Skip to content

EDPB: Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen

Facebook / Meta soll 1,2 Milliarden EURO Bußgeld wegen DSGVO-widriger Übermittlung personenbezogener Daten in die USA zahlen.

Die Pressemitteilung des European Data Protection Board (EDPB):
1.2 billion euro fine for Facebook as a result of EDPB binding decision

Brussels, 22 May - Following the EDPB’s binding dispute resolution decision of 13 April 2023, Meta Platforms Ireland Limited (Meta IE) was issued a 1.2 billion euro fine following an inquiry into its Facebook service, by the Irish Data Protection Authority (IE DPA). This fine, which is the largest GDPR fine ever, was imposed for Meta’s transfers of personal data to the U.S. on the basis of standard contractual clauses (SCCs) since 16 July 2020. Furthermore, Meta has been ordered to bring its data transfers into compliance with the GDPR.

Andrea Jelinek, EDPB Chair, said: “The EDPB found that Meta IE’s infringement is very serious since it concerns transfers that are systematic, repetitive and continuous. Facebook has millions of users in Europe, so the volume of personal data transferred is massive. The unprecedented fine is a strong signal to organisations that serious infringements have far-reaching consequences.”

In its binding decision of 13 April 2023, the EDPB instructed the IE DPA to amend its draft decision and to impose a fine on Meta IE. Given the seriousness of the infringement, the EDPB found that the starting point for calculation of the fine should be between 20% and 100% of the applicable legal maximum. The EDPB also instructed the IE DPA to order Meta IE to bring processing operations into compliance with Chapter V GDPR, by ceasing the unlawful processing, including storage, in the U.S. of personal data of European users transferred in violation of the GDPR, within 6 months after notification of the IE SA’s final decision.

The IE DPA's final decision incorporates the legal assessment expressed by the EDPB in its binding decision, adopted on the basis of Art. 65(1)(a) GDPR after the IE DPA, as lead supervisory authority (LSA), had triggered a dispute resolution procedure concerning the objections raised by several concerned supervisory authorities (CSAs). Among others, CSAs issued objections aiming to include an administrative fine and/or an additional order to bring processing into compliance*.

The final decision taken by the IE DPA is available in the Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism.



EU-Kommission: Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung

Die EU-Kommission hat die Angemessenheitsbeschlüsse zur Übermittlung personenbezogener Daten nach der DSGVO in das Vereinigte Königreich und zum Datenschutz bei der Strafverfolgung angenommen:

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Datenschutz-Grundverordnung

Durchführungsbeschluss zur Angemessenheit des Schutzes personenbezogener Daten durch das Vereinigte Königreich – Polizeirichtlinie

Die Pressemitteilung der EU-Kommission:

Datenschutz: Kommission nimmt Angemessenheitsbeschlüsse zum Vereinigten Königreich an

Die Kommission hat heute zwei Angemessenheitsbeschlüsse zum Vereinigten Königreich angenommen - einen im Rahmen der Datenschutzgrundverordnung (DSGVO) und einen im Rahmen der Richtlinie zum Datenschutz bei der Strafverfolgung. Beide Beschlüsse treten heute in Kraft. Personenbezogene Daten können nun ungehindert aus der Europäischen Union in das Vereinigte Königreich fließen, wo für sie dort ein Schutzniveau gilt, das dem nach dem EU-Recht garantierten Schutzniveau der Sache nach gleichwertig ist Die beiden Angemessenheitsbeschlüsse erleichtern zudem die ordnungsgemäße Umsetzung des Handels- und Kooperationsabkommens zwischen der EU und dem Vereinigten Königreich, welches den Austausch personenbezogener Daten (beispielsweise im Rahmen der justiziellen Zusammenarbeit) vorsieht. Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen. Beide Angemessenheitsbeschlüsse enthalten starke Garantien für den Fall etwaiger künftiger Abweichungen, darunter eine Verfallsklausel, durch die ihre jeweilige Geltungsdauer auf vier Jahre begrenzt wird.

