Meta hat die
die bisher höchste GDPR-Strafe
: 1,2 Milliarden Euro. Das Unternehmen unterliegt aber auch zwei Anordnungen: Zu stoppen
die unrechtmäßige Übermittlung
personenbezogener Daten aus der EU in die USA und die
rechtswidrige Speicherung
personenbezogener Daten aus der EU in den USA einzustellen.
Die 216-seitige Meta
Entscheidung
kommt von der irischen Datenschutzkommission (DPC) – allerdings erst, nachdem die anderen Regulierungsbehörden des Europäischen Datenschutzausschusses (
EDPB
) Irland gezwungen haben, härtere Sanktionen als geplant zu verhängen.
Dieser Artikel befasst sich mit dieser komplizierten und langwierigen Entscheidung und prüft, ob Meta die Bedingungen der Anordnung erfüllen kann, ohne
ohne sich ganz aus der EU zurückzuziehen.
Der Hintergrund
Diese Entscheidung bringt eine Menge Probleme mit sich.
Ein guter Anfang ist das Jahr 2013, als
Edward Snowden
das ganze Ausmaß der
Überwachungsmaßnahmen der US-Geheimdienste enthüllte.
Dies veranlasste den Datenschutzbeauftragten
Max Schrems
sich bei der irischen Datenschutzbehörde darüber zu beschweren, wie Facebook seine persönlichen Daten aus der EU in die USA übertragen hat.
Schrems I und II
Die Beschwerde von Schrems endete 2015 in einem Gerichtsverfahren mit der Bezeichnung „
Schrems I
„.
In dieser Rechtssache bewertete der Gerichtshof der Europäischen Union (CJEU)
einen Zertifizierungsrahmen namens „Safe Harbor“
der von vielen Unternehmen für die Übermittlung personenbezogener Daten aus der EU in die USA genutzt wurde.
Safe Harbor wurde umgesetzt durch
eine „Angemessenheitsentscheidung“
ein EU-Rechtsinstrument, das die Übermittlung von Daten an ein bestimmtes Land ermöglicht. Es ist möglich, Daten in ein „nicht angemessenes“ Land zu übermitteln, aber normalerweise müssen Sie eine andere Sicherheitsmaßnahme ergreifen.
Der EuGH stellte fest, dass
Safe Harbor rechtswidrig war
rechtswidrig, da es keine personenbezogenen Daten vor US-Geheimdiensten schützt.
Daher haben die EU und die USA einen neuen Rahmen ausgehandelt, der Safe Harbor ersetzen soll und den Namen
„Privacy Shield“ (Datenschutzschild)
.
Schrems hat Facebook erneut verklagt. In dem daraus resultierenden Fall vom Juli 2020, der als „Schrems II“ hat der EuGH das Privacy Shield geprüft. Auch hier stellte das Gericht fest, dass
der Rahmen sei illegal
da er keine personenbezogenen Daten vor US-Geheimdiensten schützte.
Die EU und die USA arbeiten an einem dritten Rahmenwerk, dem so genannten „EU-US Data Privacy Framework“ (EU-US DPF). Wir werden später darauf zurückkommen.
Es hat sich jedoch herausgestellt, dass sich Facebook nicht ausschließlich auf den Privacy Shield verlassen hat. Das Unternehmen nutzte eine weitere Transfersicherung, die als
„Standardvertragsklauseln“ (SCCs)
.
Der EuGH hat nicht gesagt, dass die SCC rechtswidrig sind. Das Gericht hat jedoch festgestellt, dass
SCCs waren nicht immer ausreichend
um personenbezogene Daten vor US-Geheimdiensten zu schützen.
Nach Schrems II muss jedes Unternehmen, das SCCs einsetzt, sicherstellen, dass diese wirksam sind. Wenn nicht, muss das Unternehmen andere
„zusätzliche Maßnahmen“
um sicherzustellen, dass Regierungen keinen Zugriff auf die übermittelten personenbezogenen Daten haben.
Wenn dies nicht möglich ist,
kann die Übertragung nicht durchgeführt werden.
.
Die Entscheidung
Nach Schrems II verwies der EuGH den Fall Schrems an die irischen Gerichte zurück, die die irische DPC aufforderten, die Entscheidung gegen Meta umzusetzen.
Nach mehreren
Jahren der Debatte mit dem EDPB
hat der irische Datenschutzbeauftragte endlich eine der wichtigsten (wenn auch vorhersehbaren) Entscheidungen zur DSGVO getroffen.
