Wir haben es erwartet, und es ist passiert: Meta wurde angewiesen, die US-Datenübermittlung für Facebook einzustellen. Außerdem wurde das Unternehmen mit einer Geldstrafe in Höhe von 1,2 Milliarden Euro (ja, Sie haben richtig gelesen) belegt, weil es gegen die Vorschriften der Datenschutz-Grundverordnung verstoßen hat.
Die irische Datenschutzkommission (DPC) gab die Entscheidung heute in einer Pressemitteilung auf ihrer Website bekannt. Der vollständige Text ist auf der Website des Europäischen Datenschutzausschusses verfügbar, ebenso wie die Entscheidung des Ausschusses, die zu der Geldstrafe führte. Es überrascht nicht, dass Meta angekündigt hat, die Entscheidung anzufechten.
Dieser Fall ist eine wirklich große Sache. Die Entscheidung wird wahrscheinlich weitreichende Auswirkungen auf Fälle von Datenübertragungen auf europäischer Ebene haben und könnte in naher Zukunft zu einem Facebook-Blackout in Europa führen. Mit anderen Worten: Es lohnt sich, dem Fall auf den Grund zu gehen.
Lasst uns eintauchen!
Die Geschichte
Die Untersuchung der Datenschutzbehörde zu Facebook begann vor drei Jahren und geht auf eine Beschwerde von Max Schrems aus dem Jahr 2013 zurück (ja, der Mann aus den Entscheidungen Schrems I und II). Diese Entscheidung hat eine jahrzehntelange Vorgeschichte, also packen Sie Ihr Mittagessen ein (oder springen Sie vor - wir nehmen es Ihnen nicht übel).
Alles begann, als der NSA-Whistleblower Edward Snowden vertrauliche Akten über die Tätigkeit der Behörde veröffentlichte, darunter die groß angelegten elektronischen Überwachungsprogramme Upstream und Prism.
Snowdens Enthüllungen veranlassten Schrems, bei der österreichischen Datenschutzbehörde eine Beschwerde gegen die Datenübermittlung von Facebook an die USA einzureichen. Er behauptete, dass die an Facebook in den USA übermittelten personenbezogenen Daten aufgrund des massiven Umfangs und der wahllosen Art der elektronischen Überwachung ausländischer Daten durch die US-Regierung unsicher seien.
Die österreichische Behörde leitete die Beschwerde an Irland weiter, wo Facebook (jetzt Meta) seine wichtigste europäische Niederlassung hat. Dies war der Beginn eines nicht enden wollenden Rechtsstreits, in dem Facebook versuchte, eine endgültige Entscheidung auf jede erdenkliche Weise hinauszuzögern. Jahrelang ging der Fall zwischen der DPC, den irischen Verwaltungsgerichten und dem EU-Gerichtshof hin und her.
Der Gerichtshof hat im Zusammenhang mit Schrems' Beschwerde zwei Urteile gefällt, die beide sehr wichtige Auswirkungen auf das europäische Datenschutzrecht hatten. Im Jahr 2015 wurde mit dem Urteil in der Rechtssache Schrems I das Safe-Harbor-Abkommen für ungültig erklärt, das die Datenübermittlung zwischen der EU und den USA erheblich vereinfachte. Später wurde Safe Harbor durch ein neues Abkommen, das so genannte Privacy Shield, ersetzt, das der Gerichtshof jedoch im Urteil Schrems II im Jahr 2020 erneut für ungültig erklärte.
Das Schrems-II-Urteil bedeutet nicht, dass keine personenbezogenen Daten in die USA übermittelt werden dürfen. Es macht es jedoch komplizierter, Daten rechtmäßig zu übermitteln. Das ist eine lange Geschichte, und wir haben sie bereits ausführlich erörtert. Kurz gesagt: Datenübermittlungen in die USA erfordern im Vergleich zu anderen Ländern zusätzliche Sicherheitsvorkehrungen, um personenbezogene Daten vor dem Zugriff der Behörden zu schützen.
Leider sind diese Sicherheitsvorkehrungen schwer umzusetzen und bei bestimmten Diensten wie Facebook und Google Analytics völlig unmöglich. Daher stellt die Nutzung bestimmter Dienstleister einen Verstoß gegen die Datenschutz-Grundverordnung dar, und Unternehmen, die sich auf sie verlassen, bewegen sich bei ihren Datenübermittlungen auf dünnem Eis.
