Die irische Aufsichtsbehörde Data Protection Commission (DPC) veröffentlichte am 22. Mai 2023 ihre mit Spannung erwartete Entscheidung bezüglich der Übermittlungen personenbezogener Daten in die USA durch Meta Platforms Ireland (ehemals Facebook Ireland). Neben einer Rekordgeldbuße von 1,2 Mrd. Euro verbot die DPC weitere Übermittlungen der Daten von Facebook-Nutzern in die USA. Wir erklären Ihnen, welche Implikationen sich aus der Entscheidung für Unternehmen in der EU ergeben.
Hintergrund der Entscheidung
Der österreichische Datenschutzaktivist Max Schrems reichte vor fast zehn Jahren im Juni 2013 eine Beschwerde gegen Facebook Ireland (jetzt Meta Platforms Ireland) bei der DPC ein. In der Beschwerde machte er geltend, dass Facebook die Daten europäischer Nutzer unrechtmäßig in die USA übertrage. Grund für diese Behauptungen waren die weiten Befugnisse der US-amerikanischen Nachrichtendienste, die auf US-Überwachungsgesetzen wie FISA 702 beruhten und zuvor durch Enthüllungen von Edward Snowden bekannt geworden waren.
Im Verlauf des Verfahrens musste Max Schrems mehrmals vor Gericht ziehen. Aus diesen Verfahren sind zwei Vorabentscheidungsersuchen an den Europäischen Gerichtshof (EuGH) hervorgegangen. Im letzten und für die vorliegende Entscheidung wesentlichen Vorabentscheidungsverfahren, das unter dem Namen Schrems II bekannt ist, erklärte der EuGH das EU-U.S. Privacy Shield, das Meta bis dahin zur Begründung ihrer Datenübermittlungen in die USA nutzte, für ungültig. Zudem stellte der EuGH hohe Anforderungen an die Verwendung von Standardvertragsklauseln (SCC) als geeignete Garantie für Datenübermittlungen in Drittländer.
Nach dem Wegfall des EU-U.S. Privacy Shields führte Meta seine Datenübermittlungen auf Basis von SCC durch. Im Einklang mit der Schrems II-Entscheidung traf Meta zusätzliche Maßnahmen, um die Daten vor Zugriffen durch die US-Nachrichtendienste zu schützen. Die vorliegende Entscheidung der DPC befasste sich im Wesentlichen mit der Frage, ob diese Maßnahmen ausreichend sind.
Da sich der EU-Hauptsitz von Meta in Irland befindet, führte die dortige DPC das Verfahren federführend durch. Wegen der Tatsache, dass die Verarbeitung durch Meta auch Betroffene aus allen anderen Mitgliedsstaaten des Europäischen Wirtschaftsraums (EWR) betrifft, durften sämtliche EWR-Aufsichtsbehörden an der Entscheidungsfindung teilnehmen. Da keine Einigung erzielt werden konnte, fasste der Europäische Datenschutzausschuss einen verbindlichen Beschluss, in dem die DPC unter anderem dazu verpflichtet wurde, ein Bußgeld zu verhängen. Ursprünglich hatte die DPC auf eine Bußgeldverhängung verzichten wollen.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Die Entscheidung der DPC
Die Entscheidung der DPC befasst sich ausschließlich mit der Übermittlung von Daten von Facebook-Nutzern in die USA. Andere Produkte von Meta wie etwa WhatsApp und Instagram sind nicht Gegenstand der Entscheidung.
In ihrer Entscheidung stellte die DPC fest, dass die von Meta getroffenen zusätzlichen Maßnahmen nicht geeignet sind, die Daten europäischer Facebook-Nutzer ausreichend vor Zugriffen durch US-Behörden zu schützen bzw. diese zu verhindern. Die DPC merkte diesbezüglich an, dass Verschlüsselung von Daten bei der Übertragung eine geeignete zusätzliche Maßnahme gegen bestimmte Befugnisse von US-Behörden darstellen könne. In Bezug auf die nachrichtendienstlichen Befugnisse im Rahmen des PRISM-Programms nach FISA 702 sei dies jedoch nicht der Fall. FISA 702 gibt US-Nachrichtendiensten das Recht an die Hand, von Unternehmen, die dem genannten Gesetz unterliegen, mittels einer Anfrage die Herausgabe von Daten zu verlangen. Laut der DPC sei keine der durch Meta ergriffenen technischen Maßnahmen geeignet, einen ausreichenden Schutz gegen solche Anfragen zu bieten.
Somit genössen die Daten nach der Übermittlung in die USA kein dem europäischen gleichwertiges Niveau an Datenschutz. Daher hätte sich Meta nicht auf die SCC stützen dürfen. Die Datenübermittlungen erfolgten also ohne eine gültige Rechtsgrundlage für den Datentransfer und verletzten Art. 46 Abs. 1 der Datenschutz-Grundverordnung (DSGVO). Ferner stellte die DPC fest, dass sich Meta auch nicht auf die Ausnahmetatbestände aus Art. 49 DSGVO berufen konnte.
Die DPC ordnete daher an, dass Meta mangels geeigneter Garantien die Übermittlungen der Daten von Facebook-Nutzern aus dem EWR in die USA innerhalb von fünf Monaten aussetzen muss. Diese Anordnung betrifft zukünftige Datentransfers. Hinsichtlich der bereits erfolgten Übermittlungen wurde gegenüber Meta angeordnet, binnen sechs Monaten die unrechtmäßige Datenverarbeitung, einschließlich der Speicherung, von Daten von Facebook-Nutzern aus dem EWR in den USA zu beenden. Meta steht es dabei frei zu entscheiden, wie dies erfolgen soll. Bspw. könnte Meta die Daten vollständig löschen oder im EWR speichern, sofern dadurch ein Zugriff durch US-Behörden ausgeschlossen werden kann.
