1,2 Milliarden Euro GDPR-Bußgeld gegen Meta wegen Übermittlung personenbezogener Daten in die USA

Wie kann man eine Strafe für sein eigenes Unternehmen vermeiden?


Die irischen Behörden haben Meta, der Muttergesellschaft von Facebook, eine rekordverdächtige Geldstrafe in Höhe von 1,2 Milliarden Euro auferlegt, die höchste, die jemals im Rahmen der Datenschutzgrundverordnung verhängt wurde. Das Bußgeld, das über 4 Milliarden Euro hätte betragen können, verdeutlicht die Schwere der von Meta begangenen Verstöße im Umgang mit Nutzerdaten. Mit dieser Strafe ist Metas Gesamtbetrag der DSGVO-Bußgelder auf 2,5 Milliarden Euro gestiegen, was 6 der 10 höchsten DSVGO-Bußgelder ausmacht. Darüber hinaus erließen die irischen Behörden Anordnungen, die Übermittlung personenbezogener Daten aus der EU in die Vereinigten Staaten zu stoppen und rückgängig zu machen. Etwa 10 Jahre nach der ersten Beschwerde von Max Schrems bei den irischen Behörden ist diese Geldstrafe ein wichtiger Schritt, um den Tech-Riesen zur Verantwortung zu ziehen und die Einhaltung der DSGVO-Vorschriften zu gewährleisten. Im B2B-Geschäft steigt der Bedarf an technischen und organisatorischen Maßnahmen (TOMs) für Datenübermittlungen ins außereuropäische Ausland ständig. Der Datenschutzaktivist Max Schrems weist darauf hin, dass jeder Cloud-Anbieter mit Sitz in den Vereinigten Staaten potenziell von Durchsetzungsmaßnahmen betroffen sein könnte. Bis ein neuer Rahmen für den Datentransfer zwischen der EU und den USA geschaffen ist, sind weitere Aktivitäten der EU-Behörden in diesem Bereich wahrscheinlich.


Was bisher geschah?

Gegen Meta wurde ein Bußgeld verhängt, weil die Übermittlung personenbezogener Daten in die Vereinigten Staaten gegen die Datenschutz-Grundverordnung (DSGVO), insbesondere das Schrems-II-Urteil, verstößt. Die Entscheidung, Meta mit einem Bußgeld zu belegen, ergab sich aus der Tatsache, dass die US-amerikanischen Überwachungsgesetze und -praktiken laut den Urteilen Schrems und Schrems II des Europäischen Gerichtshofs (EuGH) nicht mit den strengen Datenschutzstandards der DSGVO vereinbar sind. Es ist wichtig anzumerken, dass sich die Geldbuße nicht auf die letzten 10 Jahre oder gar auf den Zeitpunkt des Inkrafttretens der DSGVO bezieht, sondern nur auf Verstöße seit dem Schrems-II-Urteil vom 16. Juli 2020, was vielleicht den Betrag von "nur" 1,2 Milliarden Euro erklärt. Das Bußgeld wurde durch Beschwerden und Klagen von Max Schrems, einem Datenschutzaktivisten, ausgelöst. Der Europäische Datenschutzausschuss (EDPB), ein neu eingerichtetes Gremium zur Koordinierung von DSGVO-Maßnahmen zwischen nationalen Behörden, spielte eine wesentliche Rolle bei der Durchsetzung der Maßnahmen gegen Meta. Das Bußgeld unterstreicht die Bedeutung des Schutzes personenbezogener Daten und der Wahrung der Datenschutzrechte im digitalen Zeitalter.


Was hat der EDPB entschieden?

Die verbindliche Entscheidung 1/2023 des Europäischer Datenschutzbeauftragten (EDSB) hat die irischen Behörden in Zugzwang gebracht. Die irische Aufsichtsbehörde (IE SA) hatte beschlossen, keine Geldstrafe gegen Meta zu verhängen und Meta nicht anzuweisen, die Datenübermittlung einzustellen. Der EDSB hob die irische Entscheidung auf und zwang die IE SA, Maßnahmen zu ergreifen: Erstens muss Meta wegen des Verstoßes gegen die DSGVO auf der Grundlage der EDPB-Leitlinien mit einer Geldstrafe belegt werden. Zweitens muss Meta die unrechtmäßige Übermittlung und Speicherung von Daten von Nutzern aus dem Europäischen Wirtschaftsraum (EWR) in die Vereinigten Staaten einstellen, und drittens muss Meta diesen Aufforderungen innerhalb von sechs Monaten nach Erhalt der Entscheidung der irischen Staatsanwaltschaft nachkommen.


Warum wurde die Geldbuße auf 1,2 Milliarden Euro festgesetzt?

