Blog

Jul 22, 2023

Meta bestraft DSGVO

Die irische Datenschutzkommission hat am frühen Montagmorgen eine lang erwartete Durchsetzungsklage gegen Meta Platforms Ireland mit einer Rekordstrafe von 1,2 Milliarden Euro verhängt. Die Geldstrafe, die das ist

Die irische Datenschutzkommission hat am frühen Montagmorgen eine lang erwartete Durchsetzungsklage gegen Meta Platforms Ireland mit einer Rekordstrafe von 1,2 Milliarden Euro verhängt.

Mit der Geldbuße, die bislang die höchste gemäß der fast fünf Jahre alten EU-Datenschutzgrundverordnung ist, ging eine Anordnung einher, die das zu Meta Ireland gehörende Unternehmen Facebook verpflichtet, künftige Übermittlungen personenbezogener Daten in die USA innerhalb von fünf Monaten nach der Entscheidung des DPC auszusetzen Entscheidung und seine Verarbeitungsvorgänge in Einklang zu bringen, „indem die rechtswidrige Verarbeitung, einschließlich Speicherung, in den USA personenbezogener Daten“ von Nutzern aus der EU und dem Europäischen Wirtschaftsraum innerhalb von sechs Monaten nach der Benachrichtigung des DPC an Meta eingestellt wird.

Obwohl der Fall vor fast drei Jahren nach der Entscheidung des Gerichtshofs der Europäischen Union begann, mit der die EU-US-Privacy-Shield-Vereinbarung für ungültig erklärt wurde, stand er vor einer Reihe von Herausforderungen, sowohl vor dem High Court of Ireland als auch auf Seiten des Datenschutzes Behörden in der EU unter dem Dach des Europäischen Datenschutzausschusses.

Das Problem betrifft den Datenübertragungsmechanismus, den Metas Facebook verwendet, nachdem das Privacy Shield ungültig wurde. Seit der EuGH-Entscheidung vom 16. Juli 2020 verwendet das Unternehmen Standardvertragsklauseln, darunter die von der Europäischen Kommission im Jahr 2021 aktualisierten Standardvertragsklauseln.

Am 13. April schloss der EDSA seine verbindliche Streitbeilegungsentscheidung ab, nachdem einige betroffene Aufsichtsbehörden mit dem ursprünglichen Entscheidungsentwurf des DPC nicht einverstanden waren.

In einer Pressemitteilung sagte die Vorsitzende des EDSA, Andrea Jelinek: „Der EDSA stellte fest, dass der Verstoß (von Meta) sehr schwerwiegend ist, da es sich um systematische, sich wiederholende und kontinuierliche Übertragungen handelt. Facebook hat Millionen von Nutzern in Europa, daher ist die Menge der übertragenen personenbezogenen Daten sehr hoch.“ ist massiv. Das beispiellose Bußgeld ist ein starkes Signal für Organisationen, dass schwerwiegende Verstöße weitreichende Folgen haben.“

Als Reaktion auf die Feststellung vom Montag sagten Nick Clegg, Präsident von Meta Global Affairs, und Jennifer Newstead, Chief Legal Officer, die Geldbuße sei „ungerechtfertigt und unnötig“ und das Unternehmen werde Berufung einlegen.

„Hier geht es nicht um die Datenschutzpraktiken eines Unternehmens – es besteht ein grundlegender Rechtskonflikt zwischen den Regeln der US-Regierung zum Zugang zu Daten und den europäischen Datenschutzrechten, den die politischen Entscheidungsträger voraussichtlich in diesem Sommer lösen werden.“

Im März 2022 gaben US-Präsident Joe Biden und die Präsidentin der Europäischen Kommission, Ursula von der Leyen, bekannt, dass sie eine politische Einigung über einen neuen EU-US-Datenschutzrahmen erzielt hätten. Die neue Vereinbarung muss noch finalisiert werden, und Anfang des Monats verabschiedete das Europäische Parlament eine Entschließung, in der es die Europäische Kommission aufforderte, die Verhandlungen mit den USA fortzusetzen, da es befürchtet, dass der DPF in seiner derzeitigen Form erneut vom EuGH für ungültig erklärt werden könnte.

