Das Timing ist perfekt: Pünktlich zum 5. Geburtstag der europäischen Datenschutz-Grundverordnung hat eine Datenschutzbehörde erstmals eine Milliardenstrafe verhängt. Die irische Data Protection Commission (DPC) drückte dem Facebook-Mutterkonzern Meta ein Bußgeld von 1,2 Mrd. Euro auf. Hintergrund ist der seit Jahren schwelende Streit über die Übertragung von Daten von Facebook-Nutzern aus der EU auf Server in den USA. „Es war 2018 erklärtes Ziel des europäischen Gesetzgebers, in der Datenschutz-Grundverordnung wirksame Sanktionen verhängen zu können. Datenschutz sollte nicht mehr als zahnloser Tiger wahrgenommen werden, sondern als Rechtsgebiet, in dem Sanktionen wehtun können“, fasst Anwalt und Datenschutzexperte Michael Kamps, Partner der Kanzlei CMS Deutschland, das Szenario mit Blick auf die Rekordstrafe zusammen.

Big-Tech-Konzerne haben die bislang höchsten Strafen wegen DSGVO-Verstößen kassiert. Dabei stellt sich die Frage, ob und wie sie ihr Geschäftsmodell überhaupt mit Datenschutzanforderungen in Einklang bringen können. „Aus Sicht der Aufsichtsbehörden ist Datenschutz natürlich auch für Anbieter sozialer Netzwerke vornehmste Pflicht“, sagt Kamps. Nach fünf Jahren Erfahrung mit der Datenschutz-Grundverordnung muss man aus seiner Sicht jedoch etwas Wasser in den Wein gießen: „Es stellt für alle Unternehmen eine Herausforderung dar, sich in jedem Punkt an die Verordnung zu halten.“ Seit Jahren werde in Fachkreisen kritisiert, dass die DSGVO in vielen Punkten keine eindeutigen Regeln vorgebe. Sie enthält laut Kamps „viele unbestimmte Rechtsbegriffe und Güterabwägungen“.

Die Milliardenstrafe für Meta geht zurück auf das Urteil des Europäischen Gerichtshofs (EuGH) von 2020 in Sachen „Schrems II“. Das Gericht hat in dem Urteil klargestellt, dass personenbezogene Daten von EU-Bürgern nur an Drittländer übermittelt werden dürfen, wenn sie dort einen gleichwertigen Schutz genießen – was der EuGH in den USA nicht gegeben sah. „Das ist tatsächlich ein Bereich, wo Unternehmen nicht zu Unrecht sagen, wir werden zerrieben zwischen zwei kollidierenden Rechtsordnungen“, meint Kamps.

Mit dem Urteil hatte der EuGH bereits das zweite zwischenstaatliche Abkommen zum Datentransfer, den Privacy Shield, gekippt. Seit der Entscheidung „hängen Unternehmen in der Luft”, sagt Susanne Werry, Datenschutzexpertin und Counsel der Kanzlei Clifford Chance. „Der EuGH hat sehr strenge Anforderungen an einen internationalen Transfer statuiert. Mit Blick auf die USA und die dort geltenden Überwachungsgesetze sind die Anforderungen kaum einhaltbar“, meint die Anwältin. Zuvor hatte der EuGH bereits 2015 im Urteil „Schrems I“ schon den Safe-Harbor-Pakt zum Datentransfer für ungültig erklärt.

Nach einem neuen Anlauf prüfen die EU-Gremien derzeit das mit den USA verhandelte Trans-Atlantic Data Privacy Framework (TADAP), das nun einen rechtssicheren Datentransfer zwischen den beiden Ländern ermöglichen soll. „Gerade mit Blick auf den wirtschaftlich so wichtigen Austausch von Daten in die USA wird dringend eine politische Lösung nötig“, mahnt Werry.

Wird das neue Abkommen wie erwartet diesen Sommer verabschiedet, könnte dies Meta in die Hände spielen, ergänzt die Clifford-Anwältin. Denn die irische Datenschutzbehörde habe dem Techkonzern eine Übergangsfrist zur Anpassung seiner Verfahren bis November 2023 gesetzt. „Kommt das Abkommen bis dahin, wäre der Transfer wieder zulässig – auch ohne weitere Maßnahmen von Meta“, erläutert Werry. Die Entscheidung aus Irland kann daher aus ihrer Sicht „auch als Druckmittel interpretiert werden, dass endlich eine politische Lösung gefunden werden muss“.

Die Höhe des Meta-Bußgelds ist aus Sicht der Juristin ein absoluter Sonderfall und mit der extrem umfangreichen Datenverarbeitung durch das Social-Media-Unternehmen zu begründen. Es ist nach Einschätzung von Werry nicht zu erwarten, „dass morgen weitere Bußgelder in dieser Größenordnung im Zusammenhang mit dem Datentransfer in die USA verhängt werden“.

