Der Facebook-Mutterkonzern Meta muss eine Rekordstrafe von 1,2 Milliarden Euro bezahlen. Die irische Datenschutzbehörde DPC unter Helen Dixon hatte zuvor festgestellt, dass der US-Konzern die persönlichen Daten von Nutzerinnen und Nutzern in Europa nicht ausreichend geschützt und damit gegen die Europäische Datenschutzgrundverordnung (DSGVO) verstoßen hat. Die Daten waren unter anderem an US-Sicherheitsdienste weitergeleitet worden. Die Behörde in Dublin setzte Meta nun zusätzlich eine Frist, den Abfluss der Daten in die USA zu stoppen.

Es ist die größte bislang verhängte Strafe gegen einen der amerikanischen Techgiganten. Bislang waren die 746 Millionen Euro Strafe gegen Amazon der Rekordwert. Innerhalb von fünf Monaten muss Meta "jede künftige Übermittlung personenbezogener Daten in die USA aussetzen", schreibt die Behörde vor. Einen Monat länger hat der Konzern von Mark Zuckerberg (39) Zeit, um die "unrechtmäßige Verarbeitung" der Daten, einschließlich der Speicherung in den USA, zu beenden.

Meta will gegen Strafe vorgehen

Meta steht mit seinen Plattformen Facebook und Instagram schon lange im Visier der EU-Aufseher. Das Verbot der Datenübermittlung war allgemein erwartet worden und hatte das US-Unternehmen einst dazu veranlasst, mit einem vollständigen Rückzug aus der EU zu drohen. Die aktuelle Entscheidung der EU-Behörde will Meta nun anfechten, der Konzern kündigte Berufung an. Unmittelbare Auswirkungen auf Facebook und Instagram aber gebe es nicht. Ein Gerichtsverfahren könnte allerdings Jahre dauern.

Die Entscheidung kommt fast auf den Tag genau fünf Jahre nach Inkrafttreten der Datenschutzgrundverordnung. Am 25. Mail 2018 war die Regelung, die als weltweit härteste ihrer Art gilt, in Kraft getreten. Die EU mit ihren 27 Mitgliedstaaten hat seither die Befugnis, bei schwerwiegenden Verstößen Geldbußen von bis zu 4 Prozent des Jahresumsatzes eines jeweiligen Unternehmens zu verhängen. Die leitende Behörde ist die Data Protection Commission unter Leitung Dixons in Irland. Dort haben auch einige der größten Techunternehmen wie eben Meta oder Apple ihren Hauptsitz in der EU.

Irische DPC hatte sich jahrelang zurückgehalten

Ins Rollen gebracht hatte den Fall einst die Enthüllungen von Edward Snowden (39). Der österreichische Datenschutzaktivist Max Schrems (35) hatte daraufhin 2013 eine Beschwerde gegen Facebook eingebracht. Die DPC hatte sich jahrelang geweigert, in dieser Sache gegen Facebook vorzugehen. Letztlich verpflichtete allerdings der Europäische Datenschutzausschuss (EDSA) die DPC, eine Strafe gegen das soziale Netzwerk zu verhängen. Der aktuelle Beschluss bezieht sich nur auf Facebook, nicht auf andere Dienste aus dem Meta-Konzern wie Instagram oder WhatsApp. Meta war allerdings bereits im Januar von der DPC zu einer Strafe in Höhe von 390 Millionen Euro verdonnert worden, weil Facebook- und Instagram-User gezwungen worden waren, personalisierter Werbung zuzustimmen.

"Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen."

Schrems erklärte angesichts der aktuellen Rekordstrafe, das verhängte Bußgeld hätte wesentlich höher ausfallen können: "Die Höchststrafe liegt bei über vier Milliarden Euro. Und Meta hat zehn Jahre lang wissentlich gegen die DSGVO verstoßen, um Profit zu machen." Wenn die US-Überwachungsgesetze nicht geändert würden, werde Meta nun wohl seine Systeme grundlegend umstrukturieren müssen, erklärte Schrems.

Für Meta könnte das kompliziert und teuer werden. Der Konzern betreibt laut seiner Webseite aktuell 21 Datenzentren. Davon liegen 17 in den USA, drei in Europa (Dänemark, Irland und Schweden) und ein weiteres befindet sich in Singapur.

Politisch wird um den Datenschutz seit Jahren gerungen. Ursprünglich sollte das sogenannte "Privacy Shield"-Abkommen den Schutz des transatlantischen Datenverkehrs sicherstellen. 2020 jedoch hob das oberste Gericht der EU ein Abkommen zwischen der EU und den USA zur Regelung des transatlantischen Datenverkehrs auf, weil es befürchtete, dass die Daten der Bürgerinnen und Bürger nicht sicher seien, sobald sie auf US-Servern landeten. Nach monatelangen Verhandlungen mit den USA hatten die EU-Regulierungsbehörden im Dezember Vorschläge zur Ersetzung des früheren "Privacy Shield"-Pakts vorgelegt.