Die EU verhängte gegen Facebook eine Geldstrafe von 1,3 Milliarden Euro wegen der Übermittlung von Daten von EU-Nutzern in die USA

Die EU-Aufsichtsbehörde, die irische Datenschutzkommission (DPC), hat Facebooks Muttergesellschaft Meta eine Rekordstrafe von 1,2 Milliarden Euro für die Übermittlung personenbezogener Daten von EU-Nutzern in die USA auferlegt, womit das Unternehmen gegen Artikel 46 Absatz 1 der DSGVO verstoßen hat ( Datenschutz-Grundverordnung).

Artikel 46 Absatz 1 der DSGVO verbietet die Übermittlung personenbezogener Daten an Länder oder internationale Organisationen, die keine Garantien zur Gewährleistung der Datensicherheit haben. Facebook hat gegen diesen Artikel der DSGVO verstoßen, indem es Nutzerdaten von der EU in die USA übermittelt hat, wo die Datenschutzbestimmungen von Land zu Land unterschiedlich sind und als unzureichend angesehen werden, um die Rechte der betroffenen Personen in der EU zu schützen.

Die Geldbuße wurde verhängt, nachdem Meta nach einem EU-Gerichtsurteil aus dem Jahr 2020, das das EU-US Privacy Shield-Abkommen von 2016 für ungültig erklärte, weiterhin Benutzerdaten aus der EU übermittelte. Diese Vereinbarung ermöglichte es US-Unternehmen, die auf der Liste standen, die Teil der Vereinbarung ist, die Daten von Nutzern aus der EU zu behalten.

In einer verbindlichen Entscheidung des Europäischen Datenschutzausschusses (EDSA) wurde Meta angewiesen, ihre Datenübermittlungen mit der DSGVO in Einklang zu bringen und illegal übermittelte, gespeicherte und verarbeitete Daten innerhalb von sechs Monaten zu löschen.

Darüber hinaus wurde Meta angewiesen, innerhalb von fünf Monaten jegliche Übermittlung von Facebook-Nutzerdaten zu stoppen. Instagram und WhatsApp, die ebenfalls dem Unternehmen gehören, unterliegen nicht der Anordnung.

„Der EDSA hat festgestellt, dass die Rechtsverletzung sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt“, sagte Andrea Jelinek, Vorsitzende des EDSA in einer Erklärung. „Facebook hat Millionen von Nutzern in Europa, daher ist die Menge der übertragenen personenbezogenen Daten riesig. Die beispiellose Geldstrafe ist ein starkes Signal an Organisationen, dass schwerwiegende Verstöße weitreichende Folgen haben.“

Europäische Datenschutzbehörden haben wiederholt darauf hingewiesen, dass es keinen gleichwertigen Schutz der Privatsphäre wie in der US-DSGVO gibt, der es US-Geheimdiensten möglicherweise ermöglicht, auf Daten von Europäern zuzugreifen, die an Server in den USA gesendet werden.

Das DPC-Urteil war das Ergebnis einer Beschwerde, die vor fast einem Jahrzehnt im Juni 2013 vom österreichischen Datenschutzaktivisten Maximilian Schrems wegen Bedenken eingereicht wurde, dass Benutzerdaten nicht ausreichend vor US-Massenüberwachungsprogrammen geschützt seien, die von einem Whistleblower und ehemaligen Mitarbeiter des US-Geheimdienstes aufgedeckt wurden. nationale Sicherheit Edward Snowden.

„Die einfachste Lösung wären sinnvolle Einschränkungen im amerikanischen Überwachungsrecht“, sagte Schrems. „Es wäre an der Zeit, EU-Nutzern von US-Cloud-Anbietern diesen grundlegenden Schutz zu gewähren. Jeder große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Entscheidung nach EU-Recht betroffen sein.“ Es sei denn, die US-Überwachungsgesetze werden festgelegt „Meta wird wahrscheinlich EU-Daten in der EU aufbewahren müssen“, fügte Schrems hinzu.

Meta sagte, es beabsichtige, gegen das Urteil Berufung einzulegen, einschließlich der „ungerechtfertigten und unnötigen Strafe, die einen gefährlichen Präzedenzfall für unzählige andere Unternehmen schafft“. Das Unternehmen kündigte außerdem an, dass es einen Aufschub der gerichtlichen Anordnung zur Einstellung der Datenübermittlung anstreben werde.

„Ohne die Möglichkeit, Daten über Grenzen hinweg zu übertragen, besteht die Gefahr, dass das Internet in nationale und regionale Silos aufgeteilt wird, was die Weltwirtschaft einschränkt und es den Bürgern in verschiedenen Ländern verwehrt, auf viele der gemeinsamen Dienste zuzugreifen, auf die wir mittlerweile angewiesen sind“, sagte Meta .

Im vergangenen Jahr warnte das Unternehmen davor, dass es im Falle einer Anordnung, den Datentransfer in die USA zu stoppen, möglicherweise aufhören müsse, „einige seiner wichtigsten Produkte und Dienstleistungen“ in der EU anzubieten.

„Hier geht es nicht um die Datenschutzpraktiken eines Unternehmens – es besteht ein grundlegender Rechtskonflikt zwischen den Datenzugriffsregeln der US-Regierung und den europäischen Datenschutzrechten, den die politischen Entscheidungsträger voraussichtlich in diesem Sommer lösen werden.“ Meta erklärt.

Es wird nämlich erwartet, dass das neue transatlantische Abkommen zur sicheren Datenübertragung noch in diesem Jahr fertiggestellt wird, und Meta hofft, dass dieses Abkommen vollständig umgesetzt wird, bevor die Datenübertragung ausgesetzt werden muss, was dazu führen könnte, dass Nutzer aus der EU kein Facebook mehr haben.

Diese Geldbuße ist die höchste, die jemals im Rahmen der DSGVO verhängt wurde, und übertrifft die Geldbuße in Höhe von 746 Millionen Euro, die Amazon im Juli 2021 wegen ähnlicher Datenschutzverletzungen verhängt wurde.

Dies ist die dritte Geldstrafe, die das DPC in diesem Jahr gegen Meta verhängt hat. Im Januar wurde Meta zu einer Geldstrafe von 390 Millionen Euro verurteilt, weil das Unternehmen Nutzerinformationen nicht ordnungsgemäß verarbeitet hatte, um Anzeigen auf Facebook und Instagram anzuzeigen.

Zwei Wochen später, DPC hat gegen WhatsApp eine Geldstrafe verhängtDas ebenfalls zu Meta gehörende Unternehmen wurde mit 5,5 Millionen Euro wegen Verstoßes gegen Datenschutzgesetze bestraft, indem es Benutzer dazu zwang, „der Verarbeitung ihrer persönlichen Daten zur Verbesserung von Diensten und Sicherheit zuzustimmen“ und von Benutzern verlangte, aktualisierten Nutzungsbedingungen zuzustimmen, damit sie fortfahren können mit WhatsApp.

Foto: David Sokolowski / Unsplash