Meta, der Mutterkonzern von Facebook, sieht sich einer bedeutenden Entscheidung der irischen Datenschutzbehörde (DPC) ausgesetzt. Die Entscheidung bringt eine heftige Geldbuße von 1,2 Mrd. Euro mit sich und die Aussetzung der Übermittlung europäischer personenbezogener Daten in die Vereinigten Staaten, nachdem hinsichtlich der US-Überwachungsgesetze Bedenken bestehen. Meta beabsichtigt, die Entscheidung anzufechten, während das Unternehmen gleichzeitig auf ein neues Datentransferabkommen zwischen der EU und den USA hofft.
Der Ausgang dieses Verfahrens hat weitreichende Auswirkungen auf den Datenschutz und die Privatsphäre in Europa. Lesen Sie weiter, um mehr zu erfahren 👇
Über einen Zeitraum von zehn Jahren wurden in diesem Fall drei verschiedene Gerichtsverfahren durchgeführt, und es sind Prozesskosten in Millionenhöhe entstanden.
→ Im Jahr 2013 wurde die ursprüngliche Beschwerde durch die DPC als „belanglos“ verworfen, wodurch sich Max Schrems, Gründer des Europäischen Zentrums für digitale Rechte (NOYB), veranlasst sah, sich mit der Angelegenheit an den Gerichtshof der Europäischen Union (GHdEU) zu wenden.
→ Später argumentierte die DPC, dass sie nicht befugt sei, Maßnahmen zu ergreifen, nachdem Meta „Standardvertragsklauseln“ verwendet habe. Der GHdEU wies dieses Argument jedoch ab und wies die DPC an, die Durchsetzung anzugehen.
→ Im Januar 2023 verhängte die DPC gegen Meta eine Geldbuße in Höhe von insgesamt 390 Mio. Euro wegen Verstößen gegen die DSGVO im Zusammenhang mit ihren Facebook- und Instagram-Diensten. Diese Geldbuße wurde seitens des Europäischen Datenschutzausschusses (EDSA) und anderen europäischen Aufsichtsbehörden jedoch für zu gering erachtet, was zu einer Neubewertung der Situation führte.
🔎 Nähere Einzelheiten zu diesem Fall können Sie hier nachlesen →
Im Ergebnis belaufen sich die Kosten der Gerichtsverfahren auf über 10 Mio. Euro, wobei die Geldbuße an sich dem Staat Irland zugewiesen wurde.
In einer historischen Entscheidung gegen Meta hat die irische DPC angeordnet, dass Meta aufgrund von Bedenken in Bezug auf die US-Überwachungsgesetze die Übermittlung europäischer personenbezogener Daten unterbinden muss.
Der EDSA hat die Entscheidung unterstützt und dabei die Notwendigkeit einer erheblichen Geldbuße und der Rückübertragung von zuvor übermittelten Daten an die europäischen Datenzentren betont.
Nach Erhalt des Aussetzungsbeschlusses veröffentlichte Meta umgehend einen Blogartikel, um auf die Situation einzugehen und bekanntzugeben, dass das Unternehmen beabsichtige, Berufung einzulegen.
💬 In seiner Stellungnahme lenkte Meta die Aufmerksamkeit auf die Unstimmigkeiten zwischen EU- und US-Recht. Das Unternehmen argumentierte, dass das Problem auf die Komplexität der internationalen Rechtsordnungen zurückzuführen sei.
In Bezug auf zukünftige Datenübermittlungen setzt Meta auf ein neues Datentransferabkommen zwischen der EU und den USA. Allerdings können frühere Rechtsverstöße auch durch ein neues Abkommen zwischen der EU und den USA nicht behoben werden. Darüber hinaus wurde das Abkommen vom Europäischen Parlament kritisiert und könnte wie bereits die vorherigen Abkommen („Privacy Shield“ und „Safe Harbor“) vom GHdEU für ungültig erklärt werden.
💬 Schrems ist der Ansicht, dass die Chancen gering sind, dass das neue Abkommen einer rechtlichen Prüfung standhält, und dass Meta EU-Daten aller Wahrscheinlichkeit nach innerhalb der EU belassen muss, sofern sich die US-Überwachungsgesetze nicht ändern.
Die EU-Kommission und die Vereinigten Staaten hatten sich im Grunde auf ein Trans-Atlantic Data Privacy Framework (DPF) geeinigt. Das DPF soll gewährleisten, dass in die USA übermittelte Daten angemessen geschützt werden, und trägt dem Urteil des EU-Gerichtshofs zu sicheren Datentransfers Rechnung.
Bis zur Fertigstellung des endgültigen Textes ist jedoch noch einiges zu tun. Die Regierung der USA hat eine Durchführungsverordnung erlassen, welche die im Abkommen eingegangenen Verpflichtungen umfasst. Allerdings muss die EU-Kommission noch einen Entwurf für einen Angemessenheitsbeschluss auf der Grundlage dieser Verordnung vorlegen. Der EDSA war ebenfalls an diesem Vorgehen beteiligt und hat seine Stellungnahme abgegeben.
Aller Wahrscheinlichkeit nach wird es keine unmittelbaren Änderungen geben.
→ Die kürzliche Entscheidung sieht eine Übergangszeit von ungefähr sechs Monaten vor, bevor Meta die Übermittlung von Daten einstellen muss.
→ Während dieser Zeit wird der Dienst wie gewöhnlich betrieben.
→ Nachdem Meta die Absicht geäußert hat, gegen die Entscheidung Berufung einzulegen, könnte das Unternehmen versuchen, die Umsetzung zu verzögern, während es seine Argumente vor Gericht vorträgt.
Ob das neue transatlantische Datentransferabkommen vor Ablauf der sechsmonatigen Übergangsfrist abgeschlossen sein wird, bleibt weiterhin ungewiss. Theoretisch könnte Meta die Aussetzung der Datenübermittlungen zwischen der EU und den USA während der Übergangszeit umgehen, falls die Verabschiedung eines neuen Abkommens Meta eine alternative Lösung bieten würde, um die Aussetzung seines Dienstes in der EU zu vermeiden.
Es ist jedoch sehr unwahrscheinlich, dass ein solches Abkommen rückwirkende Geltung erlangt, sodass die Auflagen dieser Entscheidung nach wie vor gelten dürften.
Da zudem rechtliche Anfechtungen des neuen transatlantischen Datentransferabkommens zu erwarten sind, kann davon ausgegangen werden, dass Meta und andere US-Tech-Giganten, deren Geschäftsmodelle auf Datenübermittlungen in die USA angewiesen sind, in Zukunft möglicherweise vor ähnlichen Herausforderungen stehen werden.
📬 Want more news like this delivered to your inbox? Join the list @ dponewsletter.com
