Rekord-Bußgeldentscheidung gegen META

Zum Beschluss der Data Protection Commission vom 22. Mai 2023

Die irische Datenschutzbehörde – Data Protection Commission (DPC) – hat am 22. Mai 20231https://www.dataprotection.ie/en/news-media/press-releases/Data- Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland. eine Geldbuße in Höhe von umgerechnet 1,2 Milliarden Euro gegen Meta Platforms Inc. (Meta) wegen der Übermittlung von (besonderen) personenbezogenen Daten von EU-Nutzern der Facebook-Plattform zur Verarbeitung auf US-Servern verhängt.

Dr. Astrid Auer-Reinsdorff | Rechtsanwältin Berlin & Lissabon | Fachanwältin für Informationstechnologierecht | Business & IT-Law

Zur Erinnerung: Die Angemessenheitsentscheidungen Safe Habour und Pricacy Shield wurden vom EuGH in den Urteilen Schrems I und II für nichtig erklärt. Derzeit wird das Trans-Atlantic Data Privacy Framework verhandelt, dem das Europäische Parlament am 11. Mai 20232On 11 May, the European Parliament adopted its resolution (TA MEF
(europa.eu) on the EU-US Data Privacy Framework (see press release
MEPs against greenlighting personal data transfers with the U.S. | News |
European Parliament (europa.eu)). nicht zugestimmt hat und erheblichen Nachbesserungsbedarf sieht. Es wird aber allgemein davon ausgegangen, dass das Framework noch in diesem Sommer von der Europäischen Kommission verabschiedet wird.

Der Beschluss fasst unter Ziffer 7.202 zusammen – und das ist für alle Diensteanbieter wichtig, die Daten von Nutzern aus der EU in den USA (ggf. auch in anderen unsicheren Drittstaaten) verarbeiten

„Zusammenfassend bin ich daher überzeugt (und stelle fest), dass
(1) das US-Recht kein Schutzniveau bietet, das dem EU-Recht im Wesentlichen gleichwertig ist und
(2) weder die Standardvertragsklauseln (SCC) 2010 noch SCC 2021 den unzureichenden Schutz des USRechts kompensieren können und
(3) Meta Ireland keine zusätzlichen Maßnahmen ergriffen hat, um den unzureichenden Schutz durch das US-Recht auszugleichen.“

„META hat ergänzende organisatorische, technische und rechtliche Maßnahmen ergriffen, die jedoch nicht als ausreichend angesehen werden“

META hat ergänzende organisatorische, technische und rechtliche Maßnahmen ergriffen, die jedoch nicht als ausreichend angesehen werden, um die Rechte der betroffenen Personen in der EU angemessen zu schützen, insbesondere ist nicht sichergestellt, dass die Daten der betroffenen Personen nicht an die Sicherheitsbehörden weitergegeben werden und dass META sich in jedem Fall gegen solche Datenanforderungen der Sicherheitsbehörden wehrt und die betroffenen Personen davon Kenntnis erlangen. Einwilligungen der Betroffenen in die Datenübermittlung werden nicht wirksam eingeholt und die Verarbeitung in den USA durch die Muttergesellschaft der EU-Gesellschaft wird auch nicht als technisch erforderlich und im Interesse der Betroffenen angesehen.

META hat noch in der laufenden Woche bestätigt, dass die Entscheidung keinen unmittelbaren Einfluss auf die Bereitstellung der Facebook-Dienste in Europa hat.3https://about.fb.com/news/2023/05/our-response-to-the-decision-onfacebooks- eu-us-data-transfers/.

Hören Sie mehr hierzu und zu fünf Jahren Anwendungspraxis der DSGVO am 2. Juni 2023 im Podcast „Auslegungssache“4https://www.heise.de/hintergrund/Auslegungssache-Der-Datenschutz- Podcast-des-c-t-Magazins-5069656.html. des Redakteur-Duos Holger Bleich und Joerg Heidrich, bei denen Dr. Astrid Auer-Reinsdorff und Frederik Richter am 25. Mai 2023 live zu Gast waren.

Exklusiv für Mitglieder | Heft 07/08 2023 | 72. Jahrgang