Die Geldbuße von 1,2 Milliarden Euro wurde auf der Grundlage mehrerer Faktoren berechnet, die vom Europäischen Datenschutzausschuss (EDPB) festgelegt wurden. Dazu gehören die Schwere des Verstoßes, die große Menge der betroffenen Personen und ihrer Daten. Auch die lange Dauer des Verstoßes, der noch nicht abgeschlossen ist, wurde berücksichtigt. Der EDPB stellte fest, dass Meta (die Muttergesellschaft von Facebook) in hohem Maße fahrlässig gehandelt hat und eine große Verantwortung trägt. Die Sicherheitsverletzung betraf verschiedene Kategorien personenbezogener Daten, darunter auch sensible Informationen. Darüber hinaus stellte der EDSB fest, dass das Service von Meta auf der internationalen Übermittlung von Daten beruht.


Wie kann man reagieren? Was bedeutet das für mein Unternehmen?

Um wirksam auf die aktuelle Situation zu reagieren, werden in der Regel die folgenden Schritte empfohlen:

1. Verstehen Sie das Thema: Informieren Sie sich zunächst gründlich über das betreffende Thema. Lesen Sie einschlägige Materialien, z. B. Whitepapers, offizielle Dokumente und Expertenanalysen, um ein umfassendes Verständnis der Auswirkungen und Anforderungen zu erlangen.

2. Holen Sie rechtlichen Rat ein: Wenden Sie sich an Rechtsexperten oder Datenschutzbeauftragte, die sich auf die DSGVO spezialisiert haben, um sicherzustellen, dass Ihre Maßnahmen mit den Erwartungen der Regulierungsbehörden übereinstimmen und um professionellen Rat zu erhalten, der auf die spezifischen Bedürfnisse Ihres Unternehmens zugeschnitten sind.

3. Überprüfen Sie Datenübertragungen: Untersuchen Sie alle Übertragungen personenbezogener Daten innerhalb Ihres Unternehmens, insbesondere solche, die personenbezogene Daten von EU-Bürgern betreffen. Stellen Sie fest, welche Übertragungen in den USA ansässige Clouds betreffen und bewerten Sie deren Übereinstimmung mit den GDPR-Vorschriften.

4. Risiken abschätzen: Bewerten Sie die potenziellen Risiken im Zusammenhang mit Datenübertragungen an US-Cloud-Anbieter neu, und berücksichtigen Sie die jüngsten Durchsetzungsmaßnahmen und Geldbußen. Analysieren Sie die Wahrscheinlichkeit einer Nichteinhaltung und die möglichen Auswirkungen auf Ihr Unternehmen.

5. Risiken angehen: Entwickeln Sie eine Strategie zur Risikominderung und zur Gewährleistung der GDPR-Konformität. Dazu kann gehören, die Abhängigkeit von US-amerikanischen Cloud-Anbietern zu verringern, alternative Cloud-Dienste innerhalb der EU zu prüfen und zusätzliche Sicherheitsvorkehrungen für Datenübertragungen zu treffen. Auch ein Multi-Cloud-Ansatz könnte in Erwägung gezogen werden. Sehr sensible Daten und deren Verarbeitung würden bei einem europäischen Cloudanbieter verortet sein und andere Anwendungen verblieben bei einem der globalen Anbieter.

6. Änderungen einführen: Führen Sie die notwendigen Änderungen ein, um die GDPR-Anforderungen zu erfüllen und das Risiko potenzieller Geldbußen zu verringern. Dies könnte die Änderung von Datenverarbeitungspraktiken, die Aktualisierung von Verträgen mit Cloud-Anbietern oder die Einführung von Technologien zur Verbesserung des Datenschutzes umfassen.

7. Überwachen und anpassen: Nur eine Änderung der Datenverarbeitungs- oder der US-Überwachungsgesetze kann das Problem der Datenübermittlung zwischen der EU und den USA endgültig lösen. Es wird daher empfohlen, die sich entwickelnde Gesetzeslandschaft kontinuierlich zu überwachen und die Datenverwaltungspraktiken entsprechend anzupassen um Risiken zu vermeiden. Bleiben Sie über alle Aktualisierungen oder Änderungen der GDPR-Richtlinien auf dem Laufenden, um die Einhaltung der Vorschriften im Laufe der Zeit zu gewährleisten.


Ist dies das Ende der Übermittlung personenbezogener Daten zwischen der EU und den USA?