Die DPC verhängte zudem eine Geldbuße in Höhe von 1,2 Mrd. Euro. Dies ist das bisher höchste nach der DSGVO verhängte Bußgeld und übertrifft die bisherige Rekordgeldbuße von 746 Mio. Euro, die die luxemburgische Aufsichtsbehörde im Jahr 2021 gegen Amazon verhängte.
Wie geht es für Meta weiter?
Es steht bereits fest, dass sich Meta gegen die Entscheidung gerichtlich zur Wehr setzen wird. Aufgrund der hohen Anforderungen, die der EuGH an Datenübermittlungen in Drittländer, insbesondere in die USA, gestellt hat, sind die Erfolgsaussichten jedoch als begrenzt anzusehen.
Viel wichtiger für Meta ist das laufende Verfahren, in dem den nach dem EU-U.S. Data Privacy Framework zertifizierten US-Unternehmen ein Angemessenheitsstatus verliehen werden soll. Ein entsprechender Beschluss der Europäischen Kommission wird noch vor Herbst erwartet, also bevor die von der DPC gesetzten Fristen ablaufen. In diesem Fall müsste Meta seine Verarbeitung nicht ändern, sondern könnte Datentransfers künftig auf den Angemessenheitsbeschluss anstatt auf die SCC stützen. Die Übermittlungen in die USA wären somit – zumindest solange das neue EU-U.S. Data Privacy Framework in Kraft bleibt – DSGVO-konform.
Ein Angemessenheitsbeschluss würde für die Zukunft gelten und somit keine Auswirkungen auf die bereits erfolgten unrechtmäßigen Verarbeitungen haben. Daher ist es unwahrscheinlich, dass die Geldbuße in einem Gerichtsverfahren aufgehoben wird.
Datenschutzrechtliche Einschätzung
Obwohl die Entscheidung nur an Meta gerichtet ist, hat sie auch für andere Unternehmen große Bedeutung. Dies gilt zunächst für Unternehmen, die ein Facebook-Unternehmensprofil unterhalten und daher für die Datenverarbeitung gemeinsam mit Meta verantwortlich sind. Solche Unternehmen könnten für die unrechtmäßigen Datenübermittlungen ebenfalls haftbar gemacht werden, da sie die Datenverarbeitung wesentlich mitbestimmen.
Obwohl die Entscheidung der DPC rechtlich nur Meta bindet, betonte die DPC in ihrer Entscheidung, dass dieselben Schlussfolgerungen für jede Internetplattform gelten könnten, die ein Anbieter elektronischer Kommunikationsdienste im Sinne von FISA 702 ist. Auch ihre Datentransfers in die USA könnten die Bestimmungen des Kapitels V der DSGVO und der Charta der Grundrechte der Europäischen Union verletzen. Unternehmen sollten folglich prüfen, welche US-Dienstleister sie einsetzen und ob die mit deren Einsatz verbundenen Übermittlungen in die USA rechtskonform sind. Das zeigt auch, dass die Durchführung eines Transfer Impact Assessments (TIA) keine rein formelle Aufgabe ist, sondern ernst genommen werden muss.
Die Tatsache, dass sich sämtliche EWR-Aufsichtsbehörden auf ein Bußgeld wegen unrechtmäßiger Datentransfers einigen konnten, zeigt, dass diese nun gewillt sind, gegen solche Übermittlungen vorzugehen. Auch wenn derzeit die USA im Fokus stehen, könnten vergleichbare Entscheidungen auch Datentransfers in andere unsichere Drittländer betreffen. Das verhängte Bußgeld zeigt zudem, dass Aufsichtsbehörden fünf Jahre nach Inkrafttreten der DSGVO nun bereit sind, erhebliche Geldbußen zu verhängen.
Fazit
Die Entscheidung der DPC markiert einen wichtigen Meilenstein, bedeutet jedoch nicht, dass die Fragen final geklärt sind. Es ist zu erwarten, dass die Entscheidung durch irische Gerichte und letztendlich durch den EuGH gerichtlich überprüft wird. Daher könnten noch Jahre vergehen, bis eine endgültige Entscheidung vorliegt.
Die Probleme, die die DPC in ihrer wegweisenden Entscheidung aufgeführt hat, sind von solcher Art, dass sie von einem Unternehmen kaum gelöst werden können. Eine langfristige Lösung kann nur politisch erzielt werden. Der Angemessenheitsbeschluss für die USA könnte ein erster Schritt in diese Richtung sein. Wahrscheinlich wird auch dieser vor den EuGH gebracht, wobei mehr als zweifelhaft ist, ob der Beschluss dort Bestand haben wird. Eine langfristige und rechtlich sichere Lösung könnte daher nur durch eine Änderung der US-Überwachungsgesetze erreicht werden.
Unternehmen sollten in der Zwischenzeit ihre Drittlandtransfers auf DSGVO-Konformität prüfen. Dazu gehört, soweit noch nicht geschehen, auch die Durchführung eines Transfer Impact Assessments. Wenn dabei festgestellt wird, dass die Daten im Bestimmungsland unzureichend geschützt sind, müssen die Übermittlungen eingestellt werden.
Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!