Oft belächelt, mittlerweile nicht mehr zu Recht: Die Irische Datenschutzbehörde.
Mit gut 400 Mio. Euro Bußgeld gegen Instagramm, legt sich die Behörde nun mit Meta an.
Dazu schreibt Thomas Kolb von Kolb, Blickhan und Partner in seinem LinkedIn Newsletter Neues aus der DSGVO:
„405 Millionen – Rekordbußgeld gegen Instagram“
„In den vergangenen Jahren haben europäische Datenschutzbehörden schon einige Bußgelder in Millionenhöhe bei Datenschutzverstößen verhängt. Auch der Konzern Meta war dabei schon des Öfteren im Fokus der Behörden. Nun hat die irische Datenschutzbehörde am 15. September 2022 den Abschluss einer Untersuchung gegen Meta Platforms Ireland Limited (Instagram) bekannt gegeben. Im ursprünglichen Entscheidungsentwurf der Datenschutzbehörde wurde eine Geldbuße von bis zu 405 Mio. EUR empfohlen. Unter Berücksichtigung der verbindlichen Entscheidung des EDSA beläuft sich die verhängte Geldbuße auf insgesamt 405 Mio. EUR, einschließlich einer Geldbuße von 20 Mio. EUR für einen Verstoß gegen Art. 6 Abs. 1 DSGVO. Zusätzlich zu diesem Bußgeld hat der EDSA auch einen Verweis sowie eine Anordnung verhängt, die Meta Platforms Ireland Limited dazu verpflichtet, die von ihr durchgeführten Datenverarbeitungsprozesse durch eine Reihe spezifischer Abhilfemaßnahmen mit geltendem Recht in Einklang zu bringen.
Das Wichtigste in Kürze
· Die Irische Datenschutzbehörde hat eine Rekordgeldbuße in Höhe von 405 Millionen Euro gegen Instagram verhängt.
· Nach Auffassung des EDSB genügte die Datenverarbeitung nicht den Vorgaben des Art. 6 Abs. 1 lit. b und lit. f DSGVO.
· Noch sechs weitere Verfahren sind gegen den Konzern Meta im Gange.
Verletzung der Privatsphäre von Kindern
An die Verarbeitung personenbezogener Daten von Kindern stellt die DSGVO sehr hohe Anforderungen. Instagram erlaubte Kindern im Alter von 13 bis 17 Jahren die Benutzung eines Geschäftskontos beziehungsweise eines „Business-Accounts“. Diese Konten ermöglichten, einen Zugriff auf E-Mail-Adresse und Telefonnummer der Minderjährigen. Dazu kam, dass die Konten der Kinder teilweise in den „Voreinstellungen“ nicht standartmäßig auf „Privat“, sondern auf „Öffentlich“ eingestellt waren. Dadurch konnte jeder Nutzer auf die Profile der Kinder zugreifen und deren Inhalt einsehen.
Historische Entscheidung
Diese Entscheidung der irischen Datenschutzbehörde ist nach Ansicht der Vorsitzenden des Europäischen Datenschutzausschusses (EDSA), Andrea Jelinek, eine historische Entscheidung. Zum einen, weil das verhängte Bußgeld von 405 Millionen Euro das zweithöchste seit Inkrafttreten der DSGVO ist und zum anderen war dies die erste Entscheidung, bei der es um die Datenschutzrechte von Kindern ging. Dies verdeutlicht auch, dass Unternehmen, die Kinder als Zielgruppe haben, in besonderem Maße auf eine datenschutzkonforme Verarbeitung der personenbezogenen Daten achten müssen. Da Kinderdaten ein besonders hoher Schutz zu kommt, gelten in diesem Bereich hohe Standards, die sich insbesondere auch in der transparenten und einfachen Sprache von Datenschutzinformationen deutlich macht.
Weder Vertragserfüllung noch berechtigtes Interesse als Rechtfertigung einschlägig
Meta berief sich für die entsprechende Verarbeitung von E-Mail-Adressen und Telefonnummern von Kindern auf die Rechtfertigungsgründe „Vertragserfüllung“ und „berechtigtes Interesse“ nach Art. 6 DSGVO. Der EDSA wies die irische Datenschutzbehörde darauf hin, dass diese Verarbeitungen für die Erfüllung des Vertrages nicht erforderlich war. Daher konnte sich Meta nicht auf Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage für diese Verarbeitung berufen. Der EDSB machte weiterhin deutlich, dass die Veröffentlichung der E-Mail-Adressen und Telefonnummern den Anforderungen des Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage ebenfalls nicht entspricht. Die Verarbeitung sei nicht erforderlich gewesen, und selbst wenn man von einer Erforderlichkeit ausginge, habe Meta keine Interessenabwägung durchgeführt. Daher wurden die Kinderdaten ohne rechtmäßigen Rechtfertigungsgrund verarbeitet.
Weitere Verfahren gegen Meta stehen bevor
Es sind wohl noch sechs weitere Verfahren gegen Unternehemen des Meta-Konzerns im Gange. Dabei steht hauptsächlich die Missachtung der Schrems-Entscheidungen im Fokus. Bei diesen ging es um die Nichtbeachtung des europäischen Datenschutzrechts beim US-Datentransfer. Es ist damit zu rechnen, dass in den kommenden Monaten und Jahren weitere Sanktionen gegen den Konzern Meta verhängt werden.
Fazit
Der Konzern Meta stand schon des Öfteren aufgrund der Missachtung der DSGVO im Fokus der Datenschützer und Datenschutzbehörden. Nun kam es zur Verhängung von einem Bußgeld in Höhe von 405 Millionen Euro gegen das zu Meta gehörende Instagram.. Diese Entscheidung ist in jedem Falle beachtenswert, da sie die erste Entscheidung darstellt, bei der es um die Datenschutzrechte von Kindern ging. Außerdem ist es das zweithöchste Bußgeld, das bisher verhängt wurde. Getoppt wurde es nur durch ein gegen Amazon verhängtes Bußgeld in Höhe von 746 Millionen Euro. Abzuwarten bleibt, was bei den weiteren Verfahren gegen Meta herauskommt. Durch diese Entscheidung wird erneut deutlich, dass die Behörden sukzessive insbesondere die großen Techunternehmen unter die Lupe nehmen. Doch nicht nur Großkonzerne, sondern auch kleine und mittlere Unternehmen müssen sich darauf einstellen, dass die Ahndung von datenschutzrechtlichen Versäumnissen zukünftig nicht nachlassen wird. Deshalb ist die Einrichtung und Aktualisierung eines praxisorientierten und vorschriftsgemäßen Datenschutzmanagements nur zu empfehlen. Dies gilt insbesondere im Hinblick auf die Verarbeitung sensibler Daten – aber eben auch bezüglich Daten von Kindern.“