Spitzenreiter im unrühmlichen Ranking: Die irische Datenschutzbehörde hat am 12.05.2023 ein Bußgeld in Höhe von 1,2 Mrd. Euro gegen die Facebook-Mutter Meta erlassen. Damit wurde ein neuer europäischer Rekord für Datenschutz-Bußgelder aufgestellt. Amazon wurde überholt und Meta dominiert nun deutlich die Top Ten der europäischen Bußgelder mit insgesamt über 2,5 Mrd. Euro.
Gegenstand der Vorwürfe war die Verarbeitung in Form der Übertragung von personenbezogenen Daten in die USA. Da es im Verhältnis zwischen der EU und den USA nach wie vor an einem „angemessenen Schutzniveau“ fehlt, hat die irische Datenschutzbehörde Data Protection Commission (DPC) zahllose Verarbeitungsvorgänge seitens Meta als rechtswidrig eingestuft und das Bußgeld verhängt.
Wir erläutern Ihnen die Hintergründe der Entscheidung, aktuelle deutsche Konstellationen und die sich hieraus ergebende praktische Relevanz auch für Ihr Unternehmen.
Ausgangslage
Die Global Player der IT-Branche stammen größtenteils aus den USA. Trotz europäischer Niederlassungen werden Nutzerdaten auch in die USA übermittelt und entsprechend verarbeitet. Dabei ist bei Verarbeitungen außerhalb der Europäischen Union stets problematisch, dass nach Art. 44 ff. DSGVO ein angemessenes Datenschutzniveau im Empfängerland garantiert werden muss.
Zunächst stützte sich Meta zum Nachweis hierfür auf die Angemessenheitsbeschlüsse der EU-Kommission aufgrund der „Safe Harbor“- sowie „Privacy Shield“-Abkommen. Beide bilateralen Vereinbarungen wurden vom EuGH wegen unzureichenden Schutzniveaus gekippt. Dies nahm Meta zum Anlass, sich auf sog. „Standardvertragsklauseln“ zu stützen, die ein hinreichendes Datenschutzniveau zwischen den beiden Unternehmen garantieren sollen.
Problematisch ist mit Blick auf die beiden „Schrems-Entscheidungen“ des EuGH, dass von den beteiligten Parteien verlangt wird, ein sicheres Datenschutzniveau auch im Einzelfall konkret zu gewährleisten. Dies soll aufgrund diverser Bewertungen europäischer Behörden wegen Zugriffsrechten US-amerikanischer Behörden jedoch aktuell nicht darstellbar sein. Auch zusätzliche Maßnahmen von Meta seien nach der DPC-Entscheidung nicht geeignet, das europäische Schutzniveau zu gewährleisten.
In der Folge wurde Meta auferlegt, für Konformität mit den Vorgaben der DSGVO zu sorgen und insoweit die Übertragungen in die USA einzustellen. Hierfür wurde Meta allerdings eine Frist von sechs Monaten gesetzt.
Die Entscheidung der DPC beinhaltet auch ein Bußgeld über 1,2 Mrd. Euro. Art. 83 DSGVO knüpft als Bemessungsgrundlage an den gesamten weltweit erzielten Jahresumsatz an, wodurch sich die enorme Höhe des Bußgeldes erklären lässt. Meta hat allerdings angekündigt, die Entscheidung gerichtlich überprüfen zu lassen. Bis zu einer Klärung durch den EuGH werden Jahre vergehen.
Deutschland: Auch Telekom darf nicht an Google USA übermitteln
Ähnliche Konstellationen betreffen auch deutsche Unternehmen: Die Verbraucherzentale NRW hat die Telekom Deutschland GmbH kürzlich vor dem LG Köln erfolgreich auf Unterlassung der Übertragung von personenbezogenen Daten an die Google LLC (USA) in Anspruch genommen.
Demnach dürfen Daten von Verbrauchern zu Analyse- und Marketingzwecken nicht in die USA übermittelt werden. Betroffen waren IP-Adressen, die entgegen der „Schrems-II“-Entscheidung mit nicht ausreichender Einwilligung in die USA übermittelt worden waren. Das Unternehmen hatte den Service „Google Ads“ verwendet. Das Urteil ist allerdings noch nicht rechtskräftig und entfaltet grundsätzlich keine Bindungswirkung für andere Gerichte.
Anderen deutschen Unternehmen droht allerdings, dass ähnliche Entscheidungen gegen sie ergehen könnten.
Praxisempfehlung: Datenverarbeitung im Ausland
Nicht ohne Grund haben wir die Übertragung von personenbezogenen Daten in die USA vielfach in unseren Newslettern problematisiert:
Nahezu jedes Unternehmen ist von diesen Entscheidungen betroffen. Viele IT-Services laufen über US-amerikanische Server und sind daher problematisch. Nicht immer kann man sich damit rechtfertigen, dass der IT-Service nach eigener Kenntnis über eine europäische Niederlassung des Global Players abgewickelt wird.
Datenübertragungen in das (unsichere) Nicht-EU-Ausland sind nach diesen aktuellen Entscheidungen rechtswidrig. Betroffen sind vor allem die USA, China und Russland. Das European Data Protection Board (EDPB) kommt in seiner letzten Bewertung zu dem Schluss, dass eine Datenübertragung in diese Länder kaum gerechtfertigt werden kann. Grund sind anlasslose Zugriffsrechte dortiger Behörden, die nicht mit den Vorgaben europäischen Datenschutzrechts vereinbar sind.
Für die USA gilt dies zumindest, bis die EU einen neuen Angemessenheitsbeschluss erlassen hat und solange der EuGH das entsprechende Abkommen nicht wieder kippt. Ohnehin ist ein Angemessenheitsbeschluss nicht vor Jahresende zu erwarten.
Sicherste Maßnahme ist bis dahin, auf Services zu verzichten, die zu einer Datenverarbeitung im Nicht-EU-Ausland führen. Wer das mit guten Gründen für nicht praktikabel hält und auf eine schnelle politische Entscheidung vertraut, muss in der Zwischenzeit mit einem gewissen Abmahn- und Bußgeldrisiko leben.
Fazit
Die Datenübertragung in das datenschutzrechtlich unsichere Nicht-EU-Ausland ist nach wie vor eines der größten Probleme zwischen Datenschutzrecht und IT-Fortschritt. Aktuell scheint eine Verarbeitung in Ländern wie den USA oder China unzulässig zu sein. Soweit möglich sollte also die Nutzung entsprechender Services vermieden oder eine fachkundige Risikoabwägung durchgeführt werden.