Die irische Aufsichtsbehörde (DPC) verhängte Anfang September eine Strafe von 405 Million Euro gegen Instagram (Meta Platforms Ireland Limited).

Für einige kam die Entscheidung über die Höhe der Strafe der DPC überraschend, da teilweise behauptet wird, die Aufsichtsbehörde gehe gegen Tech-Unternehmen, die ihren europäischen Hauptsitz in Irland haben, zu „lasch“ vor.

War diese Entscheidung über die Höhe des Bußgeldes tatsächlich eine rein irische Entscheidung?

Vermutlich nur bedingt.

Die endgültige Entscheidung der DPC folgte zwar auf eine Untersuchung, bei der es um die Veröffentlichung von E-Mail-Adressen und/oder Telefonnummern von Kindern ging, welche die Instagram-Funktion für Geschäftskonten nutzten (wir berichteten), jedoch wurde im Vorfeld zu dieser Entscheidung eine verbindliche Streitbeilegungsentscheidung nach Art. 65 Abs. 1 lit. a DSGVO durch den Europäische Datenschutzausschuss (EDSA) getroffen.

Was ist der EDSA?

Der EDSA ist eine unabhängige europäische Einrichtung mit dem Ziel, die einheitliche Anwendung der DSGVO sicherzustellen und die Zusammenarbeit zwischen den Datenschutzbehörden der EU zu fördern. So entscheidet bspw. der EDSA nach Art. 65 Abs. 1 lit. a DSGVO, wenn betroffene Aufsichtsbehörden begründeten Einspruch gegen den Beschluss einer federführenden Aufsichtsbehörde einreichen und die federführende Aufsichtsbehörde sich diesem nicht anschließt oder als nicht maßgeblich oder unbegründet ablehnt.

Und wie war der EDSA bei der Strafe gegen Instagram beteiligt?

Im Rahmen der Untersuchungen gegen Instagram aus dem Jahr 2020 war die DPC als federführende Aufsichtsbehörde zuständig, da der europäische Hauptsitz der Meta Tochter in Irland liegt. Nichtsdestotrotz waren bzw. konnten sich weitere europäische Aufsichtsbehörden an dem Verfahren beteiligen, da der Sachverhalt (u. a. Veröffentlichung von E-Mail-Adressen und/oder Telefonnummern von Kindern in Instagram) nicht räumlich auf Irland begrenzt war und somit auch weitere Aufsichtsbehörden betroffen waren.

Die DPC legte deshalb im Dezember 2021 den betroffenen Aufsichtsbehörden (u. a. auch deutschen Aufsichtsbehörden aus Hamburg, Bremen, Berlin und Nordrhein-Westfalen) ihren Entwurf zur Entscheidung gegen Instagram vor, woraufhin mehrere Aufsichtsbehörden unterschiedlicher europäischer Mitgliedsstaaten begründete Einwände geltend machten.

Die betroffenen Aufsichtsbehörden hatten u. a. Einwände gegen die Rechtsgrundlage der Verarbeitung sowie die Festsetzung der Geldbuße erhoben. Nachdem es zwischen der irischen Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden keinen Konsens zu den vorgebrachten Einwänden gab, wurde das Verfahren an den EDSA weitergeleitet, damit dieser eine verbindliche Klärung der Einwände geben konnte.

Der EDSA stellte dann in seiner Entscheidung am 28.07.2022 verbindlich fest, dass es für die irische Aufsichtsbehörde keine Gründe für die Schlussfolgerung gab, dass die fragliche Verarbeitung der E-Mail-Adressen und/oder Telefonnummern von Kindern für die Erfüllung eines Vertrags im Rahmen der Nutzung von Instagram erforderlich war. Folglich konnte sich Instagram nicht auf Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage für deren Verarbeitung berufen.

Zudem konnte auch ein berechtigtes Interesse von Instagram als alternative Rechtsgrundlage für die Verarbeitung der E-Mail-Adressen und/oder Telefonnummern von Kindern nicht herangezogen werden, da die Verarbeitung entweder nicht erforderlich war oder, falls sie als erforderlich angesehen werden sollte, die bei der Bestimmung des berechtigten Interesses erforderliche Abwägung nicht für Instagram ausgefallen wäre.

Der EDSA kam daher zu dem Schluss, dass Instagram die personenbezogenen Daten von Kindern ohne Rechtsgrundlage unrechtmäßig verarbeitete und wies die DPC an, ihren Entscheidungsentwurf zu ändern, um den Verstoß gegen Art. 6 Abs. 1 DSGVO festzustellen.

Des Weiteren wies der EDSA die DPC an, ihr geplantes Bußgeld gemäß Art. 83 Abs. 1 und 83 Abs. 2 DSGVO zu überprüfen, um:

  • eine wirksame, verhältnismäßige und abschreckende Geldbuße für den zusätzlichen Verstoß zu verhängen, wobei die Art und Schwere des Verstoßes sowie die Zahl der betroffenen Personen zu berücksichtigen sind und
  • sicherzustellen ist, dass die endgültigen Beträge der Geldbußen wirksam, verhältnismäßig und abschreckend sind.

Die DPC erlies dann, nachdem der EDSA seine bindende Entscheidung mitgeteilt hatte, das Bußgeld in Höhe von 405 Millionen Euro gegenüber Instagram.

Anhand der eben dargestellten Vorgeschichte wird deutlich, dass vermutlich die von der irischen Aufsichtsbehörde ausgesprochene Strafe gegenüber Instagram nur bedingt eine tatsächlich „irische“ Entscheidung war …

Es bleibt abzuwarten, ob bei zukünftigen Verfahren ähnliche Entscheidungen des EDSA notwendig sind.

Die vollständige Entscheidung des EDSA ist hier abrufbar.

Interessant ist die Entscheidung des EDSA vor allem, da inhaltlich das erste Mal auf die Rechtmäßigkeit der Verarbeitung nach Art. 6 DSGVO, insbesondere „Vertragserfüllung“ nach Art. 6 Abs. 1 lit. b DSGVO und „berechtigtes Interesse“ nach Art. 6 Abs. 1 lit. f DSGVO eingegangen wird.

Über den weiteren Verlauf des Verfahrens informieren wir Sie in unserem Blog.