Irische Datenschutzkommission verhängt Geldbuße in Höhe von 251 Millionen Euro gegen Meta am 17. Dezember 2024
Die irische Datenschutzkommission (DPC) hat heute ihre endgültigen Entscheidungen im Anschluss an zwei Untersuchungen gegen Meta Platforms Ireland Limited („MPIL“) bekannt gegeben.
Der Verstoß wurde durch Meta Platforms Ireland Limited und dem Mutterkonzern selbst gemeldet und auch kurz nach Entdeckung bereits behoben. Die Entdeckung erfolgte im September 2018. Betroffen waren ca. 29 Millionen Konten weltweit, davon etwa 3 Millionen im EWR.
Die betroffenen Kategorien personenbezogener Daten waren besonders umfangreich. Dazu zählten laut DPC:
- vollständiger Name des Nutzers;
- E-Mail-Adresse;
- Telefonnummer;
- Standort;
- Arbeitsort;
- Geburtsdatum;
- Religion;
- Geschlecht;
- Beiträge auf Zeitachsen;
- Gruppen, denen ein Nutzer angehörte;
- und personenbezogene Daten von Kindern.
Interessant ist hier die Begründung der DPC, warum die Höhe des Bußgeldes so hoch ausfiel. Grundlagen für die Entscheidung waren Artikel 33 (3) DSGVO und Artikel 33 (5) DSGVO sowie für den Großteil der Geldstrafe Artikel 25 (1) DSGVO und Artikel 25 (2) DSGVO.
Entscheidung 1:
- Artikel 33 (3) DSGVO: MPIL hat es versäumt, bei der Meldung eines Datenschutzverstoßes alle erforderlichen Informationen anzugeben, obwohl dies möglich und erforderlich war. Allein dafür verhängte die DPC eine Geldstrafe von 8 Millionen Euro.
- Artikel 33 (5) DSGVO: MPIL hat es unterlassen, die Fakten zu dokumentieren, welche mit jedem Verstoß zusammenhängen, sowie die ergriffenen Maßnahmen zur Behebung, sodass die Aufsichtsbehörde die Einhaltung überprüfen kann. Dafür wurde eine Geldstrafe von 3 Millionen Euro verhängt.
Entscheidung 2:
- Artikel 25 (1) DSGVO: MPIL hat bei der Gestaltung ihrer Verarbeitungssysteme nicht dafür gesorgt, dass die Datenschutzgrundsätze gewahrt werden. Dies führte zu der höchsten Geldstrafe von 130 Millionen Euro.
- Artikel 25 (2) DSGVO: MPIL hat als Verantwortliche ihre Pflicht nicht erfüllt, sicherzustellen, dass standardmäßig nur notwendige personenbezogene Daten für spezifische Zwecke (Privacy by design) verarbeitet werden. Dies wurde mit einer Geldstrafe von 110 Millionen Euro sanktioniert.
Im Ergebnis hätte also der Großteil der Strafen allein durch den Grundsatz der Datensparsamkeit und durch eine vollständige Meldung an die DCP wegfallen können.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.