430 Millionen Euro: Metas Klage gegen DPC scheitert

Eine einzelne Beschwerde aus dem Jahr 2018. Sieben Jahre Rechtsstreit. Und nun ein 98-seitiges Urteil, das ein Bußgeld von bis zu 430 Millionen Euro für Meta greifbar werden lässt.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Meta hatte versucht, die irische Datenschutzaufsicht DPC vor dem High Court in Dublin auf Kompetenzüberschreitung zu verklagen. Richterin Siobhán Phelan ließ dieses Argument nicht gelten und wies alle Klagepunkte in einer 98-seitigen Entscheidung ab. Das Bußgeldverfahren kann damit weitergehen.

Das Wichtigste in Kürze

• Die DPC bereitete im Oktober 2025 einen Bußgeldentwurf von 360 bis 430 Millionen Euro sowie eine systemweite Compliance-Anordnung für Meta vor.
• Auslöser war eine Facebook-Nutzerbeschwerde aus dem Jahr 2018 über fehlenden Datenzugang zu Metas digitalem Lager „Hive“.
• Meta argumentierte, die DPC habe ihre Befugnisse überschritten, indem sie aus der Einzelbeschwerde eine systemweite Untersuchung machte.
• Der High Court entschied: Die DSGVO ermächtigt Aufsichtsbehörden auch in beschwerdebasierten Verfahren zu systemweiten Korrekturmaßnahmen.

Wie wurde aus einer Beschwerde ein 430-Millionen-Fall?

Im Juli 2018 reichte ein Facebook-Nutzer Beschwerde bei der DPC ein. Meta hatte ihm Online-Tools angeboten, um seine gespeicherten Daten herunterzuladen. Der Nutzer bestand jedoch darauf: In Metas digitalem Datenlager „Hive“ lagen weitere personenbezogene Daten, auf die ihm die DSGVO-Artikel 12, 15 und 20 ein Zugriffsrecht geben.

Die DPC leitete eine Untersuchung ein und gelangte zu einer systemischen Einschätzung: Das Problem betreffe nicht nur diesen Nutzer, sondern Millionen Facebook-Nutzer. Im Oktober 2025 legte die Behörde einen Bußgeldentwurf vor, der zwischen 360 und 430 Millionen Euro liegt, ergänzt durch eine Compliance-Anordnung für Metas gesamte Datenzugangspraxis. Diese Entwicklung zeigt, wie die konsequente Durchsetzung der DSGVO auch Jahre nach Inkrafttreten an Schärfe gewinnt.

Was hat der High Court konkret entschieden?

Meta klagte gegen den Bußgeldentwurf und argumentierte, die DPC dürfe systemweite Maßnahmen nur in eigeninitiativ gestarteten Verfahren anordnen, nicht in einem beschwerdebasierten. Das irische Datenschutzgesetz 2018 sowie die DSGVO selbst würden eine strikte Trennung zwischen beiden Verfahrensarten verlangen.

Richterin Phelan ließ das nicht gelten. Die DSGVO begründe ein breites Durchsetzungssystem, das Aufsichtsbehörden in beiden Verfahrensarten gleichermaßen ermächtige, systemweite Korrekturen anzuordnen. Dieser Grundsatz gelte unabhängig davon, ob eine Untersuchung durch eine Beschwerde angestoßen oder von Amts wegen eingeleitet wurde. Eine Einzelbeschwerde wandle sich durch einen solchen Schritt nicht in ein eigeninitiiertes Verfahren um, sondern spiegele die übergreifende Pflicht der DPC zur effektiven DSGVO-Durchsetzung wider.

Was bedeutet das Urteil jetzt für Meta?

Das Urteil schließt Metas Angriff auf das Verfahren selbst ab. Die endgültigen gerichtlichen Anordnungen sollen in einem gesonderten Schritt folgen. Das eigentliche DPC-Bußgeld ist dabei noch nicht rechtskräftig: Meta kann den Bußgeldbescheid der Behörde weiterhin im regulären Einspruchsverfahren anfechten.

Für Unternehmen im DACH-Raum unterstreicht das Urteil, dass europäische Datenschutzbehörden strukturelle Verstöße auch dann verfolgen, wenn diese erstmals über eine Einzelbeschwerde sichtbar werden. Wer die wachsende Regulierungsschicht für digitale Dienste im Blick behalten will, findet beim BSI-Cybermonitor 2026 einen belastbaren Ausgangspunkt. Parallel läuft die CRA-Meldepflicht, die ab September 2026 weitere Compliance-Anforderungen für digitale Produkte in Kraft setzt.

Mehr Newshunger?

• BSI Cybermonitor 2026: Wie groß ist das Risiko?
• KI-Phishing 2026: Wie schützen Sie Ihr Unternehmen?
• CRA-Meldepflicht: Was kommt am 11.9.2026?

Mehr #Meta News
Mehr zu DSGVO-Durchsetzung

Quelle: Irish Times, 21. Mai 2026