Rekordstrafe von 1,2 Milliarden Euro für die Facebook-Mutter Meta verhängt
Die irische Data Protection Commission hat laut einer Pressemitteilung vom 22. Mai 2023 wegen schwerwiegender Datenschutzverstößen den US-Konzern Meta zu einer Rekord-Geldbuße von 1,2 Milliarden Euro verdonnert. Manchen geht es zu weit, anderen nicht weit genug.
Gleich nachdem bekannt wurde, dass Meta, der Mutterkonzern von Facebook, WhatsApp und Instagram von Irlands Datenschutzbehörde eine Bußgeldforderung von 1,2 Milliarden Euro bekam, gingen die Meinungen weit auseinander. Kritiker stellten Meta schon als Opferlamm für ein Versagen dar, sich mit den USA darauf zu verständigen, dass „Ausspähen unter Freunden“ (O-Ton Angela Merkel) nicht sein darf, zumal US-Behörden wie CIA und NSA es immer noch leicht haben, im Zweifelsfall auf die Freigabe europäischer Daten zu pochen.
Der österreichische Anwalt und Datenschutzaktivist Max Schrems, der 2015 schon das Safe-Harbor-Abkommen und 2020 den EU-US Privacy Shield zu Fall brachte, kam mit einem ähnlichen, aber ganz anders gearteten Argumentationsstrang daher. Er findet nämlich, dass das Bußgeld zehn Jahre nach den Enthüllungen von US-Whistleblower Edward Snowden im Jahr 2013 und nach zehn Jahren Rechtsstreit hätte deutlich höher ausfallen können. Angesichts des wissentlichen, fortgesetzten Verstoßes gegen die DSGVO beziehungsweise vorheriger Datenschutzbestimmungen, „nur um Profit zu machen“, wäre sogar eine Höchststrafe von 4 Milliarden Euro angemessen gewesen, so Schrems. „Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen“, fügt er laut Golem hinzu.
Die definitive irische Entscheidung fiel aufgrund der Intervention durch den Europäischen Datenschutzausschuss (EDSA), nachdem andere EU-Staaten diese zuvor nicht akzeptieren wollten. Daher hat die EDSA gemäß Artikel 65 der DSGVO einen verbindlichen Beschluss verfasst, der am 13. April angenommen wurde, wie Golem berichtet.
Bitkom warnt vor „transatlantischer Datenblockade“
Demnach hat die EDSA-Vorsitzende Andrea Jelinek die Entscheidung folgendermaßen begründet: „Der EDSA hat festgestellt, dass der Verstoß von Meta IE sehr schwerwiegend ist, da es sich um systematische, wiederholte und kontinuierliche Übermittlungen handelt. Facebook hat Millionen von Nutzern in Europa, so dass der Umfang der übermittelten personenbezogenen Daten enorm ist. Die beispiellose Geldbuße ist ein starkes Signal an die Unternehmen, dass schwerwiegende Verstöße weitreichende Folgen haben.“
Nick Clegg und Jennifer Newstead von der Meta Group bezeichneten die Entscheidung prompt als „fehlerhaft und ungerechtfertigt“. Sie würde überdies einen Präzedenzfall für zahllose andere Unternehmen schaffen, die Daten zwischen der EU und den USA transferieren.
Kritik kam auch vom deutschen Digitalverband Bitkom. „Europa darf keine transatlantische Datenblockade aufbauen. Die Entkoppelung der EU von den Angeboten und Leistungen der internationalen Datenwirtschaft führt in die digitale Isolation und schadet den Menschen und Unternehmen Europas weit mehr als es ihnen nutzt. Ein funktionierender Rechtsrahmen für internationale Datentransfers zwischen der EU und den USA muss jetzt höchste Priorität für die Politik haben„, wird da Hauptgeschäftsführer Bernhard Rohleder in einer ersten Stellungnahme zitiert.
Heikles Thema Industrie- oder Wirtschaftsspionage
Schrems geht so wie andere davon aus, dass Meta gegen die Entscheidung Berufung einlegen wird, ein Verfahren, das sich Jahre hinziehen kann. „Aber es gibt keine reelle Chance, diese Entscheidung materiell zu ändern. Frühere Rechtsverletzungen können nicht durch ein neues Abkommen zwischen der EU und den USA beseitigt werden. Meta kann allenfalls die Zahlung der Geldbuße ein wenig hinauszögern“, so der österreichische Datenschutzaktivist, der bereits 2014 in Wien eine Sammelklage gegen Facebook in Irland eingebracht hatte. 25.000 Personen haben sich dieser Sammelklage angeschlossen. Bevor der EuGH 2020 auf sein Betreiben den EU-US Privay Shield kippte, hatte Schrems bei der irischen Datenschutzbehörde beanstandet, dass Facebook Irland seine Daten an den Mutterkonzern in den USA weiterleitet.
Problematisch sehen Schrems und andere Kritiker:innen dabei auch die potenziellen Zugriffsmöglichkeiten von US-Behörden. Denn die sind nach Ablösen des einstigen US Patriot Act durch den USA Freedom Act theoretisch zumindest weiterhin gegeben, und das auch bei in Europa gehosteten Daten. Daher drängen Datenschützer auf ein neues transatlantisches Abkommen. Dabei geht es unter anderem darum, Unternehmen hüben wie drüben vor zum Teil staatlich gelenkter Industrie- oder Wirtschaftsspionage zu schützen. In diesem Zusammenhang tauchte in der Vergangenheit zumindest immer wieder der Name der NSA auf, während europäische Geheimdienste wie der BND eher untätig bleiben, weil ihnen meist der entsprechende Wirtschaftsauftrag fehlt.
Quelle Titelbild: Adobe Stock / Александр Поташев
