Die irische Datenschutzbehörde DCP hat eine Geldstrafe in schmerzlicher Höhe gegen den US-Konzern Meta verhängt. Er soll insgesamt 390 Millionen Euro Strafe für DSGVO-Verstöße im Zusammenhang mit der Datennutzung für personalisierte oder verhaltensbezogene Werbung zahlen. Dieser Betrag setzt sich aus Bußgeldern gegen die Plattformen Facebook und Instagram zusammen. Davon entfallen 210 Millionen Euro auf Facebook und 180 Millionen Euro auf Instagram. Grundlage sind zwei Beschwerden aus dem Mai 2018 – dem Monat, in dem die DSGVO in Kraft trat.
Meta zeigt sich uneinsichtig
Das US-Unternehmen zeigt sich uneinsichtig und plant, in Berufung zu gehen. „Wir sind fest davon überzeugt, dass unser Ansatz die Datenschutzgrundverordnung respektiert“, so ein Sprecher des Konzerns. Vor Inkrafttreten der DSGVO hatte Meta seine Geschäftsbedingungen und die rechtliche Grundlage für die Verarbeitung personenbezogener Daten geändert. Nach Ansicht der DCP ist das gewählte Vorgehen allerdings nicht DSGVO-konform, da die Dienste nicht weiter nutzbar gewesen wären, wenn man den Geschäftsbedingungen nicht zugestimmt hätte. Es gab also einen Zwang zur Zustimmung.
Nicht der erste Verstoß. Was wird sich ändern?
Dass das Bußgeld so hoch ausgefallen ist, ist auf das Drängen des Europäischen Datenschutzausschusses zurückzuführen. Die irische Datenschutzbehörde wollte zunächst eine mildere Strafe für diese Fälle verhängen. Das bedeutet allerdings nicht, dass die DCP grundsätzlich sanft gegen den Konzern vorgeht, denn das ist nicht das erste Bußgeld, das sie gegen Meta verhängt hat. Die Strafen aus verschiedenen Verfahren belaufen sich mittlerweile auf mehr als eine Milliarde Euro und es stehen weitere Verfahren an. Es stellt sich die Frage, wann es im Konzern zu einem Umdenken bezüglich seiner Datenschutz-Praxis kommt.
Die irische Behörde rät Meta, sein Vorgehen bei der Datenverarbeitung innerhalb von drei Monaten zu ändern. Es bleibt abzuwarten, welchen Weg Facebook und Instagram finden werden, ihr Anzeigengeschäft DSGVO-konform und gleichzeitig lukrativ für ihre Anzeigenkunden zu gestalten.
Was lernen wir aus diesem Fall?
Die Datenschutzbehörden schauen genau hin, wenn es um personenbezogene Daten geht – bei kleinen und bei großen Unternehmen. Das Einverständnis zur Datenverarbeitung und -nutzung muss freiwillig erfolgen und es muss widerrufen werden können. Auch zu Werbezwecken!
Wenn Sie Fragen zur Verarbeitung personenbezogener Daten in Ihrem Unternehmen haben, ist HUBIT Datenschutz Ihr richtiger Ansprechpartner. Vereinbaren Sie gerne einen Beratungstermin.