Der Befund
Trotz des Urteils des EuGH in Schrems II,
nutzte Facebook (jetzt Meta) weiterhin SCCs
um personenbezogene Daten aus der EU in die USA zu übermitteln.
Und laut der irischen DPC hat Meta
keine „zusätzlichen Maßnahmen“ ergriffen
um den Zugriff der US-Regierung auf personenbezogene Daten aus der EU zu verhindern.
Das bedeutet, dass alle personenbezogenen Daten, die Meta seit Juli 2020 in die USA übermittelt hat, illegal übermittelt wurden.
Daher stellte der Datenschutzbeauftragte fest, dass Meta
gegen Artikel 46 Absatz 1 der Datenschutz-Grundverordnung verstoßen hat
verstoßen hat, der Folgendes besagt:
„Ein für die Verarbeitung Verantwortlicher oder ein Auftragsverarbeiter darf personenbezogene Daten nur dann an ein Drittland oder eine internationale Organisation übermitteln, wenn der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter geeignete Garantien vorgesehen hat und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Person und wirksame Rechtsbehelfe für die betroffenen Personen zur Verfügung stehen.“
Die Aufträge
Nachdem die irische Datenschutzbehörde festgestellt hatte, dass Meta gegen die Datenschutz-Grundverordnung verstoßen hatte, erließ sie
drei „Abhilfemaßnahmen“ erlassen
. Meta muss:
- Stoppen Sie
die illegale Übermittlung
innerhalb von fünf Monaten die Übermittlung personenbezogener Daten an die USA einzustellen.
- Stoppen Sie
illegale Verarbeitung
die personenbezogenen Daten, die sie seit Juli 2020 an die USA übermittelt hat, innerhalb von sechs Monaten einzustellen.
- Zahlen Sie eine
1,2 Milliarden Euro Geldstrafe
.
Schauen wir uns an, wie Meta mit jedem dieser drei Aufträge umgehen könnte.
Die „Aussetzungsanordnung“ für Überweisungen
Meta muss
die unrechtmäßige Übermittlung von Daten von Facebook-Nutzern aus der EU an die USA einstellen
innerhalb von sechs Monaten. Wie wird sie das tun?
Es scheint zwar klar zu sein, dass Meta sich nicht an die internationalen Datenübertragungsregeln gehalten hat, aber es ist nicht klar, wie das Unternehmen dies hätte tun können, ohne die in der EU ansässigen Nutzer zu verlieren.
Es gibt Möglichkeiten, übertragene personenbezogene Daten vor dem Zugriff der Behörden zu schützen. Zum Beispiel,
wenn Meta die personenbezogenen Daten verschlüsselt hätte
verschlüsselt hätte und keinen Zugang zu dem für die Entschlüsselung der Daten erforderlichen Schlüssel hätte, würden die Daten als sicher gelten und die Übermittlung wäre legal.
Aber mit verschlüsselten Daten kann Meta nicht viel anfangen. Bei einer Plattform wie Facebook muss der Betreiber Zugang zu unverschlüsselten Daten haben.
Und wie geht es weiter? Meta verfügt über Datenzentren in der EU und kann es sich leisten, bei Bedarf weitere zu kaufen. Kann das Unternehmen einfach die personenbezogenen Daten von EU-Nutzern ausschließlich in europäischen Datenzentren speichern?
Es gibt zwei Hauptgründe, warum dies nicht funktionieren könnte.
Rechtliche Fragen
Das nationale Sicherheitsgesetz der USA gibt den Geheimdiensten des Landes
sehr weitreichende Befugnisse, um auf persönliche Daten
die sich im Besitz von US-Unternehmen befinden.
In einem Fall aus dem Jahr 2015, bekannt als
Microsoft gegen die Vereinigten Staaten
hatte die US-Regierung verlangt, dass
Microsoft die Herausgabe von in Irland gespeicherten Daten
von Microsofts irischer Tochtergesellschaft.
Microsoft weigerte sich mit dem Argument, dass das Gesetz das Unternehmen nicht dazu verpflichte, Zugang zu außerhalb der USA gespeicherten Daten zu gewähren. Der Fall landete vor dem Obersten Gerichtshof der USA.
