Seit 2018 gilt die Datenschutzgrundverordnung. Mit ihr wurden die Bußgelder bei Datenschutz-Verstößen massiv erhöht. In den vergangenen Jahren haben die europäischen Datenschutzbehörden schon einige Bußgelder in Millionenhöhe bei Datenschutzverstößen verhängt. Auch der Konzern Meta (ehemals Facebook) war dabei schon des Öfteren im Fokus der Behörden. Zuständig ist die Datenschutzbehörde in Irland, weil Meta seine Europa-Zentrale in Dublin unterhält.
Meta muss für Verstöße bei Instagram 405 Millionen Euro bezahlen
Nun hat die irische Datenschutzbehörde am 15.09.2022 den Abschluss einer Untersuchung gegen Meta Platforms Ireland Limited (genauer gesagt die Plattform, des Meta-Konzerns „Instagram“) bekannt gegeben. Die verhängte Geldbuße beträgt stattliche 405 Millionen EUR. Zusätzlich zu diesem Bußgeld wurde eine Anordnung erlassen, die Meta Platforms Ireland Limited dazu verpflichtet, die von ihr durchgeführten Datenverarbeitungsprozesse mit dem geltenden Recht in Einklang zu bringen.
Die Datenverarbeitung bei Instagram entspreche nicht den Vorgaben des Art. 6 Abs. 1 DSGVO zu den Rechtsgrundlagen „Vertragserfüllung“ und „berechtigtes Interesse“.
Es ging um die Verarbeitung von Kinderdaten
Konkret ging es um die Datenverarbeitung von Kindern. An die Verarbeitung personenbezogener Daten von Kindern stellt die DSGVO sehr hohe Anforderungen. Der Vorwurf: Instagram erlaubte es Kindern im Alter von 13 bis 17 Jahren ein Geschäftskontos beziehungsweise einen „Business-Account“ zu haben. Diese Konten ermöglichten einen Zugriff auf E-Mail-Adresse und Telefonnummer der Minderjährigen. Dazu kam, dass die Konten der Kinder teilweise in den „Voreinstellungen“ nicht standartmäßig auf „Privat“, sondern auf „Öffentlich“ eingestellt waren. Dadurch konnte jeder Nutzer auf die Profile der Kinder zugreifen und deren Inhalt einsehen.
Weder Vertragserfüllung noch berechtigtes Interesse als Rechtfertigung einschlägig
Meta berief sich für die entsprechende Verarbeitung von E-Mail-Adressen und Telefonnummern von Kindern auf die Rechtfertigungsgründe „Vertragserfüllung“ und „berechtigtes Interesse“ nach Art. 6 DSGVO. Diese Verarbeitungen waren aber für die Erfüllung des Vertrages nicht erforderlich. Daher konnte sich Meta nicht auf Art. 6 Abs. 1 b) DSGVO als Rechtsgrundlage für diese Verarbeitung berufen.
Die Veröffentlichung der E-Mail-Adressen und Telefonnummern entsprach weiter nicht den Anforderungen des Art. 6 Abs. 1 f) DSGVO als Rechtsgrundlage. Die Verarbeitung sei nicht erforderlich gewesen und selbst wenn man von einer Erforderlichkeit ausginge, habe Meta keine Interessenabwägung durchgeführt. Daher wurden die Kinderdaten ohne rechtmäßigen Rechtfertigungsgrund verarbeitet.
Bußgeldverhängung in zweifacher Hinsicht bemerkenswert
Das Bußgeld ist in zweifacher Hinsicht bemerkenswert:
- Das verhängte Bußgeld von 405 Millionen Euro ist das zweithöchste seit Inkrafttreten der DSGVO (getoppt wird es nur von einem gegen Amazon in Luxemburg verhängten Bußgeld in Höhe von 746 Millionen Euro).
- Und es ist die erste Entscheidung, bei der es um die Datenschutzrechte von Kindern ging.
Zurzeit sind übrigens noch sechs weitere Verfahren gegen den Meta- Konzern wegen Datenschutz-Verstößen im Gange. Dabei steht hauptsächlich die Missachtung der Schrems-Entscheidungen im Fokus. Bei diesen ging es um die Nichtbeachtung des europäischen Datenschutzrechts beim US-Datentransfer. Es ist also davon auszugehen, dass es zu weiteren hohen Bußgeldern gegen Meta kommen wird.
Fazit
Der Vorfall verdeutlicht unter anderem, dass Unternehmen, die Kinder als Zielgruppe haben, in besonderem Maße auf eine datenschutzkonforme Verarbeitung der personenbezogenen Daten achten müssen. Da Kinderdaten ein besonders hoher Schutz zu kommt, gelten in diesem Bereich hohe Standards, die sich insbesondere auch in der transparenten und einfachen Sprache von Datenschutzinformationen deutlich macht.
Durch die Entscheidung wird deutlich, dass die Behörden auch die großen globalen Player unter die Lupe nehmen. Doch nicht nur Großkonzerne, sondern auch kleine und mittlere Unternehmen müssen sich darauf einstellen, dass die Ahndung von datenschutzrechtlichen Versäumnissen zukünftig nicht nachlassen wird.
Unsere Empfehlung: Datenschutz umsetzen
Deshalb ist die Einrichtung und Aktualisierung eines Datenschutzmanagements dringend zu empfehlen.
Wir können das und wir unterstützen Sie dabei. Setzen Sie sich jetzt mit uns in Verbindung und wir besprechen, wie wir Ihnen zu einem rechtssicheren Datenschutz im Unternehmen verhelfen können, um solche Bußgelder zu vermeiden.
Sie erreichen uns telefonisch: 0721 / 120 500 oder via Mail: info@schutt-waetke.de
Timo Schutt
Rechtsanwalt
Fachanwalt für IT-Recht
Urheberangabe für das Foto für diesen Beitrag:
- judge-4199434_1920: (c) mohamed Hassan / pixabay.com