Man hoffe darauf, dass der Konflikt im Sommer gelöst werde.

Dann nämlich soll ein neuer Angemessenheitsbeschluss namens "Trans-Atlantic Data Privacy Framework" (TADPF) als Nachfolger des gescheiterten Privacy Shields in Kraft treten. Der EU-Datenschutzbeauftragte Wojciech Wiewiórowski ist guter Dinge, dass der Zeitplan eingehalten wird. Er hat bereits sein Placet erteilt und kommentierte gegenüber c’t: "Mit dieser Rahmenvereinbarung haben wir nicht nur eine nette Überschrift, sondern tatsächlich etwas mit Substanz. Natürlich gibt es immer noch Dinge, die uns Datenschutzaufsichtsbehörden nicht gefallen und auf die wir hinweisen." Laut Wiewiórowski hat das TADPF allerdings keine Auswirkungen auf zurückliegende Tatbestände und Strafen, es hilft demnach Meta nur wenig.

(hob)