Doch bevor der Oberste Gerichtshof über den Fall entschied, änderte die US-Regierung das Gesetz durch die Verabschiedung des
das CLOUD-Gesetz
. Der CLOUD Act stellt klar, dass US-Unternehmen müssen nach wie vor im Ausland gespeicherte Daten herausgeben.
Schließlich erließ die Regierung auf der Grundlage des CLOUD-Gesetzes eine neue Verfügung gegen Microsoft, und Microsoft ließ das Verfahren fallen.
Dies deutet darauf hin, dass die Probleme von Meta nicht allein dadurch gelöst werden können, dass die Daten der EU-Nutzer in Europa gespeichert werden
.
Jedes Mal, wenn die US-Regierung Zugang zu den Daten der Nutzer beantragt (was
was häufig vorkommt
), müsste Meta möglicherweise
gegen EU-Recht verstoßen
um
US-Recht einzuhalten
.
Technische Fragen
Es ist möglich, ein auf die EU beschränktes soziales Netzwerk zu betreiben, das keine personenbezogenen Daten aus Europa heraus überträgt. Aber Facebook ist ein globales Unternehmen, und viele EU-Nutzer interagieren gerne mit Menschen in den USA und anderswo.
Wäre es für einen EU-Nutzer möglich, einer Facebook-Gruppe mit US-Nutzern beizutreten oder ein Produkt von einem in den USA ansässigen Facebook-Anbieter zu kaufen
ohne dass ein „Datentransfer“ stattfindet?
Für eine Datenübermittlung sind mindestens zwei Organisationen erforderlich. Man überträgt die Daten an einen anderen. Ein Unternehmen – auch ein Unternehmen mit Sitz in den USA – das
personenbezogene Daten direkt von einer Person erhebt
keine „Datenübermittlung“ vornimmt.
Die Überweisungen, um die es in diesem Fall geht, waren
von Meta Platforms Irland an Meta Platforms Inc.
(die US-Einheit des Unternehmens).
Wenn Meta Platforms Ireland alle Daten von EU-Facebook-Nutzern, einschließlich der Interaktionen mit Nicht-EU-Nutzern, verwalten würde, könnte es technisch möglich sein, Facebook ohne die Übermittlung von Daten von EU-Nutzern zu betreiben.
Aber auch hier gibt es eine Komplikation.
In einer anderen Rechtssache des EuGH mit der Bezeichnung „
Mode-ID
„, stellte das Gericht fest, dass
Unternehmen, die Facebook-Seiten betreiben, „für die Verarbeitung Verantwortliche“ sind
im Sinne der Datenschutz-Grundverordnung sind und gemeinsam mit Facebook für die Einhaltung der Datenschutz-Grundverordnung verantwortlich sind.
Eine „Übermittlung“ könnte demnach stattfinden
jedes Mal, wenn ein EU-Nutzer mit der Facebook-Seite eines Nicht-EU-Unternehmens interagiert
-selbst wenn die personenbezogenen Daten des Nutzers in Europa gespeichert sind und von Meta Platforms Ireland verwaltet werden.
Der Auftrag zur Einstellung der Verarbeitung
Zusätzlich zur Beendigung der Datenübermittlung,
muss Meta die Verarbeitung der personenbezogenen Daten einstellen
die es seit Juli 2020 unrechtmäßig übermittelt hat.
Der Beschluss legt fest, dass
„Verarbeitung“ schließt „Speicherung“ ein
. In der verbindlichen Entscheidung des EDSB werden die Auswirkungen dieser Anordnung erörtert.
Meta hat nicht angegeben, wie viele Daten illegal übertragen wurden. Es steht jedoch fest, dass der Fall die
„massenhafte, wiederholte und laufende“
Übertragung der Daten von Millionen von Nutzern.
Für Meta gibt es nur zwei klare Optionen, um die Speicherung personenbezogener Daten in den USA zu beenden:
Die Daten „zurückgeben“ oder sie löschen.
Es ist nicht ganz klar, wie die „Rückgabe“ der personenbezogenen Daten aussehen würde, aber die offensichtliche Interpretation wäre, dass
sicherzustellen, dass alle personenbezogenen Daten der EU-Nutzer in Datenzentren in der EU gespeichert werden
von Meta Platforms Ireland. Wir haben bereits einige mögliche Probleme mit dieser Lösung untersucht.
Metas vermeintlich
chaotischer Ansatz zur Datenverwaltung
könnte das Unternehmen daran hindern, die Daten der EU-Nutzer richtig zu unterscheiden. Darüber hinaus könnte eine strikte Abgrenzung zwischen EU- und Nicht-EU-Nutzerdaten angesichts der in der Datenschutz-Grundverordnung eine weit gefasste Definition des Begriffs „personenbezogene Daten“.