Nach einem Jahrzehnt und zwei wegweisenden Urteilen verfasste die Datenschutzbehörde schließlich einen Beschluss zur Aussetzung der Datenübermittlung von Facebook und legte ihn dem Europäischen Datenschutzausschuss (der EU-Institution, in der alle Datenschutzbehörden vertreten sind) vor. Der EDPB hat die Angelegenheit im vergangenen Monat beigelegt und seine Entscheidung heute zusammen mit der darauf folgenden und endgültigen Entscheidung der Datenschutzbehörde in dieser Sache veröffentlicht.
Abgesehen von Facebook ist nach Schrems II noch viel mehr passiert. Die Datenschutz-NGO noyb (bei der Schrems selbst Mitglied ist) reichte eine Reihe strategischer Beschwerden gegen Google Analytics ein, um die europäischen Behörden zu einer strengen Anwendung des Schrems-II-Urteils zu bewegen. Dies führte dazu, dass mehrere Behörden gegen Google Analytics entschieden und es praktisch aus ihren Mitgliedstaaten verbannten.
Zwischen dem Facebook-Fall und den Google-Analytics-Entscheidungen ist es nicht verwunderlich, dass die Datenübermittlung derzeit ein heißes Thema ist.
Die Entscheidung
Der rechtliche Inhalt der Entscheidung des Datenschutzausschusses ist nicht neu. Die Prämissen der Entscheidung stammen direkt aus dem Urteil Schrems II und wurden bereits von anderen Behörden im Zusammenhang mit Google Analytics klargestellt:
- Erstens: Die USA sind kein sicheres Ziel für Datenübermittlungen.
- Zweitens reichen Standardvertragsklauseln (eine vertragliche Schutzmaßnahme nach der Datenschutz-Grundverordnung) nicht aus, um in die USA übermittelte personenbezogene Daten zu schützen. Verträge mit Unternehmen lösen das eigentliche Problem nicht, da sie die Überwachungsbefugnisse der Regierung nicht einschränken
- Drittens müssen bei der Übermittlung von Daten in die USA zusätzlich zu den allgemein in der DSGVO geforderten Schutzmaßnahmen weitere Sicherheitsvorkehrungen getroffen werden. Dies ist die einzige Möglichkeit, personenbezogene Daten vertraulich zu behandeln.
Der Datenschutzbeauftragte stellte fest, dass die für die Datenübermittlung geltenden Standardvertragsklauseln (einschließlich der neuesten, 2021 von der EU-Kommission ausgearbeiteten Klauseln) keinen wirksamen Schutz gegen die Überwachung durch die USA bieten. Der DPC stellte außerdem fest, dass Meta Ireland keine wirksamen zusätzlichen Schutzmaßnahmen für seine Datenübermittlungen an Meta Platforms in den USA eingeführt hat. Daher sind die Datenübermittlungen nach der Datenschutz-Grundverordnung illegal.
Obwohl der rechtliche Inhalt der Entscheidung keineswegs neu ist, ist der Fall aufgrund seiner Bekanntheit von großer Bedeutung.
Die Beklagten in den Google-Analytics-Fällen waren Unternehmen, die den Dienst auf ihrer Website nutzten. Im Vergleich zu Meta, einem riesigen multinationalen Unternehmen mit enormen Ressourcen, viel politischem Einfluss und einem Compliance-Geschäft in Millionenhöhe, waren sie alle kleine Fische. Sogar die US-Regierung schaltete sich in den Fall ein und unterstützte Metas Argumente in ihren Eingaben.
Und doch hat Meta verloren. Es ging um Einnahmen in Milliardenhöhe, doch das Unternehmen konnte trotz seiner enormen Ressourcen und seines Know-hows die Datenübermittlung in die USA nicht sicherstellen. Dies zeigt zweifelsfrei, dass bestimmte Datenübermittlungen auf keinen Fall mit der DSGVO in Einklang gebracht werden können.