Věra Jourová (Vizepräsidentin für Werte und Transparenz) erklärte dazu: „Das Vereinigte Königreich ist zwar aus der EU ausgetreten, aber seine rechtlichen Bestimmungen zum Schutz personenbezogener Daten sind noch die alten. Aus diesem Grund haben wir heute diese beiden Angemessenheitsbeschlüsse angenommen. Zugleich haben wir die Bedenken, die vom Parlament, von den Mitgliedstaaten und vom Europäischen Datenschutzausschuss unter anderem hinsichtlich möglicher künftiger Abweichungen von unseren Standards im Datenschutzrahmen des Vereinigten Königreichs geäußert worden sind, sehr aufmerksam zur Kenntnis genommen. Es geht hier um ein Grundrecht der EU-Bürgerinnen und -Bürger, das wir schützen müssen. Aus diesem Grund haben wir umfangreiche Garantien vorgesehen, und falls sich auf Seiten des Vereinigten Königreichs die Gegebenheiten ändern, werden wir sofort eingreifen.“

Didier Reynders (Kommissar für Justiz) fügte hinzu: „Nach monatelanger sorgfältiger Prüfung können wir den EU-Bürgerinnen und -Bürgern heute die Gewissheit geben, dass ihre personenbezogenen Daten bei Übermittlungen in das Vereinigte Königreich geschützt sind. Dies ist ein wesentlicher Bestandteil unserer neuen Beziehungen zum Vereinigten Königreich. Er ist wichtig für einen reibungslosen Handel und eine wirksame Kriminalitätsbekämpfung. Die Kommission wird eng verfolgen, wie sich das System des Vereinigten Königreichs künftig entwickelt. Um dies zu ermöglichen und gegebenenfalls eingreifen zu können, haben wir unsere Beschlüsse verstärkt. Die EU hat die höchsten Standards auf dem Gebiet des Schutzes personenbezogener Daten, und diese dürfen nicht beeinträchtigt werden, wenn personenbezogene Daten ins Ausland übermittelt werden.“

Wichtigste Elemente der Angemessenheitsbeschlüsse

Das Datenschutzsystem des Vereinigten Königreichs basiert weiterhin auf denselben Regeln, die galten, als das Vereinigte Königreich noch Mitgliedstaat der EU war. Das Vereinigte Königreich hat die Grundsätze, Rechte und Pflichten der DSGVO und der Richtlinie zum Datenschutz bei der Strafverfolgung vollumfänglich in sein heutiges, seit dem Brexit geltendes Rechtssystem übernommen.
In Bezug auf den Zugriff auf personenbezogene Daten durch Behörden im Vereinigten Königreich (insbesondere aus Gründen der nationalen Sicherheit) sieht das System des Vereinigten Königreichs starke Garantien vor. Insbesondere die Datenerhebungen durch Nachrichtendienste unterliegen der vorherigen Genehmigung durch ein unabhängiges Rechtsorgan. Alle Maßnahmen müssen notwendig und im Hinblick auf das verfolgte Ziel verhältnismäßig sein. Wer sich unrechtmäßiger Überwachungsmaßnahmen ausgesetzt sieht, kann Klage beim Investigatory Powers Tribunal (Gericht für Ermittlungsbefugnisse) einreichen. Das Vereinigte Königreich unterliegt zudem der Rechtsprechung des Europäischen Gerichtshofs für Menschenrechte, der Europäischen Menschenrechtskonvention und dem Übereinkommen des Europarats zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, dem einzigen verbindlichen internationalen Übereinkommen auf dem Gebiet des Datenschutzes. Diese völkerrechtlichen Verpflichtungen sind ein wesentlicher Bestandteil des in den beiden Angemessenheitsbeschlüssen bewerteten Rechtsrahmens.
Die Angemessenheitsbeschlüsse enthalten erstmals eine Verfallsklausel, durch die ihre Geltungsdauer strikt begrenzt wird: Beide Beschlüsse laufen vier Jahre nach ihrem Inkrafttreten aus. Danach könnten sie erneuert werden, falls das Vereinigte Königreich weiterhin ein angemessenes Datenschutzniveau sicherstellt. Während dieser vier Jahre wird die Kommission die Rechtslage im Vereinigten Königreich weiterhin im Blick behalten und jederzeit eingreifen können, falls das Vereinigte Königreich von dem derzeit bestehenden Datenschutzniveau abweicht. Sollte die Kommission beschließen, die Angemessenheitsbeschlüsse zu erneuern, würde der Annahmeprozess erneut eingeleitet.
Datenübermittlungen für die vom Vereinigten Königreich praktizierte Einwanderungskontrolle sind vom sachlichen Geltungsbereich des im Rahmen der DSGVO angenommenen Angemessenheitsbeschlusses ausgenommen, um einer unlängst ergangenen Entscheidung des Berufungsgerichts von England und Wales über die Gültigkeit und die Auslegung bestimmter Einschränkungen der Datenschutzrechte in diesem Bereich Rechnung zu tragen. Sobald diese Situation nach dem Recht des Vereinigten Königreichs geklärt ist, wird die Kommission die Notwendigkeit dieses Ausschlusses neu prüfen.
Hintergrund