Nach einer Analyse der Kanzlei CMS haben die europäischen Datenschutzbehörden seit Inkrafttreten der DSGVO am 25. Mai 2018 in mehr als 1.600 öffentlich bekannten Fällen Bußgelder von insgesamt fast 4 Mrd. Euro verhängt. Laut CMS lag die durchschnittliche Strafhöhe über alle Länder vor dem Meta-Fall bei 1,8 Mill. Euro. Die öffentlichkeitswirksamen Bußgelder gegen Big-Tech sind also nur die Spitze des Eisbergs.  Das Spektrum des Sanktionsregimes – im Amtsdeutsch: Abhilfebefugnisse – reicht neben dem Bußgeld von der Warnung über die Verwarnung bis zu Anweisungen der Behörde,  Datenverarbeitung für eine gewisse Zeit oder dauerhaft zu verbieten. Solche Anweisungen können Unternehmen mindestens so schwer treffen wie eine Geldstrafe.

„Jeder Bußgeldfall ist ein Einzelfall – das ist in der DSGVO so angelegt“, erklärt CMS-Anwalt Kamps. Die DSGVO hatte zum Ziel,  das europäische Datenschutzrecht zu harmonisieren. Das sei auf Ebene der Anforderungen durchaus gelungen, meint der Datenschutzexperte. Wenn es um Sanktionen und Bußgelder gehe, seien jedoch nationale Behörden am Drücker, die jeweils in ihrem eigenen Rechtsrahmen arbeiten – hierzulande bewegen sie sich im Verwaltungsverfahrens- und Ordnungswidrigkeitengesetz. „Nach unserer Analyse gibt es durchaus Unterschiede in der Rechtsdurchsetzung, abhängig davon, in welchem Rahmen sich die Datenschutzbehörden bewegen“, sagt Kamps. In Deutschland könnten zum Beispiel keine Bußgelder gegen Behörden verhängt werden, die der DSGVO unterliegen. In anderen Ländern sei das möglich, dort werden öffentliche Statistikbehörden oder öffentlich-rechtliche Krankenhäuser ins Visier genommen.

Festzustellen ist ein regionales Ungleichgewicht auch in den Fallzahlen. Das muss man laut Kamps jedoch mit Vorsicht betrachten, weil die CMS-Analyse nur die öffentlich bekannten Fälle erfasst. „Wir wissen, dass es wesentlich mehr Verfahren  gibt, weil nicht alle Sanktionen veröffentlicht werden.“ Für Spanien zeigt die Statistik von CMS die mit Abstand höchste Zahl an Bußgeldverfahren in der EU. „Wenn man hinter die Kulissen blickt und sich die Tätigkeitsberichte der deutschen Datenschutzbehörden anschaut, stehen sie den Spaniern nach Fallzahlen nicht wirklich nach“, sagt Kamps. Es gebe Unschärfen, es sei aber auch klar, dass Bußgelder nicht nur ein theoretisches Risiko seien. „Die Behörden machen rege davon Gebrauch. Das lässt sich in Europa flächendeckend feststellen“, resümiert der Anwalt.

Die ganz großen Fälle wie die Rekordstrafe für Meta werden in aller Regel öffentlich. Die Behörden nutzen die Publicity auch, um Rechenschaft abzulegen. „Das ist im Fall Irlands von zentraler Bedeutung, weil die irische Datenschutzkommission für einige Zeit auf dem Radar europäischer Kollegen stand, war sie doch dafür bekannt, in Prüfverfahren und Sanktionen eher zurückhaltend zu agieren. Sie steht zudem besonders im Rampenlicht, weil die großen Tech-Player in dem Land ihre Europa-Niederlassungen haben“, erläutert Kamps.

Das Rekordbußgeld ist denn auch das Ergebnis eines internen Verwaltungsprozesses zwischen den europäischen Aufsichtsbehörden – „die irische Datenschutzaufsicht musste zum Jagen getragen werden“, sagt der CMS-Anwalt. Die Höhe des Bußgeldes beruhe auf der Entscheidung des Europäischen Datenschutzausschusses, European Data Protection Board, der Konferenz der europäischen Datenschutzbehörden. Der Ausschuss habe in bestimmten Fällen Letztentscheidungsrecht. Es ist nicht der erste Fall, in dem der Europäische Datenschutzausschuss aktiv wurde. „Er ist in vielen Fällen involviert, was auch zeigt, dass sich der Umgang der nationalen Behörden mit der DSGVO noch einrütteln muss“, sagt Kamps. Meta hat bereits angekündigt, gegen das Bußgeld Einspruch erheben zu wollen. „Das wird erst vor irischen Gerichten landen und am Ende womöglich wieder beim EuGH“, erwartet der Jurist.

Clifford-Anwältin Werry hält die Meta-Entscheidung für „höchst bemerkenswert“. Die irische Behörde habe ein deutlich niedrigeres Bußgeld verhängen wollen, sei aber aufgrund von Beschwerden anderer europäischer Aufsichtsbehörden von dem Europäischen Datenschutzausschuss dazu verpflichtet worden, andere Maßstäbe anzusetzen. „Dies zeigt, dass es nicht mehr nur in der Hand der jeweils lokalen Aufsichtsbehörde liegt, ob und wenn ja, welche Maßnahmen ergriffen werden.“