Europese recordboete privacyschending Facebook: 1,2 miljard euro

De Ierse privacywaakhond legt Facebook-moeder Meta een boete op van 1,2 miljard euro voor de illegale overdracht van persoonsgegevens naar Amerikaanse servers van honderden miljoenen Europeanen.

Naast de geldboete wordt Meta ook verplicht om binnen vijf maanden te stoppen met de overdracht van persoonsgegevens naar servers in de VS. Binnen zes maanden moeten het stoppen met de verwerking van die data.

Dat maakte de toezichthouder in Dublin zojuist bekend. Vorige maand kreeg het hiertoe een bindend Europees advies.

Het is de hoogste boete die in Europa ooit is opgelegd voor schending van privacyrichtlijn GDPR, in Nederland bekend als AVG. De boete had hoger kunnen uitpakken, want privacyschending op deze schaal mag bestraft worden met een maximum geldboete van vier procent van de jaaromzet. Bij Facebook zou dat 4,3 miljard euro betekenen, maar dat werd 28 procent daarvan. Dat is aan de onderkant van de marge die de Europese toezichthouder EDPB aanraadde. Het Brusselse advies was: ergens tussen de twintig en honderd procent, als duidelijk signaal naar andere marktpartijen die in hetzelfde schuitje zitten.

Inhoudelijk gezien gaat de zaak om het volgende. Het Europese Hof bepaalde in 2020 dat de profielensite geen persoonsgegevens van Europese gebruikers naar de VS mag sturen.

De uitspraak beschermt de persoonsgegevens van Europese burgers tegen Amerikaanse overheids- en inlichtingendiensten. Die moeten niet zomaar heimelijk op de servers van partijen als Google, Facebook en Microsoft kunnen snuffelen in persoonlijke data van burgers. De Amerikaanse wet staat hen dat nu wel toe via de Cloud Act.

Facebook gebruikt daarom nu zogeheten ‘standard contract clauses’ als juridische omweg om toch met persoonlijke gegevens zijn reclamebedrijf te kunnen laten draaien. De Oostenrijkse toezichthouder veegde die constructie echter onlangs nog van tafel. De Ierse toezichthouder deelt dit inzicht en daarom gaat het automatisch voor heel Europa gelden. Facebooks hoofdzetel in Europa bevindt zich in Ierland. Daarom wordt de Ierse toezichthouder aangesproken op het handhaven van de Europese regels.

Meta zegt in een eerste reactie: ‘Deze beslissing is niet juist en schept een gevaarlijk precedent voor talloze bedrijven die persoonsgegevens uit Europa naar de VS vervoeren’. Enkele van dat soort partijen zijn bijvoorbeeld Amazon, Google en Microsoft. Er zijn overigens regels voor correcte dataoverdracht en verwerking maar Meta houdt zich daar niet aan.

Burgerrechtenorganisatue noyb verwelkomt het besluit en verwacht dat CEO Zuckerberg hoger beroep zal aantekenen. De kans van slagen, stelt privacyvoorvechter Max Schrems, is klein omdat vergelijkbare hogerberoepzaken in Dublin werden afgewezen.

Aan de basis van de twist ligt het verschil in opvatting over bescherming van privacy tussen de EU en VS. Belangenorganisatie International Association of Privacy Professionals (IAPP) dringt aan op een snelle politieke oplossing. Europese instanties hebben zich tot op heden uitgesproken in het voordeel van de burger. Leden van de IAPP zijn partijen als Microsoft, Google, Meta, Deloitte, KPMG en Intel. Zij zoeken perspectief, maar ondervinden een impasse.

Update 22-05-2023 15:14:
Beleggers lijken niet echt onder de indruk. Het aandeel Meta staat in de handel voorbeurs nog geen procent lager.

Sandra Molenaar, directeur Consumentenbond, reageert in een persverklaring: “Na de klinkende overwinning in onze eigen rechtszaak tegen Facebook is dit opnieuw een belangrijke slag voor consumenten. Het is ook een belangrijke steun in de rug voor consumenten die meedoen aan onze claim tegen Facebook. Hun zaak staat hiermee een stuk sterker. Langzaam maar zeker sluit het net zich rond Facebook.”