Die entsprechende Untersuchung wurde bereits im August 2020 eingeleitet. Kurz zuvor, im Juli 2020, hatte ein Urteil des Europäischen Gerichtshofes (EuGH) für eine Zäsur gesorgt: Er erklärte seinerzeit die Angemessenheitsentscheidung der EU-Kommission im Hinblick auf den zwischen EU und den USA geschlossenen Privacy Shield für unwirksam. Dieser als „Schrems-II-Urteil“ in die Geschichte eingegangene Spruch stellte die Welt der Datentransfers kurzzeitig auf den Kopf. Art. 46 Abs. 1 DSGVO sieht als Alternative zu dieser Angemessenheitsentscheidung „geeignete Garantien“ vor. Diese können grundsätzlich Standard Contractual Clauses (SCC), zu deutsch Standarddatenschutzklauseln, erfüllen. Diese nutzte Meta zwar, die DPC beurteilte diese Vorkehrungen allerdings nicht als ausreichend dafür, die vom EuGH in seinem Schrems-II-Urteil festgestellten Risiken für die Grundrechte und -freiheiten der betroffenen Personen zu beseitigen.
Weitere Pflichten neben dem Bußgeld
Neben dem Bußgeld ist Meta verpflichtet, innerhalb von fünf Monaten ab dem Datum der Mitteilung der Entscheidung der DPC an das Unternehmen jede künftige Übermittlung personenbezogener Daten in die USA auszusetzen. Außerdem muss der Facebookbetreiber seine Verarbeitungsvorgänge mit den in der DSGVO aufgestellten Grundsätzen in Einklang bringen, indem er die rechtswidrige Verarbeitung inklusive Speicherung personenbezogener Daten von Nutzern aus dem EU-/EWR-Raum in den USA innerhalb von sechs Monaten nach Eingang der DPC-Meldung einstellt. Ob Meta tatsächlich ein so hohes Bußgeld zahlen wird, ist indes noch fraglich. Die Praxis hat gezeigt, dass die tatsächlich geflossenen Beträge nach entsprechenden Verhandlungen häufig niedriger liegen.
Copyright Bild: Unsplash, Dina Solomin