1,2 Milliarden Euro. Das ist die Summe, die die irische Datenschutzbehörde (DPC) im Mai 2023 gegen Meta Platforms Ireland verhängte — das höchste DSGVO-Bußgeld, das je ausgesprochen wurde. Der Vorwurf: unzulässige Übermittlung personenbezogener Daten von EU-Nutzern in die USA.

Auf den ersten Blick ein Konzern-Thema, weit weg von einem österreichischen KMU. Tatsächlich aber ist die rechtliche Logik exakt dieselbe — und KMU mit US-Cloud-Diensten haben formal dasselbe Compliance-Risiko, nur in kleinerem Maßstab. Drei Lehren aus dem Meta-Fall, die jeder Geschäftsführer kennen sollte.

Der Fall in einem Satz: Meta hat über Jahre Daten europäischer Facebook-Nutzer in die USA übertragen, obwohl der Europäische Gerichtshof bereits 2020 im "Schrems II"-Urteil festgestellt hatte, dass das US-Datenschutzniveau dem europäischen Standard nicht entspricht.

Was Meta zum Stolpern gebracht hat

Im Kern ging es um Standardvertragsklauseln (SCCs) — ein von der EU-Kommission bereitgestelltes Vertragswerk, das die Übermittlung personenbezogener Daten in Drittländer rechtlich absichern soll. Meta stützte sich darauf. Die irische DPC entschied jedoch: SCCs allein reichen nicht aus, wenn das Empfängerland — wie die USA — Behörden umfangreichen Zugriff auf Daten erlaubt, ohne dass Betroffene effektiven Rechtsschutz hätten.

Anders gesagt: Wer SCCs einsetzt, muss zusätzlich prüfen und nachweisen, dass im konkreten Fall tatsächlich ein angemessenes Schutzniveau gewährleistet ist. Genau diese Prüfung — das sogenannte Transfer Impact Assessment — hatte Meta nicht ausreichend dokumentiert.

Lehre 01 · Schrems II

"Schrems II" ist kein abstraktes Urteil — es betrifft jeden Cloud-Nutzer

Microsoft 365, Google Workspace, Mailchimp, HubSpot, Dropbox, Zoom: Nahezu jeder österreichische Betrieb nutzt heute mindestens einen US-Cloud-Dienst. Damit findet eine Übermittlung personenbezogener Daten in ein Drittland statt — auch wenn der Anbieter ein EU-Rechenzentrum verspricht. Entscheidend ist, wer rechtlich Zugriff hat, nicht wo die Daten physisch liegen.

Das Meta-Verfahren zeigt: Aufsichtsbehörden interpretieren "Schrems II" konsequent und sanktionieren Verstöße. Die Annahme, "uns wird das schon nicht treffen", trägt nicht mehr — die österreichische Datenschutzbehörde hat 2024 mehrere KMU-Verfahren wegen US-Datentransfers eröffnet.

Alle Dienste auflisten, die personenbezogene Daten in die USA oder andere Drittländer übertragen
Je Anbieter prüfen: EU-US Data Privacy Framework zertifiziert? (seit Juli 2023 verfügbar)
Rechtsgrundlage je Dienst im Verarbeitungsverzeichnis dokumentieren

Lehre 02 · SCCs

Standardvertragsklauseln allein reichen nicht aus

Viele KMU verlassen sich darauf, dass ihre Cloud-Anbieter SCCs anbieten — und denken, damit sei alles erledigt. Genau dieser Fehler kostete Meta 1,2 Milliarden. SCCs sind die Grundlage, nicht die Lösung. Sie funktionieren nur, wenn das Empfängerland kein Recht hat, sie auszuhebeln.

Bei US-Anbietern bedeutet das: Sie müssen zusätzliche Schutzmaßnahmen (Supplementary Measures) bewerten — etwa Verschlüsselung, Pseudonymisierung oder Vertragsklauseln, die den Datenzugriff durch US-Behörden begrenzen. Ohne diese Bewertung ist die Übermittlung formal unzulässig.

Lehre 03 · TIA

Transfer Impact Assessment ist Pflicht — und muss dokumentiert sein

Das Transfer Impact Assessment (TIA) ist die schriftliche Begründung, warum Sie eine konkrete Datenübermittlung in ein Drittland für rechtlich vertretbar halten. Es bewertet das Empfängerland, den Empfänger, die Art der Daten, die Zugriffsmöglichkeiten von Behörden und die ergriffenen Schutzmaßnahmen.

Im Bußgeldverfahren prüft die Aufsichtsbehörde nicht nur, ob Sie übertragen — sondern warum Sie das für zulässig hielten. Ohne TIA fehlt die Begründung. Mit TIA haben Sie die Argumentation auf Ihrer Seite.

Was das für KMU konkret bedeutet

Die Größenordnungen sind andere — der Pflichtenkanon ist identisch. Während Meta 1,2 Milliarden zahlt, kostet ein vergleichbarer Verstoß bei einem mittelständischen Betrieb realistisch zwischen 50.000 und mehreren hunderttausend Euro. Genug, um Existenzen zu erschüttern.

Die DSGVO unterscheidet im Pflichtenkatalog nicht zwischen Konzern und Tischlerei. Was für Meta gilt, gilt formal auch für ein KMU mit zwölf Mitarbeitern. Beobachtung aus der Beratungspraxis

Häufiger Irrtum: "Wir nutzen die EU-Region des US-Anbieters, also passiert nichts." Falsch. Sobald der Anbieter ein US-Mutterkonzern ist, fällt er unter den US Cloud Act — und damit greift potenziell US-Behördenzugriff, unabhängig vom Server-Standort.

Drei Sofortmaßnahmen für Ihren Betrieb

Erstens: Cloud-Inventur. Listen Sie alle externen Tools auf, in denen Kunden-, Mitarbeiter- oder Bewerberdaten landen. Zweitens: Anbieter-Status prüfen. Ist der Anbieter unter dem EU-US Data Privacy Framework zertifiziert? Wenn ja, ist die Übermittlung in der Regel zulässig — wenn nein, brauchen Sie SCCs plus dokumentiertes TIA. Drittens: Verarbeitungsverzeichnis aktualisieren. Drittlandtransfers gehören dort gesondert ausgewiesen.

Ein kostenloses Erstgespräch klärt in 30 Minuten, wo Ihr Betrieb steht und was die nächsten Schritte sind.

DSGVO Bußgeldfall Schrems II US-Cloud Datentransfer SCCs Meta