Metas juristische Zangenbewegung: Milliardenrisiken in Europa und Nigeria

Der Facebook-Konzern Meta steht vor einer beispiellosen Welle rechtlicher Auseinandersetzungen – von Nigeria über Österreich bis Deutschland. Die globale Regulierungswelle erreicht einen neuen Höhepunkt.

Die aktuelle Klagewelle gegen Meta verdeutlicht, wie schnell Datenschutzverstöße zu existenziellen Risiken und hohen Bußgeldern führen können. Mit diesem kostenlosen Leitfaden setzen Sie die DSGVO in nur 5 Schritten rechtssicher um und schützen Ihr Unternehmen effektiv vor Abmahnungen. In 5 Schritten DSGVO-konform: So haken Sie alle Pflichten schnell und einfach ab

Nigerianischer Vergleich: Weniger Geldstrafe, mehr Auflagen

Die nigerianische Datenschutzbehörde NDPC bestätigte am Montag eine Einigung mit Meta. Die ursprünglich verhängte Geldstrafe in Höhe von 32,8 Millionen Euro wurde reduziert. Der Fall geht auf eine 17-monatige Untersuchung zurück, die 2025 begann und den mutmaßlichen Missbrauch von Daten über 60 Millionen nigerianischer Bürger betraf.

Der vor einem Bundesgericht in Abuja bereits im Oktober 2025 besiegelte Vergleich sieht vor: Meta zahlt einen Teil der Strafe, der rest fließt in verpflichtende Compliance-Maßnahmen. Die NDPC betont, der Fokus liege nun auf systemischen Reformen statt auf rein finanziellen Sanktionen.

Kritik kommt von lokalen Anwaltsverbänden. Sie bemängeln mangelnde Transparenz über die genauen Bedingungen des Deals. Dennoch bleibt die Untersuchung einer der größten Datenschutzfälle auf dem afrikanischen Kontinent – ein Zeichen, dass auch nicht-westliche Regulierungsbehörden zunehmend Druck auf globale Tech-Konzerne ausüben.

Österreich und Deutschland: Gerichte öffnen die Schleusen

In Europa verschärft sich Metas Lage gleich an zwei Fronten. Das Handelsgericht Wien erklärte sich Ende April für zuständig in einer Sammelklage gegen Metas „Business Tools“-Tracking. Der Konzern hatte vergeblich argumentiert, der Fall gehöre vor ein irisches Gericht – schließlich sitzt die europäische Zentrale in Dublin.

Die Klage, finanziert von einem professionellen Prozessfinanzierer, umfasst rund 50.000 Kläger in Österreich. Parallel dazu läuft ein Verfahren in Deutschland mit über 300.000 Teilnehmern. Juristen schätzen mögliche Entschädigungen pro Person auf 900 bis 4.000 Euro – falls die Gerichte die Tracking-Praktiken als datenschutzwidrig einstufen.

Parallel verhandelt Meta mit dem Verbraucherzentrale Bundesverband (vzbv) über einen Vergleich. Es geht um einen massiven Datenleck aus den Jahren 2018 und 2019, von dem weltweit rund 533 Millionen Nutzer betroffen waren – darunter 6 Millionen in Deutschland. Der Bundesgerichtshof hatte im November 2024 geurteilt, dass bereits der bloße Kontrollverlust über persönliche Daten einen Anspruch auf Schadensersatz begründen kann. Der vzbv fordert bis zu 600 Euro pro betroffener Person. In früheren Verfahren hatten einzelne Kläger sogar bis zu 5.000 Euro erstritten.

EU AI Act: Strenge Regeln ab August 2026

Der regulatorische Druck wird weiter steigen: Am 2. August 2026 tritt der EU AI Act vollständig in Kraft. Das Gesetz stellt strenge Anforderungen an sogenannte „Hochrisiko-KI-Systeme“ – darunter Algorithmen für Personalmanagement und soziale Medien. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden.

Ein Versuch der EU-Gesetzgeber, die Hochrisiko-Regeln zu verschieben, scheiterte Ende April. Die EU-Kommission drängt nun auf eine finale Ausgestaltung, damit die Industrie bis zum Sommer bereit ist.