Als Reaktion auf die Entscheidung sagte NOYB-Vorsitzender Max Schrems, der im letzten Jahrzehnt erfolgreich zwei transatlantische Datenübertragungsregelungen angefochten hat: „Wir freuen uns über diese Entscheidung nach zehn Jahren Rechtsstreitigkeit. … Es sei denn, es gibt US-Überwachungsgesetze.“ behoben werden, muss Meta seine Systeme grundlegend umstrukturieren.“

„Mit dieser Durchsetzungsmaßnahme stehen internationale Datenübertragungen ganz oben auf der Liste der Regulierungsprioritäten der europäischen Datenschutzbehörden“, sagte Eduardo Ustaran, CIPP/E, Partner bei Hogan Lovells, gegenüber The Privacy Advisor. „Wenn man sich jedoch ausschließlich auf die Möglichkeit des staatlichen Zugriffs auf Daten konzentriert und nicht auf die Schutzmaßnahmen, die zum Schutz dieser Daten vor Eingriffen eingesetzt werden, verzerrt dies jedoch das Ziel des Datenschutzrechts.“

Weitreichende Implikationen?

Obwohl Meta seit langem im Rampenlicht der EU-Regulierung steht, könnte die Entscheidung vom Montag auch Auswirkungen auf andere Unternehmen haben.

„Die Auswirkungen dieser Entscheidung sind sehr weitreichend, gehen weit über Meta hinaus und betreffen alle Unternehmen, Universitäten, klinischen Studien und jeden, der personenbezogene Daten aus der EU in die USA auf der Grundlage von Standardvertragsklauseln übermittelt, sofern kein Angemessenheitsbeschluss vorliegt.“ „, sagte Gabriela Zanfir-Fortuna vom Future of Privacy Forum.

„Das liegt daran, dass das irische DPC technisch gesehen in seltener Übereinstimmung mit dem EDPB sagt, dass die vielen und erheblichen zusätzlichen Maßnahmen, die Meta zusätzlich zu den Standardvertragsklauseln eingeführt hat, die festgestellten Mängel im US-Recht nicht ausgleichen und auch nicht ausgleichen könnten.“ vom EuGH im Schrems II-Urteil“, sagte sie. „Wenn die Vielzahl der von Meta implementierten Zusatzmaßnahmen – von zahlreichen Organisationsrichtlinien über die Verschlüsselung von Daten bei der Übertragung bis hin zu anspruchsvollen Regierungsanfragen – nicht ausreichen, ist es unwahrscheinlich, dass eine andere Organisation in der Lage wäre, wirksame Maßnahmen zu ergreifen wenn es um Datenübermittlungen in die USA geht“

Digiphile-Geschäftsführer Phil Lee, CIPP/E, CIPM, FIP, weist ebenfalls auf die weitreichenden Auswirkungen der Entscheidung hin und erklärt gegenüber The Privacy Advisor: „Am Ende der Entscheidung sagt das DPC ganz ausdrücklich, dass ‚die Analyse in dieser Entscheidung eine Situation aufdeckt‘ Dabei können alle Internetplattformen, die unter die Definition eines Anbieters elektronischer Kommunikationsdienste fallen und dem PRISM-Programm 702 des US Foreign Intelligence Surveillance Act unterliegen, ebenfalls gegen die Anforderungen der DSGVO an Datenübertragungen verstoßen. Dies macht deutlich, dass, falls dies nicht bereits geschehen ist Die Entscheidung des DPC betrifft – obwohl sie sich an Meta richtet – faktisch alle EU-Datenübermittlungen an US-amerikanische Technologieunternehmen.

Für diejenigen, die die neu aktualisierten SCCs nutzen und hoffen, dass diese „unbeschädigt“ bleiben, sagte Lee, die Entscheidung vom Montag zeige, dass sie „sich auch auf Überweisungen in die USA erstreckt, die sowohl im Rahmen der alten als auch der neuen SCCs erfolgen.“

Zusätzlich zu den Transfers zwischen der EU und den USA könnte die Entscheidung vom Montag, die ergänzende Maßnahmen vorsah, auch Auswirkungen auf die Angemessenheit im Vereinigten Königreich haben, so Lee.