Die Kommission hat am 19. Februar zwei Entwürfe von Angemessenheitsbeschlüssen veröffentlicht und das Verfahren zu ihrer Annahme eingeleitet. In den vergangenen Monaten hat die Kommission die Rechtsvorschriften und die Praktiken des Vereinigten Königreichs auf dem Gebiet des Schutzes personenbezogener Daten einschließlich der Bestimmungen über den Datenzugriff von Behörden im Vereinigten Königreich gründlich bewertet. Die Kommission stand in engem Kontakt mit dem Europäischen Datenschutzausschuss, der seine einschlägige Stellungnahme am 13. April abgegeben hat, mit dem Europäischen Parlament und mit den Mitgliedstaaten. Nach dieser gründlichen Prüfung holte die Europäische Kommission im Rahmen des sogenannten Ausschussverfahrens die Zustimmung der Vertreter der Mitgliedstaaten zu den beiden Angemessenheitsbeschlüssen ein. Die heute erfolgte, an die Zustimmung der Vertreter der Mitgliedstaaten anschließende Annahme der Beschlüsse war der letzte Schritt dieses Verfahrens. Die beiden Angemessenheitsbeschlüsse treten heute in Kraft.

Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich enthält eine Selbstverpflichtung der EU und des Vereinigten Königreichs zur Aufrechterhaltung hoher Datenschutzstandards. Das Abkommen sieht zudem vor, dass jede im Zuge seiner Umsetzung durchzuführende Datenübermittlung im Einklang mit den maßgeblichen Datenschutzvorschriften der übermittelnden Vertragspartei (im Falle der EU sind dies die DSGVO und die Richtlinie zum Datenschutz bei der Strafverfolgung) stehen müssen. Die Annahme der beiden einseitigen und eigenständigen Angemessenheitsbeschlüsse ist eine wichtige Maßnahme zur Sicherstellung der ordnungsgemäßen Anwendung und des reibungslosen Funktionierens des Abkommens. Das Handels- und Kooperationsabkommen zwischen der EU und dem Vereinigten Königreich sieht ferner eine bedingte Übergangsregelung vor, in deren Rahmen Daten ungehindert aus der EU in das Vereinigte Königreich übermittelt werden können. Der Übergangszeitraum endet am 30. Juni 2021.



EU-Kommission: Neue Standardvertragsklauseln für Übermittlung personenbezogener Daten an Drittländer und zwischen Verantwortlichen und Auftragsverarbeitern angenommen - scc

Die EU-Kommission hat die neuen Standardvertragsklauseln angenommen. Ob diese den strengen rechtliche Anforderungen genügen, ist nach wie vor sehr fraglich.

