€ 1.2 Mrd. DSGVO-Rekordstrafe für Meta wegen US-Massenüberwachung nach 10 Jahren und drei Klagen gegen die irische Datenschutzbehörde
Heute hat ein zehnjäriger Fall (2013 - 2023) über Metas Beteiligung an der US-Massenüberwachung zu einer ersten Entscheidung geführt. Meta muss jede weitere Übermittlung europäischer personenbezogener Daten an die Vereinigten Staaten unterbinden, da das Unternehmen den US-Überwachungsgesetzen (wie FISA 702) unterliegt. Der Europäische Datenschutzausschuss hob die Entscheidung der irischen Datenschutzbehörde weitgehend auf und verlangte außerdem eine Rekordstrafe sowie die Rückübertragung bereits übermittelter Daten in die EU.
- As multiple media outlets have broken the DPC's embargo for 12:00 CET, the following information is not embargoed anymore
- Press Release of the Irish DPC
- EDPB Decision in the Case
Schwerer Schlag für Meta. Der Rechtsstreit läuft seit den Enthüllungen von Edward Snowden über die Unterstützung des NSA-Massenüberwachungsapparats durch US-Großunternehmen im Jahr 2013. Max Schrems brachte damals eine Beschwerde gegen Facebook (nun Meta) ein. Zehn Jahre lang hat Meta den Europäischen Gerichtshof (EuGH) und den Europäischen Datenschutzausschuss (EDSA) einfach ignoriert. Nun muss Meta nicht nur eine Rekordstrafe von € 1.2 Mrd zahlen, sondern auch alle personenbezogenen Daten an seine EU-Rechenzentren zurückbringen.
Max Schrems:"Wir sind froh über diese Entscheidung nach zehn Jahren Rechtsstreit. Das Bußgeld hätte wesentlich höher ausfallen können, da die Höchststrafe bei über 4 Milliarden liegt und Meta zehn Jahre lang wissentlich gegen die DSGVO verstoßen hat, um Profit zu machen. Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta nun wohl seine Systeme grundlegend umstrukturieren müssen."
FISA 702 muss 2023 neu genehmigt werden. Der aktuelle Konflikt zwischen den EU-Datenschutzgesetzen und den US-Überwachungsgesetzen ist auch für alle anderen großen US-Cloud-Anbieter wie Microsoft, Google oder Amazon ein Problem. Das zugrunde liegende US-Überwachungsgesetz (FISA 702) muss bis Dezember 2023 neu autorisiert werden. Das Interesse an wesentliche Verbesserungen könnte nun nach dieser Strafe bei den US-Unternehmen größer werde. Zahlreiche Entscheidungen aus Frankreich, Italien oder Österreich haben die Nutzung von US-Diensten bereits für rechtswidrig erklärt. Die Behörden haben bisher jedoch keine hohen Geldstrafen verhängt.
Max Schrems: "Die einfachste Lösung wären vernünftige Garantien im US-Recht. Auf beiden Seiten des Atlantiks besteht Einigkeit darüber, dass man einen begründeten Verdacht und eine Genehmigung durch einen Richter für legale Überwachung brauchen. Bisher gilt das aber nach US-Recht nur für die eigenen Bürger. Es wäre an der Zeit, diesen grundlegenden Schutz auch den EU-Kunden von US-Cloud-Anbietern zu gewähren. Jeder andere große US-Cloud-Anbieter wie Amazon, Google oder Microsoft könnte von einer ähnlichen Strafe nach EU-Recht betroffen sein."
Vergangene Rechtsverstöße: Erfolgreiche Berufung unwahrscheinlich. Wir gehen davon aus, dass Meta vor dem irischen und möglicherweise auch vor dem europäischen Gericht Berufung einlegen wird. Die Chancen, dass diese Entscheidung in wesentlichen Punkten aufgehoben wird, sind jedoch gering: Der EuGH hat bereits in zwei Fällen entschieden, dass es keine gültige Rechtsgrundlage für Datenübermittlungen zwischen der EU und den USA zwischen mindestens 2007 und 2023 gab. Auch durch ein neues EU-US-Abkommen, werden frühere Rechtsverstöße nicht legalisiert.
Max Schrems:"Meta wird gegen diese Entscheidung Berufung einlegen, aber es gibt keine reelle Chance, diese Entscheidung materiell zu ändern. Frühere Rechtsverletzungen können nicht durch ein neues Abkommen zwischen der EU und den USA beseitigt werden. Meta kann allenfalls die Zahlung der Geldbuße ein wenig hinauszögern."