„Die Entscheidung bestärkt den Gedanken, dass Datenexporteure, die Übermittlungen außerhalb des EWR durchführen, Maßnahmen umsetzen müssen, die eine wesentliche Gleichwertigkeit der EU-Datenschutzstandards im Empfängerland gewährleisten. Maßnahmen zur „Adressierung“ oder „Abschwächung“ von Datenschutzrisiken reichen scheinbar nicht aus Zweifel an der Machbarkeit eines risikobasierten Ansatzes für Datenübermittlungen aufkommen lassen.

„Angesichts des vom Vereinigten Königreich vorgeschlagenen „Datenschutztests“ im Gesetzentwurf zum Datenschutz und zu digitalen Informationen (Nr. 2), der die Angemessenheit auf der Grundlage dessen beurteilt, ob Daten auf einem Niveau geschützt werden, das „nicht wesentlich niedriger“ als im Vereinigten Königreich ist Wird die EU die Angemessenheit des Vereinigten Königreichs aufrechterhalten, wenn dies bedeutet, dass EU-Daten über das Vereinigte Königreich in Länder weitergeleitet werden könnten, in denen der lokale Schutzstandard nicht „im Wesentlichen gleichwertig“, sondern stattdessen „nicht wesentlich niedriger“ ist?

Jenseits rechtlicher Herausforderungen: Eine politische Lösung finden

Da die Interessenträger auf einen endgültigen EU-US-Datenschutzrahmen warten, besteht kaum ein Zweifel daran, dass dieser nicht wie seine Vorgänger vor Gericht angefochten werden wird. Da das US-Überwachungsrecht letztendlich im Mittelpunkt des transatlantischen Datenflusses steht, wird wahrscheinlich eine politische Lösung notwendig sein.

In ihrer Antwort am Montag sagten Clegg und Newstead von Meta: „In einer Zeit, in der das Internet unter dem Druck autoritärer Regime zerbricht, sollten gleichgesinnte Demokratien zusammenarbeiten, um die Idee des offenen Internets zu fördern und zu verteidigen.“

Auf dem IAPP Global Privacy Summit 2023 diskutierten Jelinek vom EDPB, Schrems vom NOYB, die ehemalige britische Informationskommissarin Elizabeth Denham und IAPP Research & Insights Director Joe Jones über die Notwendigkeit eines multilateralen Vertrags zwischen demokratischen Nationen.

„Demokratien, insbesondere die G7, sollten in der Lage sein, zusammenzukommen und eine Einigung über Standards für den Zugang der Regierung zu Daten des Privatsektors zu erzielen“, sagte Denham damals.

In seinen Kommentaren gegenüber The Privacy Advisor am Montag sagte Ustaran von Hogan Lovell: „Jeder versteht, dass die ultimative Lösung für diesen speziellen Konflikt politisch ist, und es wäre unfair, die Bemühungen zu ignorieren, die Organisationen in der Zwischenzeit unternehmen, um zur Lösung dieses Konflikts beizutragen.“

„Das Problem der Übermittlungen in die USA wird letztendlich gelöst werden, weil es einen klaren politischen Willen gibt, es zu lösen, aber das Besorgniserregende an dieser Entscheidung ist, dass dies nicht der Fall ist, wenn wir einen so strengen Ansatz zum Datenschutz auf globaler Ebene verfolgen.“ Berücksichtigen Sie die geopolitische Situation in der Welt und die Bemühungen, die tatsächlich unternommen werden, um die Einhaltung zu erreichen.

Obwohl Meta angekündigt hat, gegen das Urteil Berufung einzulegen, wird der Zeitpunkt knapp. Wird die Europäische Kommission die DPF-Angemessenheit rechtzeitig abschließen? Am Montag gab es Hinweise darauf, dass es bald fertig sein wird.

Ein Sprecher der Europäischen Kommission sagte: „Wir gehen davon aus, dass dieser Datenschutzrahmen zwischen der EU und den USA bis zum Sommer vollständig funktionsfähig sein wird. Dies wird Stabilität und Rechtssicherheit gewährleisten.“ Bis dahin werden die Beteiligten gespannt auf einen neuen Rahmen warten.

„Im Moment werden alle Augen darauf gerichtet sein, ob die Europäische Kommission die Vereinbarungen abschließen und den DPF verabschieden kann, bevor die Schonfrist für die Einhaltung in Kraft tritt“, sagte Lee.

„Es wird einen enormen politischen Druck geben, dies zu erreichen.“