logo_klein
Rekordstrafe für Meta Platforms Ireland Limited
Rekordstrafe für Meta Platforms Ireland Limited

Meta Platforms Ireland Limited ("Meta") hat von der Data Protection Commission ("DPC") eine Strafe in Höhe von 1,2 Milliarden EUR erhalten. Die Höhe der Datenschutz-Strafe für Meta zeigt, dass EU-Unternehmer Datenschutz ernst nehmen müssen. Wichtig ist es, auch die Hintergründe der Entscheidung zu beleuchten. Die gesamte Entscheidung umfasst über 200 Seiten und dürfte für einen Blogbeitrag zu umfangreich sein. Wir haben einige Aspekte für Sie herausgegriffen.

Verstoß gegen Art 46: Datenschutz-Strafe für Meta

Meta hat nach Ansicht der DPC gegen Art 46 DSGVO verstoßen, also keine geeigneten Garantien für die Übermittlung in Drittstaaten vorgesehen. Hierbei wird Meta vorgeworfen, nach der Entscheidung Schrems II des EuGH den Datentransfer in die USA fortgesetzt zu haben. Es wurde die neue Version der Standardvertragsklauseln verwendet und es wurden auch einige technische Maßnahmen umgesetzt. Im Großen und Ganzen reichen die Modifikationen durch Meta aber nicht aus und setzen die Vorgaben des EuGH nicht um.

Die Rolle von Ausnahmeregelungen

Festgehalten wird, dass sich Meta auf keine Ausnahmen nach Art 49 DSGVO berufen kann. Die DPC hält insbesondere einen Datentransfer in die USA nicht für "vertraglich erforderlich" im Sinne von Art 49 Abs 1 lit d DSGVO. Die DPC bezieht sich auf die Rechtsprechung des EuGH (Entscheidung, S 101) und hält fest, dass Art 49 DSGVO eine Ausnahmeregelung ist. Dies impliziere eine "strenge Auslegung". Die DPC nimmt hierbei auch auf Ausführungen des Generalanwalts Giovanni Pitruzzella Bezug (Entscheidung, S 110): Art 52 der Grundrechtecharte der EU gebiete, dass eine Einschränkung der Grundrechte von EU Bürgern zum einen gesetzlich vorgesehen sein muss und den Wesensgehalt der Grundrechte nicht antasten darf. In diesem Lichte müsse auch Art 49 DSGVO interpretiert werden.

Meta hat hierzu festgehalten, dass ein Ausnahmecharakter in Erwägungsgrund 111 zwar durch das Wort "gelegentlich" zum Ausdruck komme, dieser Begriff aber in der DSGVO nicht wiederholt werde und somit keine nähere Bedeutung hätte. Eine Auslegung, der die DPC widerspricht (Entscheidung S 113), denn die Erwägungsgründe sollen sehr wohl zur Interpretation der Vorschriften der EU-Verordnungen herangezogen werden.

Welche Rolle spielt die explizite Einwilligung?

Wichtig in diesem Zusammenhang: Ob sich Meta - trotz des Ausnahmecharakters der Vorschrift des Art 49 DSGVO - auf eine ausdrückliche Einwilligung der User berufen kann, ist nicht entschieden worden, weil Meta eine solche explizite Einwilligung zurzeit gar nicht einholt (Entscheidung S 121). Die DPC lässt aber durchblicken, dass dies durchaus problematisch ist, zumal Art 49 Abs 1 lit a DSGVO auf einen bestimmten Datentransfer anspielt. Ob damit in sämtliche Datentransfers von Meta in die USA pauschal eingewilligt werden kann, dürfte sehr fraglich sein (Entscheidung S 123).

Wie kommt die Strafhöhe zustande?

Im Rahmen der Strafhöhe wurde unter anderem berücksichtigt, dass es bereits Strafen gegen Meta gegeben hat. Außerdem wurde mit bedacht, dass die Verletzung bereits lange andauert (seit der Verkündung der Entscheidung Schrems II) und dass vorsätzlich gehandelt wurde.

Hintergründe zur Datenschutz-Strafe für Meta:

Entscheidung im Volltext (EN)

Bedeutung für heimische Unternehmen

Was bedeutet die Entscheidung nun für Unternehmen über die Verwendung von Meta-Diensten hinaus? Auch viele heimische Unternehmen berufen sich auf Art 49 Abs 1 lit a DSGVO im Zusammenhang mit dem Einsatz von Cookies. Dieser scheint zwar aufgrund der Entscheidung nicht von vornherein gegen die Verordnung zu verstoßen, ist aber jedenfalls kritisch zu sehen. Die DPC hat sehr stark den Ausnahmecharakter der Vorschrift betont. Für einen möglichen Einsatz bei Cookies und Trackingtools könnte sprechen, dass die Einwilligung sich immerhin auf eine konkrete Datenverarbeitung bezieht.

Sie haben weitere Fragen zum Datenschutz?

Sofern Sie weitere Fragen zu diesem Thema oder zu anderen Datenschutz-Themen haben, nehmen Sie gern Kontakt mit uns auf. Weitere Informationen finden Sie auf unserer Homepage, unter office@geuer.at oder telefonisch unter +43-1-4380072. Wir freuen uns auf Ihre Anfrage.

Scroll to Top