Update: Meta muss 1,2 Milliarden Euro Strafe zahlen

Update vom 23.05.2023: Meta stolpert von einem Datenschutz-Debakel in das nächste. Die irische Datenschutzkommission (Data Protection Commission, DPC) verhängte nun eine Strafe in Höhe von 1,2 Milliarden gegen den Facebook-Mutterkonzern. Grund dafür sei die missbräuchliche Weitergabe von Nutzerdaten aus der EU in die USA, schreibt "BBC". Dies sei die bisher höchste Strafe, die im Rahmen der EU-Datenschutzgrundverordnung (DSGVO) ausgestellt wurde. Ende 2022 verhängte die DPC bereits eine Busse in Höhe von 265 Millionen Euro gegen Meta.

Bei der Weitervermittlung von Daten aus der EU in die USA habe Meta Standardvertragsklauseln (SCC) verwendet, heisst es weiter. Diese sollen gewährleisten, dass Daten auch nach einer Weitergabe ausserhalb Europas geschützt sind. Es gebe jedoch Bedenken, dass europäische User durch diese Weitergabe nach wie vor den schwächeren Datenschutzgesetzen der USA ausgesetzt sind, schreibt die “BBC”. Der europäische Gerichtshof (EuGH) erlaubt die Verwendung von SCCs bei der Datenweitergabe, sofern das Drittland ein “angemessenes Datenschutzniveau” gewährleiste.

Meta zeigt sich - wenig überraschend - nicht erfreut über die Busse. Die meisten grossen Unternehmen, die Daten nach Übersee übertragen, setzen dafür auf SCCs. "Wir sind daher enttäuscht, dass wir herausgegriffen wurden, obwohl wir denselben rechtlichen Mechanismus wie Tausende anderer Unternehmen nutzen, die in Europa Dienstleistungen anbieten wollen", zitiert die "BBC" Facebook-Präsident Nick Clegg. "Diese Entscheidung ist fehlerhaft, ungerechtfertigt und schafft einen gefährlichen Präzedenzfall für die zahllosen anderen Unternehmen, die Daten zwischen der EU und den USA übertragen."

Datenschützer begrüssen diesen Präzedenzfall hingegen. "Die Höhe dieser rekordverdächtigen Geldbusse entspricht der Bedeutung des Signals, das sie aussendet”, wird etwa Caitlin Fennessy von der International Association of Privacy Professionals zitiert. "Die heutige Entscheidung signalisiert, dass die Unternehmen eine ganze Menge Risiken auf dem Tisch haben". Dieser Meinung sind allerdings nicht alle: "Ein Strafzettel in Höhe von einer Milliarde Euro hat keine Bedeutung für ein Unternehmen, das mit Falschparken noch viel mehr Milliarden verdient", zitiert BBC Johnny Ryan, Senior Fellow des Irish Council for Civil Liberties.

Zum Vergleich: Die Höhe der Busse entspricht fast 4,5 Prozent des Umsatzes, den Meta im ersten Quartal dieses Jahres erwirtschaftete. Unterm Strich blieb in der Zeitspanne ein Gewinn von 5,7 Milliarden US-Dollar. Obwohl Umsatz und Gewinn sich derzeit rückläufig entwickeln, erzielte Meta in gesamten Jahr 2022 noch immer einen Reingewinn von 23,3 Milliarden bei einem Umsatz von über 116 Milliarden Dollar, wie Sie hier lesen können.

Der österreichische Datenschützer Max Schrems, seit 2013 im Rechtsstreit mit Meta, freue sich über die Busse für Meta, und fügt an: "Wenn die US-Überwachungsgesetze nicht geändert werden, wird Meta seine Systeme grundlegend umstrukturieren müssen."

Originalmeldung vom 05.01.2023: 

Datenschutzbehörde verdonnert Meta zu Busse von 390 Millionen Euro

Meta soll eine Strafzahlung in Höhe von 390 Millionen Euro leisten. Dies hat die irische Datenschutzbehörde entschieden, wie die "BBC" berichtet. Demnach haben die von Meta betriebenen Plattformen Facebook und Instagram mit ihren personalisierten Werbeanzeigen gegen die europäische Datenschutzgrundverordnung (EU-DSGVO) verstossen.

Zustimmung per AGB reicht nicht

Konkret kritisiert die Behörde die Art, wie sich Facebook und Instagram die Zustimmung ihrer User für die Personalisierung der Werbeanzeigen einholen. Laut dem BBC-Bericht geschieht dies durch eine Klausel in den allgemeinen Geschäftsbedingungen (AGB), die Nutzerinnen und Nutzer bei ihrer Anmeldung akzeptieren müssen. Tun sie dies nicht, können sie Facebook und Instagram nicht nutzen.

Mit dieser Praxis zwingen die Plattformen ihre Nutzerinnen und Nutzer dazu, der Verwendung ihrer Daten für zielgerichtete Werbung zuzustimmen. Diese Praxis sei nicht mit der EU-DSGVO vereinbar, findet die Datenschutzbehörde. Zudem habe Meta den Nutzern nicht deutlich genug erklärt, wie und warum es ihre persönlichen Daten verwende.

Meta hielt dagegen, die Plattformen seien von Natur aus personalisiert und könnten ohne die Verwendung persönlicher Daten für Werbung schlicht nicht funktionieren. Man sei über den Entscheid der Behörde enttäuscht und werde dagegen in Berufung gehen, zitiert die BBC aus einer Stellungnahme des Unternehmens. Man gebe seinen Nutzerinnen und Nutzern eine Reihe von Tools, um zu steuern, wie ihre Daten verwendet werden. "Diese Entscheidungen verhindern nicht die personalisierte Werbung auf unserer Plattform. Die Entscheidungen beziehen sich nur darauf, welche Rechtsgrundlage Meta verwendet, wenn sie bestimmte Werbung anbietet", schreibt Andy Stone, Policy Communications Director bei Meta, auf Twitter.

Bereits im November 2022 hatte die irische Datenschutzbehörde Meta mit einer Busse belegt. Dies, nachdem persönliche Daten von über 530 Millionen Facebook-Usern öffentlich gemacht wurden, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.