Brüssel, 15. September – Im Anschluss an den verbindlichen Streitbeilegungsbeschluss des EDSA vom 28. Juli hat die irische Datenschutzbehörde (Data Protection Authority, DPA) einen Beschluss in Bezug auf Instagram (Meta Platforms Ireland Limited, Meta IE) erlassen und nach Maßgabe der DSGVO eine Rekordstrafe in Höhe von 405 Mio. EUR verhängt.
Die endgültige Entscheidung der federführenden Aufsichtsbehörde erging im Anschluss an eine von Amts wegen durchgeführte Untersuchung über die von Instagram praktizierte Offenlegung der E-Mail-Adressen und/oder Telefonnummern von Kindern, welche die Funktion Instagram Business-Konto nutzen, und über die Tatsache, dass während des Untersuchungszeitraums die persönlichen Konten von Kindern auf Instagram laut der Voreinstellung standardmäßig öffentlich waren. Diese Praxis wurde infolge der Untersuchung der federführenden Aufsichtsbehörde inzwischen eingestellt. Dazu sagte die EDSA-Vorsitzende Andrea Jelinek: „Dies ist eine historische Entscheidung, und zwar nicht nur wegen der Höhe der Geldbuße (die zweithöchste seit der Anwendbarkeit der DSGVO), sondern auch weil es sich um die erste EU-weite Entscheidung über die Datenschutzrechte von Kindern handelt. Mit diesem verbindlichen Beschluss macht der EDSA besonders deutlich, dass Unternehmen, die sich an Kinder wenden, besondere Vorsicht walten lassen müssen. Kinder verdienen einen besonderen Schutz ihrer personenbezogenen Daten.“
Der verbindliche Beschluss des EDSA wurde auf der Grundlage von Artikel 65 DSGVO erlassen, nachdem die irische Datenschutzbehörde in ihrer Funktion als federführende Aufsichtsbehörde das Streitbeilegungsverfahren bezüglich der von mehreren betroffenen Aufsichtsbehörden erhobenen Einsprüche eingeleitet hatte. Die betroffenen Aufsichtsbehörden hatten unter anderem Einsprüche hinsichtlich der Rechtsgrundlage für die Verarbeitung und die Festsetzung der Geldbuße geltend gemacht. Die irische Datenschutzbehörde (Data Protection Commission, DPC) nahm nach Abschluss des Streitbeilegungsverfahrens entsprechende Änderungen an ihrem Beschlussentwurf vor.
Dies ist der erste verbindliche Beschluss des EDSA, der sich mit einem Grundpfeiler des EU-Datenschutzrechts befasst, nämlich mit der Rechtmäßigkeit der Verarbeitung nach Artikel 6 DSGVO. Darin nimmt der EDSA insbesondere weitere Klarstellungen zur Anwendbarkeit der Aspekte „Vertragserfüllung“ und „berechtigtes Interesse“ als Rechtsgrundlagen vor.
Meta IE stützte die Veröffentlichung von E-Mail-Adressen und/oder Telefonnummern von Kindern, welche die Funktion Instagram Business-Konto nutzen, alternativ auf diese beiden Rechtsgrundlagen. Der EDSA stellte diesbezüglich fest, dass es für die federführende Aufsichtsbehörde keinen Grund zu der Annahme gab, dass die betreffende Verarbeitung für die Erfüllung eines Vertrags erforderlich war. Folglich konnte sich Meta IE nicht auf Artikel 6 Absatz 1 Buchstabe b DSGVO als Rechtsgrundlage für diese Verarbeitung stützen.
In Bezug auf das berechtigte Interesse als alternative Rechtsgrundlage für die Verarbeitung stellte der EDSA fest, dass die Veröffentlichung der E-Mail-Adressen und/oder Telefonnummern von Kindern die Anforderungen nach Artikel 6 Absatz 1 Buchstabe f DSGVO nicht erfüllte, da die Verarbeitung entweder nicht notwendig war oder, falls sie für notwendig erachtet worden wäre, die für die Feststellung des Vorliegens eines berechtigten Interesses erforderliche Abwägungsprüfung nicht bestanden hätte.
Der EDSA kam daher zu dem Schluss, dass Meta IE die personenbezogenen Daten von Kindern ohne Rechtsgrundlage unrechtmäßig verarbeitete, und wies die federführende Aufsichtsbehörde an, ihren Beschlussentwurf zu ändern, d.h. darin einen Verstoß gegen Artikel 6 Absatz 1 DSGVO festzustellen.
Schließlich wies der EDSA die federführende Aufsichtsbehörde an, ihre geplante Geldbuße gemäß Artikel 83 Absatz 1 und Artikel 83 Absatz 2 DSGVO zu überprüfen und
- eine wirksame, verhältnismäßige und abschreckende Geldbuße für den zusätzlichen Verstoß unter Berücksichtigung der Art und Schwere des Verstoßes sowie der Zahl der betroffenen Personen zu verhängen sowie
- sicherzustellen, dass die endgültigen Beträge der Geldbußen wirksam, verhältnismäßig und abschreckend sind.
Dieser Beschluss greift etwaigen Bewertungen nicht vor, die der EDSA in anderen Fällen, auch mit denselben Parteien, vorzunehmen hat.
Die endgültige Entscheidung der irischen Datenschutzbehörde ist im Register der Entscheidungen von Aufsichtsbehörden und Gerichten zu im Rahmen des Kohärenzverfahrens behandelten Fragen abrufbar.
Bezüglich weiterer Informationen über das Verfahren nach Artikel 65 DSGVO siehe die häufig gestellten Fragen (FAQ) zu Artikel 65 DSGVO.
EDPB_Press Release_statement_2022_08
The news published here does not constitute official EDPB communication, nor an EDPB endorsement. This news item was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. Any questions regarding this news item should be directed to the supervisory authority concerned.