Nach Schrems-Klage: Meta muss 390 Millionen Euro Bußgeld zahlen
Der US-amerikanische Konzern Meta muss für jahrelange Datenschutzverstöße ein Bußgeld in Millionenhöhe zahlen. Die irische Datenschutzbehörde hat nach einer Mitteilung vom 4. Januar 2023(öffnet im neuen Fenster) eine Strafe in Höhe von 210 Millionen Euro für Verstöße von Facebook und 180 Millionen Euro für Verstöße von Instagram verhängt. Zudem muss das Unternehmen innerhalb von drei Monaten seine Datenverarbeitung in Einklang mit den Vorgaben der EU-Datenschutz-Grundverordnung (DSGVO) bringen.
Mit dem gegen Meta erlassenen Bescheid geht ein jahrelanger Streit zwischen Datenschutzaktivisten, europäischen Datenschutzbehörden, der irischen Datenschutzbehörde und Meta zu Ende.
Anfang Dezember 2022 entschied bereits der Europäische Datenschutzausschuss (EDSA) , dass der US-Konzern die personenbezogenen Daten von europäischen Nutzern in unzulässiger Weise für Werbung verwendet. Die DPC hatte anschließend einen Monat lang Zeit, auf Basis des verbindlichen EDSA-Beschlusses den Bescheid gegen Meta zu erlassen.
Hintergrund des Streits war die Frage, inwieweit Facebook, Instagram und Whatsapp nach Inkrafttreten der DSGVO dazu verpflichtet waren, von ihren Nutzern eine Einwilligung einzuholen, um deren personenbezogenen Daten zu Werbezwecken einzusetzen. Meta, damals noch Facebook, verzichtete auf eine konkrete Zustimmung und änderte stattdessen die Allgemeinen Geschäftsbedingungen (AGB).
Gegen dieses Vorgehen reichte der österreichische Datenschutzaktivist Max Schrems bereits wenige Tage nach Inkrafttreten der DSGVO im Mai 2018 eine Klage ein . Facebook vertrat hingegen die Auffassung, dass die Nutzer einen Vertrag abschlössen, da sie personalisierte Werbung erhielten. Daher sei die DSGVO nur eingeschränkt anwendbar.
EDSA musste verbindlich entscheiden
Nach jahrelangen Verzögerungen billigte die irische Datenschutzbehörde das Vorgehen von Facebook, womit andere europäische Datenschutzbehörden jedoch nicht einverstanden waren. "Da über diese Einwände kein Konsens erzielt werden konnte, wurde der EDSA aufgefordert, den Streit zwischen den Datenschutzbehörden innerhalb von zwei Monaten beizulegen" , teilte der Ausschuss am 6. Dezember 2022 mit(öffnet im neuen Fenster) .
Nach Angaben von Schrems Datenschutzorganisation Noyb(öffnet im neuen Fenster) muss Meta nun den Nutzern eine Version aller Apps zur Verfügung stellen, die keine persönlichen Daten für Werbung verwendet. Die Entscheidung erlaube Meta immer noch, nicht-personenbezogene Daten zu verwenden, erklärte die Organisation. Meta könne zudem eine Ja-/Nein-Option anbieten. Die Nutzer müssten in der Lage sein, ihre Einwilligung jederzeit zu widerrufen und Meta dürfe die Dienste für solche Nutzer nicht einschränken.
Schrems geht davon aus, dass der Fall vor Gericht landen wird. "Die Strafe wird an Irland gehen – den Staat, der sich auf die Seite von Meta gestellt und die Durchsetzung mehr als vier Jahre lang verzögert hat. Meta wird in diesem Fall wahrscheinlich in Berufung gehen, was zu weiteren Kosten für Noyb führen wird" , sagte Schrems. Die Chancen, eine solche Berufung zu gewinnen, stuft er nach der verbindlichen Entscheidung des EDSA jedoch als "minimal" ein.
Nach Abschluss dieses Verfahrens gibt es schon den nächsten Konflikt zwischen den Iren und den anderen EU-Datenschutzbehörden. So will die DPC nicht der Aufforderung des EDSA nachkommen, Meta in anderen Bereichen zu untersuchen. Um zu klären, ob dieser Auftrag zulässig ist, will sie den Europäischen Gerichtshof (EuGH) anrufen.