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679

DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28(7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Anhang des DURCHFÜHRUNGSBESCHLUSS DER KOMMISSION über Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 (7) DS-GVO und Artikel 29(7) der Verordnung (EU) 2018/1725

Die Pressemitteilung des EU-Kommission:

European Commission adopts new tools for safe exchanges of personal data

Today, the European Commission adopted two sets of standard contractual clauses, one for use between controllers and processors and one for the transfer of personal data to third countries. They reflect new requirements under the General Data Protection Regulation (GDPR) and take into account the Schrems II judgement of the Court of Justice, ensuring a high level of data protection for citizens. These new tools will offer more legal predictability to European businesses and help, in particular, SMEs to ensure compliance with requirements for safe data transfers, while allowing data to move freely across borders, without legal barriers.

The new standard contractual clauses take into account the joint opinion of the European Data Protection Board and the European Data Protection Supervisor, feedback from stakeholders during a broad public consultation and the opinion of Member States' representatives.

Vice-President for Values and Transparency, Vera Jourová said: “In Europe, we want to remain open and allow data to flow, provided that the protection flows with it. The modernised Standard Contractual Clauses will help to achieve this objective: they offer businesses a useful tool to ensure they comply with data protection laws, both for their activities within the EU and for international transfers. This is a needed solution in the interconnected digital world where transferring data takes a click or two.”

Commissioner for Justice, Didier Reynders, said: “In our modern digital world, it is important that data can be shared with the necessary protection - inside and outside the EU. With these reinforced clauses, we are giving more safety and legal certainty to companies for data transfers. After the Schrems II ruling, it was our duty and priority to come up with user-friendly tools, which companies can fully rely on. This package will significantly help companies to comply with the GDPR.”

Main Innovations

The standard contractual clauses published today reflect new requirements under the General Data Protection Regulation and address the realities faced by modern business. Thanks to their standardisation and pre-approval, the SCCs provide companies with an easy-to-implement template. Companies know that when they use this template they meet data protection requirements.

Main innovations of the new standard contractual clauses:

Update in line with the General Data Protection Regulation (GDPR);

One single entry-point covering a broad range of transfer scenarios, instead of separate sets of clauses;
More flexibility for complex processing chains, through a ‘modular approach' and by offering the possibility for more than two parties to join and use the clauses;
Practical toolbox to comply with the Schrems II judgment; i.e. an overview of the different steps companies have to take to comply with the Schrems II judgment as well as examples of possible ‘supplementary measures', such as encryption, that companies may take if necessary
For controllers and processors that are currently using previous sets of standard contractual clauses, a transition period of 18 months is provided.

These standard contractual clauses are adopted at a moment where a number of regional organisations and third countries are developing or have issued their own standard contractual clauses on the basis of converging principles. The Commission will intensify its cooperation with these international partners to further facilitate data transfers between different regions of the world.

Background

The General Data Protection Regulation (GDPR) entered into force on 24 May 2016 and became applicable on 25 May 2018. The standard contractual clauses are standardised and pre-approved model data protection clauses that can be incorporated into contractual arrangements on a voluntary basis, providing an easy-to-implement tool to comply with data protection requirements.

The Commission can adopt standard contractual clauses for the relationship between controllers and processors, as a tool to help to demonstrate compliance with the GDPR. In addition, the Commission can adopt standard contractual clauses providing data protection safeguards for data to be transferred internationally.

On July 16, 2020, the Court of Justice confirmed the validity of the EU Standard Contractual Clauses for the transfer of personal data to processors outside the EU/EEA ("SCCs"), while invalidating the EU–U.S. Privacy Shield. Thus, the Court has ruled that international data flows under the European Union's comprehensive data protection regime, the General Data Protection Regulation (GDPR), can continue to be based on EU Standard Contractual Clauses, while also further clarifying the conditions under which they can be used.


EU-Kommission veröffentlicht Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer - standard contractual clauses - scc

Die EU-Kommission hat einen Entwurf neuer Standardvertragsklauseln für den Transfer personenbezogener Daten in Drittländer veröffentlicht:

Entwurf - Standardvertragsklauseln - standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council

Entwurf - Dazugehörige Entscheidung der EU-Kommission