Damit bliebe Meta nur noch eine Möglichkeit
: Löschen aller EU-Facebook-Daten
die seit Juli 2020 übertragen wurden.
Wenn dies möglich ist, könnte es die Löschung aller Beiträge, Nachrichten, Fotos und Kontodaten von EU-Nutzern erfordern.
jedes Anzeichen dafür, dass ein EU-Nutzer die Plattform nach Juli 2020 genutzt hat
verwendet hat, müsste gelöscht werden.
Die Geldstrafe
Die irische Datenschutzbehörde hatte ursprünglich vorgeschlagen, keine Geldbuße gegen Meta zu verhängen. Nach dem EDPB-Streitbeilegungsverfahren wurde das Unternehmen mit Abstand
die höchste Strafe in der Geschichte der GDPR
-1,2 Milliarden Euro.
Obwohl diese hohe Strafe für Schlagzeilen sorgte und Meta beabsichtigt, dagegen Berufung einzulegen, ist die Geldbuße weniger folgenreich als die oben erwähnten Anordnungen zur Aussetzung der Überweisung und zur Einstellung der Bearbeitung.
1,2 Milliarden Euro sind etwas mehr als
1 % des Umsatzes von Meta in Höhe von 116,6 Milliarden Euro
für den relevanten Zeitraum – selbst in Kombination mit den
weiteren rund 1,3 Milliarden Euro
an GDPR-Strafen, die das Unternehmen in den letzten zwei Jahren erhalten hat.
Metas schlechte Erfolgsbilanz bei der Einhaltung der DSGVO hat das Unternehmen viel gekostet, aber die Einsparungen und Gewinne, die durch die Missachtung des Gesetzes erzielt wurden, übersteigen wahrscheinlich die Geldstrafen – vorerst.
Wie geht es weiter?
Wie bereits erwähnt, sind Fragen der Privatsphäre und des Datenschutzes für Meta keine Fremdwörter. Aber es ist wichtig zu wissen, dass Meta
bei weitem nicht das einzige Unternehmen, das
von der Entscheidung der DPC betroffen.
Das Internet wird von US-amerikanischen Dienstleistern beherrscht. Beide unterliegen denselben Gesetzen wie Meta, und beide stehen vor denselben technischen Herausforderungen beim Schutz personenbezogener Daten vor den US-Behörden.
Aber es sind die
EU-Unternehmen, die solche Dienste nutzen
die normalerweise
nach der Datenschutz-Grundverordnung haftbar
wie wir aus den zahlreichen Fällen gegen europäische Websites wissen, die
Google Analytics
.
Eine Lösung könnte in greifbarer Nähe sein, wenn die EU den EU-US-Datenschutzrahmen (EU-US DPF) annimmt. Diese Regelung würde die früheren Rahmenwerke „Safe Harbor“ und „Privacy Shield“ ersetzen und könnte von Meta (und anderen) genutzt werden, um ihre Datenübermittlungen rechtmäßig zu gestalten.
Aber
das DPF EU-USA könnte nur eine vorübergehende Entlastung bringen
. Einige EU-Gremien haben angedeutet, dass sie nicht glücklich mit dem Rahmen. Und Max Schrems hat angedeutet, dass er beabsichtigt, den neuen Rahmen beim EuGH anzufechten.
Angesichts der bisherigen Erfolge von Schrems bei der Durchsetzung transatlantischer Datentransferregelungen,
wird seine Klage gegen die EU-US-DSGVO wahrscheinlich gewinnen
. Damit wäre Meta wieder da, wo es angefangen hat – zusammen mit allen anderen US-Unternehmen und ihren EU-Kunden.
Wir hoffen, dass dieser Leitfaden hilfreich war. Wir danken Ihnen für die Lektüre und wünschen Ihnen viel Erfolg bei der Verbesserung der Datenschutzpraktiken in Ihrem Unternehmen! Bleiben Sie dran und lesen Sie weitere hilfreiche Artikel und Tipps, wie Sie Ihr Geschäft ausbauen und durch die Einhaltung von Datenschutzbestimmungen Vertrauen gewinnen können. Testen Sie die Datenschutzpraktiken Ihres Unternehmens,
HIER KLICKEN
und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!