Künftige EU-US Datentransfers: Hoffen auf wackeliges EU-US-Abkommen? Meta hofft nun, für alle künftigen Datenübermittlungen auf ein neues EU-US-Abkommen umsteigen zu können. Das neue Abkommen wurde bereits vom Europäischen Parlament heftig kritisiert- trotzem es wird wahrscheinlich nach dem Sommer in Kraft treten. Auch diese Hoffnungen könnten sich jedoch bald zerschlagen. Es ist nicht unwahrscheinlich, dass auch das neue Abkommen vom EuGH für ungültig erklärt wird - genau wie die beiden früheren Datenabkommen zwischen der EU und den USA ("Privacy Shield" und "Safe Harbor"). Solche EuGH-Urteile machen diese Abkommen rückwirkend ungültig.
Max Schrems: "Meta plant, sich bei künftigen Übermittlungen auf das neue Abkommen zu stützen - aber das ist vermutlich keine dauerhafte Lösung. Meiner Meinung nach hat das neue Abkommen vielleicht eine zehnprozentige Chance, nicht vom EuGH gekippt zu werden. Solange die US-Überwachungsgesetze nicht geändert werden, wird Meta die EU-Daten wahrscheinlich in der EU behalten müssen."
Zehn Jahre, drei Gerichtsverfahren und Millionen an Prozesskosten. Die Rolle der irischen Datenschutzbehörde in diesem Verfahren ist außergewöhnlich. Zehn Jahre lang hat sie immer wieder versucht, den Fall zu blockieren. 2013 wies sie die ursprüngliche Beschwerde als "frivol" zurück und zwang Max Schrems bis zum EuGH zu klagen. Dann vertrat die DPC die Ansicht, dass sie nicht tätig werden könne, da Meta sogenannte "Standardvertragsklauseln" verwendet habe. Auch hier musste der EuGH die DPC zwingen, tätig zu werden. Schließlich versuchte die DPC, Meta vor einem Bußgeld und der Löschung bereits übermittelter Daten zu bewahren. Der Europäische Datenschutzausschuss (EDSA) musste die nun DPC verpflichten, eine Strafe zu verhängen. Insgesamt führten diese Verfahren gegen die DPC zu Kosten von mehr als 10 Millionen Euro - das Bußgeld geht jedoch an den irischen Staat.
Max Schrems: "Wir haben zehn Jahre lang gegen die irische Datenschutzbehörde geklagt, um zu diesem Ergebnis zu kommen. Wir mussten drei Verfahren gegen die DPC anstrengen und haben dabei Millionen an Verfahrenskosten riskiert. Die irische DPC hat alles getan, um diese Entscheidung zu verhindern, wurde aber immer wieder von den europäischen Gerichten und Institutionen zurechtgewiesen. Es ist irgendwie absurd, dass die Rekordstrafe an Irland geht - den EU-Mitgliedstaat, der alles getan hat, um sicherzustellen, dass diese Strafe nicht verhängt wird."
Umsetzungsfrist, keine drohende Einstellung der Dienste. Zuvor hatte Meta das Gerücht verbreitet, dass es seine Dienste in Europa einstellen würde. Angesichts der Tatsache, dass Europa bei weitem die größte Einnahmequelle außerhalb der USA ist und Meta bereits lokale Datenzentren in der EU errichtet hat, sind diese Ankündigungen kaum glaubwürdig. Die langfristige Lösung scheint eine "föderales soziales Netzwerk" zu sein, bei dem die meisten persönlichen Daten in der EU verbleiben, während nur "notwendige" Übertragungen fortgesetzt werden - zum Beispiel, wenn ein Europäer:in eine Direktnachricht an eine:n US-Freund:in schickt. Hierfür hat Meta auch eine Umsetzungsfrist bekommen.
Max Schrems:"Die leeren Drohungen von Facebook, dass sie ihre Dienste in Europa einstellen werden, sind lächerlich. Europa ist bei weitem der größte Markt für Facebook außerhalb der USA. Eine mögliche Option für die Zukunft wäre ein 'föderales' soziales Netzwerk, bei dem die europäischen Daten in den Rechenzentren in Europa verbleiben, es sei denn, die Nutzer chatten zum Beispiel mit einem US-Freund."