Facebook’s moederbedrijf Meta heeft een boete van ruim 1,2 miljard euro gekregen van de Europese Unie omdat het al jarenlang onrechtmatig data van Europese gebruikers door servers in de Verenigde Staten laat gaan. Dat meldt de Ierse privacywaakhond maandag, die in deze zaak namens de EU optreedt. Omdat de EU en de VS verschillende privacywetgeving hebben, riskeerde het moederbedrijf van ook Instagram en WhatsApp daarmee dat Amerikaanse inlichtingendiensten toegang tot die data hadden.

De recordboete is niet de enige maatregel die de Ierse Commissie voor Databescherming (DPC) Meta oplegt. Ook moet het techbedrijf binnen vijf maanden stoppen Europese persoonsgegevens naar servers in de VS te sturen, en de data die nog overzee is opgeslagen, in Europa onderbrengen. Vorig jaar dreigde Meta nog dat het in het scenario dat nu is uitgekomen, uit Europa zou vertrekken. Dat gaat niet gebeuren, verzekerde het bedrijf direct na bekendmaking van de boete.

Meta heeft al wel laten weten tegen de boete in beroep te gaan. Het bedrag overtreft met grote afstand het vorige record van een Europese privacywaakhond uit 2021. Toen kreeg internetgigant Amazon een boete van 746 miljoen euro, eveneens onder de Algemene Verordening Gegevensbescherming (AVG). Daarin staan de Europese privacyregels beschreven, die Amazon met advertentiepraktijken had overtreden.

Edward Snowden

Het geschil over de dataopslag van Meta begon tien jaar geleden, toen het bedrijf nog Facebook heette. De Oostenrijkse privacy-activist Max Schrems nam in dat jaar kennis van de onthullingen van Edward Snowden over spionage door de Amerikaanse inlichtingendiensten. Hij redeneerde dat het onverantwoord was om data van Europeanen in de VS op te slaan, binnen handbereik van dergelijke staatsactoren. In een verklaring zegt Schrems „blij” te zijn, maar hij vindt ook dat de boete „veel hoger” had kunnen zijn.

Meta waande zich jarenlang tegen Europese straffen beschermd, ware het niet dat de Europese rechter twee dataverdragen tussen de Europese Commissie en de VS naar de prullenbak verwees. In 2015 kwam een einde aan het ‘Safe Harbor’-verdrag, in 2020 ging een streep door ‘EU-US Privacy Shield’. De EU en de VS verwachten dat een nieuw verdrag, waarover de partijen vorig jaar een akkoord sloten, aankomende juli gereed is. In dat geval hoeft Meta dus niet meer de datastroom naar de VS stop te zetten.

Correctie: In een eerdere versie van dit artikel stond dat de vorige recordboete van de Europese Unie 746 miljard euro betrof. Dat moest 746 miljoen euro zijn. Hierboven is dat aangepast.