Nicht nur der Datenschutz, auch die neue EU-KI-Verordnung stellt Unternehmen ab sofort vor komplexe Dokumentationspflichten und hohe Haftungsrisiken. Dieser kostenlose Umsetzungsleitfaden bietet Ihrer IT- und Rechtsabteilung den notwendigen Überblick über Fristen, Risikoklassen und Compliance-Vorgaben. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt

Schon am Montag kündigten die EU-Kommission und der Europäische Datenschutzausschuss (EDPB) gemeinsame Leitlinien an. Sie sollen das Zusammenspiel von Wettbewerbsrecht und Datenschutz klären – ein direkter Angriff auf das Geschäftsmodell dominanter Plattformen, die ihre Marktmacht aus Nutzerdaten schöpfen.

Rekordstrafen und Kinderschutz als Priorität

Wie hoch die finanziellen Risiken für Plattformbetreiber sind, zeigen jüngste Maßnahmen der britischen Datenschutzbehörde ICO. Im Frühjahr 2026 verhängte sie eine Strafe von 14,47 Millionen Pfund gegen eine Social-Media-Plattform – wegen unzureichendem Schutz Minderjähriger.

In den USA hat sich die Lage ebenfalls dramatisch zugespitzt. Marktforscher von Gartner berichteten am Montag, dass US-Bundesstaaten 2025 Datenschutzstrafen in Höhe von 3,45 Milliarden Dollar verhängten – mehr als in den fünf Jahren zuvor zusammen. Treiber ist die „Consortium of Privacy Regulators“, ein Zusammenschluss von zehn Bundesstaaten, der Ermittlungen zu automatisierten Entscheidungen und Künstlicher Intelligenz koordiniert. Dieses Modell dürfte die Zahl und Schwere der Strafen bis 2028 weiter beschleunigen.

Hintergrund: Paradigmenwechsel bei der Regulierung

Die aktuelle Welle von Klagen und Regulierungen markiert einen fundamentalen Wandel. Im Herbst 2025 schlug die EU-Kommission ein „Digital Omnibus“-Reformpaket vor, das die Landschaft weiter verändern könnte. Es sieht unter anderem vor, vom Cookie-Opt-in zum Opt-out-Modell zu wechseln und die Meldefrist für Datenlecks von 72 auf 96 Stunden zu verlängern.

Für die großen Plattformen werden die Kosten der Nichteinhaltung nicht mehr nur in einmaligen Strafen gemessen, sondern in dauerhaften operativen Einschränkungen. Der Europäische Gerichtshof entschied im März 2026, dass Unternehmen zwar „missbräuchliche“ Datenzugriffsanfragen ablehnen können – Schadensersatzansprüche nach der DSGVO aber immer dann durchsetzbar sind, wenn ein „konkreter Schaden“ nachgewiesen werden kann. Diese Rechtsprechung bildet die Grundlage für die massiven Sammelklagen in Österreich und Deutschland.

Ausblick: Zeitdruck bis August

Bis zum Inkrafttreten des EU AI Act im August bleibt Meta und anderen Datenverarbeitern ein schmales Zeitfenster, um ihre internen Prozesse an die neuen Hochrisiko-Standards anzupassen. In den USA signalisieren Gesetzesinitiativen wie der GUARD Act und der SECURE Data Act, die Ende April im Repräsentantenhaus eingebracht wurden, einen Vorstoß für einen nationalen Datenschutzstandard – der das derzeitige Flickwerk aus Einzelstaatsgesetzen ersetzen könnte.

Doch der unmittelbare Fokus liegt auf den laufenden Verfahren. Der Ausgang der Vergleichsgespräche mit dem vzbv und der Rechtsstreit in Wien werden Maßstäbe setzen: Wie werden europäische Bürger für historische Datenpannen entschädigt? Mit über 350.000 Klägern allein in zwei EU-Ländern könnte die finanzielle Wucht dieser Sammelklagen die milliardenschweren US-Strafen durchaus erreichen.

de | wirtschaft | 69259683 |