Die Beteiligung des Europäischen Datenschutzbeauftragten ist in diesem Fall ebenfalls sehr wichtig. Wie wir bereits erwähnt haben, gab es ein gewisses Hin und Her zwischen dem DPC und dem EDPB, ähnlich wie im Fall der gezielten Werbung von Meta (wir haben hier darüber geschrieben).
Entscheidend ist, dass keine europäische Behörde Einwände gegen die Unterbindung von Metas Datenübertragungen erhob. Es gab einige Meinungsverschiedenheiten über die Geldbuße (die der Datenschutzbeauftragte nicht verhängen wollte) und über andere Aspekte der Entscheidung, weshalb der EDSB eingeschaltet wurde. In dem entscheidenden Punkt waren sich jedoch alle einig: Die Datenübermittlungen von Meta sind illegal.
Der EDSB hat also einen gemeinsamen Standpunkt zur Datenübermittlung gefunden. Das bedeutet, dass alle EU-Datenschutzbehörden dies taten, denn sie sind die Personen, die im EDSB sitzen.
Das war schon vorher klar: Wie wir bereits erklärt haben, spielte der EDSB eine indirekte Rolle bei den Entscheidungen über Google Analytics, indem er die Reaktion auf europäischer Ebene koordinierte. Doch bei Meta schaltete sich der EDPB direkt ein und drängte sogar auf eine zehnstellige Geldstrafe. Die Botschaft war noch nie so klar wie heute: Die Spielzeit ist vorbei. Jetzt ist es an der Zeit, die GDPR ernst zu nehmen.
Auch die Geldbuße selbst ist ein interessanter Aspekt der Entscheidung. Nicht nur, weil sie enorm ist, sondern auch wegen der Art und Weise, wie sie berechnet wurde. Sie wurde nicht auf der Grundlage des weltweiten Jahresumsatzes von Meta Platforms Ireland, sondern auf der Grundlage des Umsatzes der gesamten Meta-Gruppe berechnet. Die Geldbuße gegen Meta Platforms Ireland stand also im Verhältnis zu den enormen Geldbeträgen, die die gesamte Unternehmensgruppe unter Meta erwirtschaftet hat - deshalb ist der Betrag so hoch!
Wenn die Aufsichtsbehörden in Zukunft an diesem Ansatz festhalten, werden multinationale Unternehmen nicht in der Lage sein, das Compliance-Risiko zu begrenzen, indem sie sich auf die relativ geringe Größe ihrer europäischen Tochtergesellschaften berufen.
Es ist auch erwähnenswert, dass die Geldbußen im Rahmen der GDPR auf "nur" 4 % des weltweiten Jahresumsatzes eines Unternehmens begrenzt sind. Andererseits können nach dem neuen Gesetz über digitale Dienste und dem Gesetz über digitale Märkte der EU Geldbußen von bis zu 6 % bzw. 10 % verhängt werden. Wenn die Regulierungsbehörden diesen Ansatz beibehalten, könnte es in Zukunft zu hohen Geldbußen kommen.
(Aktualisierung: Die neuen EDPB-Leitlinien zur Berechnung von Geldbußen bestätigen diesen Ansatz für Verstöße gegen die DSGVO)
Wie geht es weiter?
Meta hat nun sechs Monate Zeit, um seine Datenübermittlungen einzustellen und die bereits in die USA übermittelten personenbezogenen Daten zu löschen (der Zeitplan ist zwar etwas komplizierter, aber das ist das Wesentliche).
Wie wir bereits vor einiger Zeit erklärt haben, bedeutet dies nicht, dass Facebook morgen geschlossen wird. Die Möglichkeit eines Facebook-Blackouts in Europa ist real, aber sie hängt von einigen Faktoren ab.
Die EU und die USA haben Schritte in Richtung eines neuen Rahmens für den Datentransfer (genannt Trans-Atlantic Data Privacy Framework) zwischen der EU und den USA unternommen. Auf der Grundlage dieses Rahmens hat die EU-Kommission später einen Angemessenheitsbeschluss für die USA ausgearbeitet, d. h. einen Beschluss, der ein Land als sicheres Zielland für Daten einstuft und die Datenübermittlung erheblich erleichtert. Der Entwurf muss noch von den Mitgliedstaaten gebilligt werden und wird wahrscheinlich verabschiedet (trotz der überwältigenden Ablehnung durch das Europäische Parlament).