Die jüngsten Entwicklungen bedeuten nicht unbedingt das Ende der Übermittlung personenbezogener Daten zwischen der EU und den USA. Meta hat zwar die Möglichkeit angedeutet, den Facebook-Dienst in Europa einzustellen, doch ist es wahrscheinlich, dass das Unternehmen gegen die Entscheidung Berufung einlegen und Zeit gewinnen wird, bis ein neuer Rahmen für die Datenübermittlung zwischen der EU und den USA, der 2023 in Kraft treten soll, geschaffen wird. Meta hat erklärt, dass es den Facebook-Dienst nicht gänzlich einstellen wird. Es ist jedoch zu beachten, dass diese Situation möglicherweise nicht unbegrenzt andauern wird, da potenzielle künftige Rechtsfälle wie Schrems III des EuGH die Datenübermittlung zwischen der EU und den USA erneut beeinflussen könnten. Folglich besteht in jedem Fall ein anhaltendes Risiko, das zu einem Rückgang der Datenübertragungen und einer verstärkten Konzentration auf die Umsetzung von Maßnahmen zum Schutz dieser Übertragungen, insbesondere im B2B-Sektor, führen kann. Auswirkungen auf Datenübertragungen mit Nicht-EWR-Ländern außerhalb der USA sind ebenfalls wahrscheinlich.


Legende

  • DSGVO – Datenschutz-Grundverordnung
  • EDPB/EDSA – European Data Protection Board/Europäischer Datenschutzausschuss
  • B2B – Business to Business
  • TOMs – Technische und organisatorische Maßnahmen
  • EuGH – Europäischer Gerichtshof
  • EDSB – Europäischer Datenschutzbeauftragte/r
  • IE SA – Irish Supervisory Authority/Irische Aufsichtsbehörde
  • EWR – Europäischer Wirtschaftsraum
  • EU – Europäische Union

Related content

whitepaper

CLOUD Act, GDPR, die Schweizer DSG und der Bank Act

Laden Sie jetzt Ihr kostenloses Whitepaper herunter und lernen mehr über CLOUD Act, GDPR, die Schweizer DSG und der Bank Act.

blog

GDPR-Updates, die Sie nicht ignorieren können: Die neuen Standardvertragsklauseln im Detail

Tick-Tack... haben Sie das gehört? Das war das Geräusch einer verpassten Frist. Am 27. Dezember 2022 wurden die standardvertraglichen Datenschutzklauseln (SCC) der EU offiziell bindend - ein Aufruf an Unternehmen auf der ganzen Welt. Überraschenderweise haben zahlreiche Unternehmen, von kleinen Start-ups bis hin zu großen Konzernen, diese Änderungen noch nicht umgesetzt. Könnte das auch auf Sie zutreffen?

blog

Fast 30 Jahre Herausforderungen mit US-Datenschutz

Die fast 30 Jahre seit der Veröffentlichung der ersten EU-Datenschutzrichtlinie (95/46/EG) im Jahr 1995 sind charakterisiert von Herausforderungen im Bereich Datentransfers in die USA. Bald sind 3 Jahre vergangen, seitdem der EuGH das zweite Abkommen zum Transfer personenbezogener Daten von der EU in die USA wegen eklatanter Mängel aufhob.

blog

GAIA-X: Auf dem Weg zur digitalen Emanzipation

Expo & Congress

it-sa 2023

Besuchen Sie unser Experten Team am Stand von A1 Digital auf der it-sa Expo & Congress 2023, Europas führender Fachmesse für IT-Sicherheit!

blog

IoT-Protokolle: Ein umfassender Leitfaden für Unternehmen

Das Internet of Things (IoT) verbindet physische Geräte miteinander und ermöglicht den Austausch von Daten über das Internet. IoT-Protokolle ermöglichen die Kommunikation und die Datenübertragung zwischen den Geräten. Unternehmen müssen die verschiedenen Technologien verstehen, um die passenden Lösungen für ihre Bedürfnisse zu wählen. Unser Blogbeitrag führt Sie durch die wichtigsten Protokolle und ihre IoT-Anwendungen.

blog

IoT-Anwendungen: 11 Beispiele in der Übersicht

Von der Maschinenüberwachung bis hin zur Automatisierung ganzer Lieferketten – das Internet of Things (IoT) findet bereits in zahlreichen Bereichen Anwendung. Wir stellen Ihnen im folgenden Artikel bekannte und noch weniger geläufige IoT-Beispiele vor.

blog

LPWAN für IoT: Was Unternehmen wissen sollten

LPWAN (Low Power Wide Area Network) ist eine Technologie, die speziell für das Internet der Dinge (IoT) entwickelt wurde. Sie ermöglicht die Vernetzung von Geräten über große Entfernungen mit minimalem Energieverbrauch.

blog

Was ist LTE-M: Ein umfassender Leitfaden für Unternehmen

Speziell für das Internet der Dinge (IoT) entwickelt, gewinnt LTE-M immer mehr an Bedeutung, da Unternehmen zunehmend auf IoT-Lösungen setzen. Diese Mobilfunktechnologie ermöglicht eine effiziente und zuverlässige Kommunikation zwischen Geräten, was für viele Geschäftsprozesse unerlässlich ist.

blog

NIS2: Besser umgehend geplant und kontrolliert handeln, sonst kann es teuer werden