Eng­li­sche Da­ten­schutz­be­hör­de ver­hängt Höchst­stra­fe über die Face­book Inc und de­ren Toch­ter Face­book Ire­land Ltd

05/11/2018

Die englische Datenschutzbehörde, das sogenannte Information Commissioner’s Office („ICO“), hat am 24.10.2018 die Höchststrafe über £ 500.000 nach vor der DSGVO geltenden Datenschutzrecht über die Facebook Inc (USA) und ihre irische Tochtergesellschaft, die Facebook Ireland Ltd, verhängt. [1]

Beide Gesellschaften („Facebook“) seien nach Ansicht des ICO als „gemeinsame Verantwortliche“ für die unrechtmäßige Verarbeitung der personenbezogenen Daten von mehr als 87 Millionen Nutzern der Facebook-Plattform verantwortlich. Die Verstöße fanden zwischen 2007 und 2014 statt, wobei Facebook die Daten von Nutzern unrechtmäßig verarbeitet hat, weil App-Entwicklern Zugriff auf diese Daten ohne gültige Einwilligung der Nutzer gewährt wurde. Es wurden sogar Daten von Nutzern verarbeitet, welche die missbräuchliche App „thisisyourdigitallife“ gar nicht heruntergeladen hatten, sondern bloß „Freunde“ von App-Nutzern waren.

Facebook habe gegen englisches Datenschutzrecht verstoßen, weil es die erforderlichen Sicherheitsmaßnahmen unterlassen und es verabsäumt habe, angemessene Überprüfungen der Apps und deren Entwickler durchzuführen, welche die Facebook-Plattform nutzen. Diese Nachlässigkeit wurde von einem Entwickler, Dr. Aleksandr Kogan, und seinem Unternehmen GSR, ausgenutzt, um Daten auf Facebook von bis zu 87 Millionen Nutzern ohne deren Wissen zu sammeln. Ein Teil der Daten wurde später dann mit anderen Unternehmen geteilt, wie der SCL Group, der Muttergesellschaft von Cambridge Analytica,[2] die in „Political Campaigning“ während des US-Präsidentschafts-Wahlkampfs zugunsten des späteren Präsidenten Trump[3] involviert war.

Selbst als der Datenmissbrauch im Dezember 2015 bekannt wurde, habe Facebook nicht die erforderlichen Anstrengungen unternommen, um jene Unternehmen, welche die Daten illegal „abgesaugt“ hatten, anzuhalten, angemessene Maßnahmen zur Herstellung der Rechtskonformität, wie Löschung dieser Daten, zu ergreifen. Im Falle der SCL Group habe diese sogar bis 2018 weiterhin Zugriff auf die Facebook-Plattform gehabt.

Nach Ansicht des ICO seien zumindest 1 Million Nutzer im United Kingdom von der missbräuchlichen Datenverarbeitung betroffen und seien in Folge dem Risiko von weiterem Missbrauch ihrer Daten ausgesetzt.

Nach der Rechtsansicht des ICO verarbeiteten die beiden Facebook-Unternehmen als gemeinsame Verantwortliche die Daten von Nutzern der Facebook-Plattform außerhalb der USA und Kanada. In seiner Begründung verwies das ICO auf die zu Google Spain[4] ergangene Rechtsprechung des EuGH und führte aus, dass Facebook unter gewissen Umständen personenbezogene Daten im Rahmen einer englischen Niederlassung verarbeitet hätte. Dies sei der Fall, wenn Daten im Rahmen der Tätigkeit der Facebook UK Limited verarbeitet worden seien. Daraus ergibt sich die Anwendbarkeit englischen Datenschutzrechts und die Zuständigkeit des ICO.

Die über Facebook verhänge Höchststrafe über £ 500.000 basiert auf dem früheren englischen Data Protection Act 1998, der von der DSGVO und dem Data Protection Act 2018 abgelöst wurde. Die Strafen wäre laut Pressemeldung des ICO aufgrund der Schwere der Datenschutzverletzung nach der DSGVO noch bedeutend höher ausgefallen. Anzumerken ist allerdings, dass die Strafe um 20 % auf £ 400.000 reduziert wird, wenn Facebook nicht gegen die Entscheidung beruft und bis 23.11.2018 bezahlt.

Bemerkenswert an der neuen Entscheidung ist, dass sie soweit überblickbar erstmalig in Europa den Strafrahmen nach der alten Rechtslage vor der DSGVO voll ausschöpft. Das ICO betont, dass nach einem derart schweren Verstoß die Strafen nach der DSGVO weitaus höher ausgefallen wären. Diese jüngste Entscheidung des ICO untermauert, dass die europäischen Datenschutzbehörden die oftmals noch immer laxe Praxis mancher Unternehmen punkto Datenschutz nicht länger dulden werden. So hat auch die Leiterin der österreichischen Datenschutzbehörde, Dr. Andrea Jelinek, betont, dass für massive Vergehen auch die Strafe verhältnismäßig und massiv ausfallen werde.[5]

Unternehmen, welche die Deadline am 25.05.2018 mit Anwendbarkeit der DSGVO verpasst haben, sollten trotzdem nicht in Panik verfallen, sondern zügig an ihrer Compliance arbeiten. Umgekehrt wäre es aber fatal sich auf den gelegentlich grassierenden Irrglauben zu verlassen, die Behörde werde stets „verwarnen statt strafen“. Sofern ein Unternehmen sich nachweislich ernsthaft um seine Compliance mit der DSGVO und dem DSG bemüht, kann dadurch das Risiko für Strafen aber erheblich verringert werden.

[1] ICO, ICO issues maximum £500,000 fine to Facebook for failing to protect users’ personal information https://ico.org.uk/facebook-fine-20181025 (26.10.2018).

[2] The New York Times, Cambridge Analytica and Facebook: The Scandal and the Fallout So Far, https://www.nytimes.com/2018/04/04/us/politics/cambridge-analytica-scandal-fallout.html (26.10.2018).

[3] Siegel Online, US-Wahl und Daten-Ingenieure, http://www.spiegel.de/netzwelt/netzpolitik/donald-trump-und-die-daten-ingenieure-endlich-eine-erklaerung-mit-der-alles-sinn-ergibt-a-1124439.html (26.10.2018).

[4] EuGH 13.05.2014, C-131/12 (Google Spain und Google); ausführlich Hasenauer, Das Recht auf Löschung personenbezogener Daten, Jahrbuch Datenschutzrecht 2016, 99 mwN.

[5] TREND, Datenschutzbehörde-Chefin Jelinek: „Massive Strafen“, https://www.trend.at/branchen/digital/datenschutzbehoerde-chefin-jelinek-massive-strafe-vergehen-10087641 (26.10.2018).

Autoren

Das Photo von Johannes Scharf
Johannes Scharf
Associate
Wien