Wenn er vor Ablauf der vom Datenschutzausschuss gesetzten Frist angenommen wird, wird die Angemessenheitsentscheidung Meta an der Glocke retten. Aber das sieht heikel aus.
Der neue Rahmen für die Datenübermittlung basiert auf einem komplexen Überwachungssystem für die Aktivitäten der US-Geheimdienste in Bezug auf ausländische Daten. Dieses System muss vollständig umgesetzt werden, bevor der Angemessenheitsbeschluss fertiggestellt werden kann. So wurden beispielsweise die Mitglieder des Datenschutzüberprüfungsgerichts noch nicht benannt, und die EU wurde noch nicht als "qualifizierter Staat" (d. h. eine Einrichtung oder internationale Organisation, für die das System gilt) benannt. Es ist schwer zu sagen, ob sechs Monate ausreichen werden, damit die USA die Umsetzung des Systems abschließen und die Kommission die Angemessenheitsentscheidung fertig stellen kann.
Sollte die Entscheidung später ergehen, wird es für Meta noch komplizierter. Das Unternehmen beabsichtigt, die Entscheidung anzufechten und eine Aussetzung der Anordnung der DPC zu beantragen. Dies könnte dem Unternehmen etwas mehr Zeit verschaffen.
Die gefürchtete Sperrung von Facebook hängt also letztlich vom Zeitpunkt der Angemessenheitsentscheidung und dem Ausgang der künftigen rechtlichen Schritte von Meta ab.
Natürlich steht mehr auf dem Spiel als Facebook. Zahllose europäische Unternehmen verlassen sich auf in den USA ansässige Dienstleister, und nicht alle der erforderlichen Datenübermittlungen entsprechen der Datenschutz-Grundverordnung.
Die Zukunft des Datentransfers zwischen der EU und den USA hängt letztlich vom Transatlantischen Datenschutzrahmen ab. Das Bild ist nicht allzu rosig: Der EU-Gerichtshof hat bereits zwei solcher Rahmenwerke für ungültig erklärt, weil sie europäische Daten nicht ausreichend geschützt haben, und auch das neue Rahmenwerk wird sicherlich auf den Prüfstand gestellt werden. Mit anderen Worten: Schrems III steht bereits vor der Tür.
Es ist schwer zu sagen, wie sich Schrems III entwickeln wird: Der neue Rahmen ist sicherlich ein Fortschritt gegenüber der Vergangenheit, aber Teile davon könnten für den Gerichtshof immer noch problematisch sein. Und es ist sicherlich nicht hilfreich, dass das Europäische Parlament mit überwältigender Mehrheit gegen den Entwurf gestimmt hat. Auch wenn das Votum des Parlaments nicht bindend ist, könnte es den Gerichtshof zu einer strengeren Prüfung des neuen Rahmens veranlassen.
Fazit: Acht Jahre nach Schrems I ist die Zukunft der Datenübermittlung zwischen der EU und den USA immer noch ungewiss.
Schlussfolgerungen
Es hat ein Jahrzehnt länger gedauert als nötig, aber wir freuen uns, dass das Datenschutzrecht endlich ordnungsgemäß gegen Meta durchgesetzt wird.
Wir freuen uns auch, in unserem Blog über diesen Fall zu berichten! Wir hoffen, dass wir unser Publikum für das Datenschutzrecht genauso begeistern können wie wir selbst, indem wir die juristische Sprache auf ein Minimum beschränken.
Unsere Leidenschaft für den Datenschutz ist es, die Simple Analytics ins Leben gerufen hat. Wir sind der Meinung, dass wir alle die Privatsphäre respektieren und versuchen sollten, mit weniger persönlichen Daten mehr zu erreichen. Wenn es um Webanalyse geht, ermöglicht Simple Analytics Ihnen genau das, indem es Ihnen Einblicke gewährt, ohne überhaupt persönliche Daten zu sammeln. Der Datenschutz ist unsere Priorität und kein nachträglicher Gedanke.
Wir glauben, dass das Internet ein unabhängiger Ort sein sollte, der freundlich zu den Website-Besuchern ist. Wenn Sie sich davon angesprochen fühlen, probieren Sie uns doch einfach aus!