Datenschutz und Cybersecurity

Rekordbußgeld über 1,2 Milliarden Euro gegen Meta Ireland

Verfasst von

Dr. Jan-Peter Ohrtmann

Nach einer verbindlichen Streitbeilegungsentscheidung des Europäischen Datenschutzausschusses („EDPB“) hat die irische Datenschutzbehörde („DPC“) gegen den Facebook-Konzern Meta Platforms Ireland Limited („Meta Ireland“) ein Bußgeld in Höhe von 1,2 Milliarden Euro verhängt. Damit legt diese Entscheidung das höchste jemals verhängte Bußgeld auf Basis der DSGVO fest.

Dem Fall lag die unrechtmäßige Übermittlung von Nutzerdaten an Empfänger in den USA zugrunde. Bei der Bußgeldbemessung wurde unter anderem die enorme Anzahl der Übermittlungen von personenbezogenen Daten in die USA zu Grunde gelegt. Zudem stellt das EDPB fest, dass in den Übermittlungen eine sich wiederholende Systematik zu erkennen sei, weshalb der Verstoß gegen die DSGVO als schwerwiegend eingestuft werden könne. Aus diesem Grund wies der EDPB an, dass die Berechnung der Geldbuße zwischen 20% und 100% des gesetzlich geltenden Höchstbetrags liegen solle (zum Verständnis der Bußgeldberechnung empfehlen wir unseren Blogbeitrag zum Bußgeldmodell des EDPB). Meta Ireland hat darüber hinaus alle Verarbeitungsprozesse den datenschutzrechtlichen Vorgaben, insbesondere denjenigen zum Drittlandtransfer aus Kapitel V der DSGVO, anzupassen. Dies hat innerhalb einer Frist von sechs Monaten nach Zustellung der Entscheidung der DPC zu erfolgen.

Es ist davon auszugehen, dass Meta Ireland Berufung gegen die Entscheidung des EDPB einlegen wird und damit die Zahlung hinauszögert, diese aber im Wesentlichen nicht durch frühere Abkommen zwischen der EU und den USA korrigiert werden kann. Für Meta Ireland ist es bereits das zweite Bußgeld in nennenswerter Höhe im Jahr 2023. Bereits im Januar wurde Meta Ireland von der DPC eine Geldstrafe in Höhe von 390 Millionen Euro auferlegt. Hierbei ging es um die erzwungene Zustimmung personalisierter Werbung bei Facebook- und Instagram-Nutzern.

Fazit

Das Urteil unterstreicht, dass ein Verstoß gegen die DSGVO mit ganz erheblichen Bußgeldern belegt werden kann. Insbesondere im Bereich des Drittlandtransfers sollten Unternehmen einen robusten Prozess in ihrem Datenschutz-Managementsystem etablieren, der einen rechtmäßigen Datentransfer sicherstellt. Hierzu ist es unerlässlich, die jeweils aktuellen Standardvertragsklauseln zum Drittlandtransfer in die vertragliche Beziehung miteinzubeziehen. Überdies ist in der Regel ein Transfer Impact Assessment notwendig, um festzustellen, ob darüber hinausgehende Sicherheitsmaßnahmen zur Absicherung des Drittlandtransfers erforderlich sind.