1,2 Milliarden EUR Meta Bußgeld / Startdatum für HinSchG
Meta Bußgeld lässt Unternehmen europaweit aufhorchen
Die irische Datenschutzbehörde hat gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 1,2 Milliarden EUR verhängt. Die Aufsicht begründet das Bußgeld mit unzulässigen Drittlandsübermittlung, durch das in Dublin ansässige Unternehmen. Ferner steht der Startschuss für das Hinweisgeberschutzgesetz nun amtlich im Bundesgesetzblatt fest.
Neues Rekordbußgeld für Mutterkonzern von Facebook, Instagram und WhatsApp
Die Strafgebühr ist bis dato das höchste je verhängte DSGVO-Bußgeld in der fünfjährige Geschichte der Datenschutzgrundverordnung. Dass es ausgerechnet Meta trifft, überrascht Datenschützer in ganz Europa nicht. Zudem zeigt sich, dass die Zusammenarbeit der europäischen Behörden größtenteils gut funktioniert. Weigerte sich die irische Behörde noch lange Zeit, überhaupt gegen Meta tätig zu werden, ist jetzt der Stein ins Rollen gebracht worden und das insbesondere auf Druck der Mitgliedstaaten.
Schrems II-Urteil Auslöser für Untersuchung
Mit dem Schrems II-Urteil vom 16. Juli 2020 wurde der letzte Angemessenheitsbeschluss für Datenübermittlungen in die USA („Privacy Shield“) für rechtswidrig erklärt. Die irische Datenschutzbehörde sah sich so gezwungen, Ermittlungen gegen Meta Platforms Ireland Limited, einzuleiten. Die Datenschützerinnen und Datenschützer bemängelten die Übermittlung von personenbezogenen Daten in die USA an den Mutterkonzern Meta Platforms, Inc., ohne, dass ein gleichwertiges Datenschutzniveau aufgezeigt werden konnte. Die von Meta Platforms Ireland getroffenen Maßnahmen zum Schutz der Daten und die Verwendung von Standardvertragsklauseln reichten nicht aus, um die irische Behörde vom ausreichenden Schutz der Daten zu überzeugen.
Die irische Aufsichtsbehörde beabsichtigte zunächst nicht, Meta Platforms Ireland mit einem Bußgeld zu belegen. Die Behörde war allerdings nach Art. 63 Abs. 3 DSGVO dazu verpflichtet ihren Beschlussentwurf an andere europäische Aufsichtsbehörden für eine Stellungnahme zu übermitteln. Doch nicht alle europäischen Behörden waren mit dem Vorgehen der Iren einverstanden. Der Europäische Datenschutzausschuss leitete daraufhin ein Streitbeilegungsverfahrern nach Art. 65 DSGVO ein. In diesem wurde die irische Behörde aufgefordert Meta Platforms Ireland mit einem Bußgeld zu belegen. Derweilen kündigte Meta bereits an, gegen das Bußgeld vorgehen zu wollen.
Unsere Einschätzung
Unternehmen sollte diese Entscheidung aufhorchen lassen, denn es geht um die grundlegende Frage, ob ein Datentransfer in die USA, unter den aktuell gegeben Rechtsvorschriften, noch DSGVO-konform ist. Im Fall von Meta haben auch die Standardvertragsklauseln nicht ausgereicht, um ein angemessenes Datenschutzniveau zu gewährleisten. Wenn Unternehmen personenbezogene Daten in die USA übermitteln, sollte immer ein Transfer Impact Assessment (TIA) durchgeführt und weitergehende Maßnahmen (vgl. Empfehlungen 01/2020 zu Maßnahmen zur Ergänzung von Übermittlungstools zur Gewährleistung des unionsrechtlichen Schutzniveaus für personenbezogene Daten, EDPB) ergriffen werden. Führt man die Datenübermittlung weiterhin ohne besondere Schutzmaßnahmen durch, müssen auch Unternehmen in Deutschland mit massiven Strafen rechnen.
Nun bleibt abzuwarten, ob sich dieses Bußgeld auf die Verhandlungen, um einen neuen Angemessenheitsbeschluss (EU-U.S. Data Privacy Framework) zwischen den USA und Europa auswirkt. Es wäre bereits der dritte Beschluss nach „Safe Harbor“ und dem „Privacy Shield“ und wahrscheinlich nicht der Letze.
Hinweisgeberschutzgesetz tritt am 02. Juli 2023 in Kraft
Wir informierten Sie am 11. Mai 2023 bereits über das neue Whistleblower-Gesetz. Nun gibt es für das neu geschaffene Gesetz ein Startdatum. Am 02. Juli 2023 wird das deutsche Hinweisgeberschutzgesetz (HinSchG) in Kraft treten. Nun haben Unternehmen ab 250 Beschäftigten bis zum Inkrafttreten des Gesetzes Zeit, eine interne Meldestelle einzurichten. Unternehmen mit einer Beschäftigtenanzahl zwischen 50 und 249 unterliegen noch bis zum 17. Dezember 2023 einer Übergangsfrist. In dieser Zeit wird kein Bußgeld verhangen – das bedeutet allerdings nicht, dass ein Unternehmen nicht bereits jetzt verpflichtet ist, tätig zu werden!
Ihr WeComply Team.
Weitere Links und Hinweise: