Loading
loading..

Facebook – Cambridge Analytica Skandal: Strafe von £ 500.000 verhängt

Die britische Datenschutzbehörde ICO kündigte am 11.Juli 2018 an, dass gegen Facebook eine Geldstrafe in Höhe von £ 500.000 (umgerechnet ca. € 565.000) verhängt werden soll. Dies erfolgt im Rahmen des Verfahrens gegen Facebook anlässlich der Weitergabe von Nutzerdaten an die Datenanalysefirma Cambridge Analytica.

In den Medien – insbesondere in User-Kommentaren – findet sich in diesem Zusammenhang allerdings vielfach die Meldung, dass die Strafe zu niedrig sei und die DSGVO doch weitaus höhere Strafen verlangen würde. Angesichts dessen scheint es sinnvoll hier kurz auf das Thema DSGVO und Rückwirkung einzugehen. Vorab scheint aber sinnvoll zu erörtern was für eine Strafe die bei Anwendbarkeit der DSGVO verhängt werden könnte:

Würde man den hier vorliegenden Sachverhalt nach der DSGVO beurteilen, so wäre die britische Datenschutzbehörde berechtigt bis zu 4% des weltweiten Vorjahresumsatzes von Facebook zu verhängen, da in ein Drittland übermittelt wurde. Ausgehend von ca. € 34,47 Mrd Jahresumsatz (Quelle: https://www.statista.com/statistics/277229/facebooks-annual-revenue-and-net-income/) wäre daher eine (Höchst-)Strafe von ca. € 1,3 Mrd (!) möglich.

Dass trotz geltender DSGVO gegen Facebook nur eine Strafe von £ 500.000 verhängt werden soll, ist im Wesentlichen darauf zurückzuführen, dass sich diese Ereignisse vor dem Inkrafttreten der DSGVO ereignet haben und (härtere) Strafbestimmungen nicht rückwirkend angewendet werden dürfen. Zulässig wäre eine solche Rückwirkung nur dann, wenn die neue Rechtslage günstiger wäre als die alte. Angesichts dessen, dass der Data Protection Act 1998 eine Höchststrafe von £ 500,000 vorsieht, braucht man hier nicht lange diskutieren. Das Vorgehen der britischen Datenschutzbehörde ist insofern völlig korrekt.

Gleiches gilt übrigens auch hierzulande. § 69 Absatz 5 des hiesigen Datenschutzgesetzes sieht explizit vor, dass Datenschutzverletzungen, welche vor dem 25. Mai verwirklicht wurden, regelmäßig nach der alten Rechtslage zu beurteilen sind. Das gilt aber nur wenn diese Datenschutzverletzung abgeschlossen ist. Für alle anderen Datenschutzverletzungen kommt das DSG 2018 bzw. die DSGVO und deren Strafrahmen zur Anwendung.