Meta-Datenskandal: Gericht freidet Weg für 360–430 Mio. Euro Strafe

Der irische High Court hat den Versuch von Meta Platforms Ireland abgewiesen, eine milliardenschwere Geldstrafe der Datenschutzkommission (DPC) zu blockieren. Richterin Siobhán Phelan wies die Klage des Facebook-Konzerns zurück und machte damit den Weg frei für ein Bußgeld zwischen 360 und 430 Millionen Euro.

Der Fall Meta zeigt deutlich, wie drakonisch die Strafen bei DSGVO-Verstößen ausfallen können. Damit Ihr Unternehmen nicht durch vermeidbare Fehler ins Visier der Behörden gerät, bietet dieser kostenlose Leitfaden eine rechtssichere Schritt-für-Schritt-Anleitung. In 5 Schritten zur rechtssicheren DSGVO-Umsetzung

Streit um Meta-internes „Hive"-Datensystem

Im Zentrum des Rechtsstreits steht Metas internes Datenlager „Hive". Der Fall geht auf eine Beschwerde des Forschers Michael Veale vom 25. Mai 2018 zurück. Veale forderte Auskunft über seine in diesem System gespeicherten Daten – ein Recht, das die Datenschutz-Grundverordnung (DSGVO) jedem Bürger zusichert.

Meta hatte argumentiert, die Bereitstellung spezifischer Daten aus dem Hive-System sei mit unverhältnismäßigem Aufwand verbunden. Das Unternehmen lehnte entsprechende Anfragen daher pauschal ab. Das Gericht stellte nun klar: Die DPC darf auch auf Basis einzelner Beschwerden systemische Maßnahmen und Geldbußen verhängen – gestützt auf Artikel 83 der DSGVO.

Die Höhe der geplanten Strafe orientiert sich an der schieren Größe von Metas Geschäft. Allein im Europäischen Wirtschaftsraum verzeichnete der Konzern im August 2018 rund 235 Millionen aktive Nutzer monatlich. Das Urteil sendet ein klares Signal: Datenschutzverstöße werden nicht länger als Einzelfälle behandelt, sondern in ihrer systemischen Dimension betrachtet.

Neue Vorwürfe: KI-Training auf Kosten der Mitarbeiter

Während der Rechtsstreit um Hive läuft, sieht sich Meta mit weiteren Vorwürfen konfrontiert. Berichten zufolge setzt der Konzern ein internes Tool namens „Model Capability Initiative" (MCI) ein. Es zeichnet Mausbewegungen, Klicks und Navigationsmuster von US-Mitarbeitern auf – um damit KI-Agenten zu trainieren.

Das Problem: Obwohl das Tool offiziell nur auf den Geräten amerikanischer Angestellter läuft, bestätigen interne Dokumente, dass es auch Inhalte von E-Mails und Chats mit Kollegen außerhalb der USA erfasst. Genau das könnte gegen die DSGVO verstoßen.

Die Datenschutzorganisation NOYB hat bereits Alarm geschlagen. „Die Nutzung von Arbeitskommunikationsdaten für KI-Training ist mit europäischem Recht unvereinbar", sagt Kleanthi Sardeli, Datenschutzexpertin bei NOYB. Besonders das Prinzip der Zweckbindung – ein Kern der DSGVO – sei hier in Gefahr.

Meta hat die irische DPC zwar informiert, dass die Erfassung von EU-Mitarbeiterdaten nicht das Hauptziel des MCI-Tools sei. Doch interne Logs, die von Mitarbeitern analysiert wurden, zeigen ein anderes Bild: Das Tool hat offenbar tiefgehenden Zugriff auf Zwischenablage-Inhalte, besuchte URLs und Code-Änderungen in über 200 Anwendungen.

Besonders bei der Dokumentation von Datenverarbeitungen im Unternehmen lauern enorme rechtliche Risiken, die Bußgelder von bis zu 2 % des Jahresumsatzes nach sich ziehen können. Eine professionelle Excel-Vorlage hilft Ihnen dabei, Ihr Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zeitsparend und lückenlos zu erstellen. Kostenlose Muster-Vorlage für das Verarbeitungsverzeichnis herunterladen

Acht Jahre DSGVO: 7,1 Milliarden Euro Bußgelder – aber 40 Prozent angefochten

Der Fall Meta reiht sich ein in eine größere Entwicklung. Eine Analyse zum achten Jahrestag der DSGVO zeigt: Seit Mai 2018 wurden rund 7,1 Milliarden Euro an Bußgeldern verhängt. Doch die Zahl allein erzählt nicht die ganze Geschichte.

Rund 2,8 Milliarden Euro – etwa 40 Prozent der Gesamtsumme – wurden entweder aufgehoben oder werden derzeit vor Gericht angefochten. Erst im März 2026 kippten Gerichte eine 746-Millionen-Strafe gegen Amazon in Luxemburg und ein 15-Millionen-Bußgeld gegen OpenAI in Italien.

Noch in der Berufung befinden sich mehrere Großverfahren: eine 1,2-Milliarden-Strafe gegen Meta wegen transatlantischer Datentransfers, ein 530-Millionen-Bußgeld gegen TikTok aus dem April 2025 sowie zwei weitere Meta-Strafen von zusammen über 350 Millionen Euro.

Irland bleibt dabei der zentrale Schauplatz der DSGVO-Durchsetzung. Mit 4,04 Milliarden Euro entfallen 66 Prozent aller EU-weiten Bußgelder auf die irische DPC – kein Wunder, denn die europäischen Hauptsitze von Meta, Apple, Google und TikTok liegen alle in Dublin.

Doch der juristische Druck auf Meta wächst nicht nur in Europa. Ende Mai 2026 reichten die Kanzleien Humphries Kerstetter und Richardson Hartley Law eine milliardenschwere Sammelklage in Großbritannien ein. Der Vorwurf: Meta habe betrügerische Werbeanzeigen nicht verhindert, was zu erheblichen finanziellen Verlusten für Verbraucher geführt habe.

de | wissenschaft | 69459672 |