Ein Überblick über die zuletzt verhängten DSGVO-Strafen in der EU

Ein Überblick über die zuletzt verhängten DSGVO-Strafen in der EU

Einleitung

Immer wieder liest man, dass in Frage gestellt wird, inwieweit man sich eigentlich den Aufwand zur Implementierung der Anforderungen der DSGVO antun sollte. Doch ist es angebracht, sich in Gelassenheit und Sicherheit zu wiegen? Dies vor allem in Anbetracht des immer wachsenden Bewusstseins und der Aufmerksamkeit der breiten Bevölkerung und der damit einhergehenden Motivation, sich an die europäischen Datenschutzbehörden und einschlägigen Organisationen (allen voran noyb) mit Verdachtsfällen zu wenden.

Man sollte sich in diesem Sinne vor Augen führen, dass die DSGVO EUR 10 Mio. oder 2 Prozent des weltweiten Vorjahresumsatzes und in schwerwiegenden Fällen sogar EUR 20 Mio. oder 4 Prozent des weltweiten Vorjahresumsatzes als Strafmaß für Datenschutzverletzungen vorsieht. Wir möchten in diesem Blogbeitrag anhand von interessanten Entscheidungen unseren Beitrag zur „GDPR Awareness“ leisten.


Österreich

EUR 2 Mio. gegen den „jö Bonus Club“ verhängt

Die 100-prozentige REWE Österreich Tochter Unser Ö-Bonus Club GmbH (im Folgenden „jö Bonus Club“), die den jö Bonus Club betreibt, wurde von der österreichischen Datenschutzbehörde am 26.07.2021 mit einer Strafe von EUR 2 Mio. belegt. Hintergrund ist die Registrierung von 2,3 Mio. Nutzern zum genannten Prämienprogramm im Zeitraum zwischen Mai 2019 und Februar 2020. Im Zuge der Registrierung sei die Einwilligung zum Profiling (automatisierte Verarbeitung personenbezogener Daten) der betroffenen Nutzer nicht DSGVO-konform erfolgt. Konkret beanstandet die Datenschutzbehörde die Formatierung auf der Website des jö Bonus Club sowie auf Anmeldeformularen. Eine Einwilligung zum Profiling soll nicht immer eindeutig ersichtlich gewesen sein. Das habe der jö Bonus Club auch eingesehen und geändert – die Daten von 2,3 Mio. Personen seien aber weiterverwendet worden.

Grundsätzlich ist Profiling per se nicht unzulässig, der Betroffene muss jedoch dazu seine Einwilligung (u.a. freiwillig, bestimmt, informiert, und unmissverständlich) erteilen.

Das Profiling des Jö Bonus Club funktioniert folgendermaßen: Alle Nutzungsdaten zum Einkaufsverhalten des jeweiligen Nutzers werden gebündelt und es wird auf Basis der Daten ein Profil des Nutzers erstellt. Das Profil dient dazu, den Kunden in Kategorien einzustufen, wie etwa „Bio- oder Diskontaffinität“. Jemand der gern Bio kauft, würde daraufhin von sämtlichen am Prämienprogramm teilnehmenden Händlern entsprechende Angebote per Post, Newsletter oder in der jö Bonus Club-App bekommen. Neben den REWE-Konzerntöchtern (wie etwa Billa, Penny und Bipa) nehmen u.a. die BAWAG PSK, die Allianz, Mjam, Pearle, Pagro und die OMV am Prämienprogramm teil.

Laut Vertretern des jö Bonus Club konnten die Nutzer das Profiling auch im von der Datenschutzbehörde beanstandeten Zeitraum ablehnen. Bemängelt wurde seitens jö Bonus Club auch, dass die Strafe auf Grundlage des Konzernumsatzes der Muttergesellschaft REWE International Dienstleistungsgesellschaft mbH berechnet wurde. Es wurde daher eine Bescheidbeschwerde an das Bundesverwaltungsgericht erhoben (zumindest wurde eine solche angekündigt).


Niederlande

EUR 525.000,00 gegen die Plattform Locate Family verhängt

An sich ist der Zweck der kanadischen Onlineplattform Locate Family ein recht löblicher und anständiger, zumal sie dazu beiträgt, den verlorenen Kontakt zwischen Familienmitgliedern und anderen Bekannten wiederherzustellen.

Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens hat jedoch auf zahlreiche Beschwerden hin, die Praktiken der Onlineplattform untersucht und am 12.05.2021 festgestellt, dass Locate Family weltweit Kontaktinformationen (Adressen, teilweise Telefonnummern) ohne Wissen und ohne Zustimmung der jeweiligen Personen sammelt und für jeden, der über einen Account auf der Plattform verfügt, zugänglich macht. Allein in den Niederlanden sind davon 700.000 Personen betroffen.

Die Onlineplattform verfügte über keinen EU-Vertreter und steht daher nach Ansicht der niederländischen Datenschutzbehörde kein einfacher Mechanismus zur Durchsetzung von Betroffenenrechten (insbesondere die Daten effektiv löschen zu lassen) zur Verfügung. Unternehmen ohne Sitz in der EU, die in der EU Waren oder Dienstleistungen anbieten, sind nämlich gemäß Art. 27 iVm Art. 3 Abs. 2 DSGVO verpflichtet einen EU-Vertreter (mit Sitz in der EU) namhaft zu machen.

Betrachtet man den vermeintlich geringen Verstoß, den Locate Family zu vertreten hat (die fehlende Benennung eines EU-Vertreters), ist das Unternehmen mit einer doch empfindlichen Strafe belegt worden.

Erwähnens- und in der Praxis begrüßenswert ist in diesem Zusammenhang auch die Bußgeldordnung der niederländischen Datenschutzbehörde (stcrt-2019-14586_0.pdf (autoriteitpersoonsgegevens.nl).

EUR 750.000,00 über TikTok verhängt

Die niederländische Datenschutzbehörde hat am 22.07.2021 eine EUR Strafe in Höhe von 750.000,00 über die mittlerweile wohl weltweit am häufigsten heruntergeladene Social-Media-Plattform TikTok verhängt.

Dies mit der Begründung, dass die den niederländischen Nutzern (in großer Anzahl Kinder) zur Verfügung gestellte Datenschutzerklärung nur auf Englisch abgefasst wurde und somit nicht leicht verständlich ist. Dadurch hat TikTok es verabsäumt, seine User über die Sammlung, Verarbeitung und Nutzung von Daten rechtmäßig aufzuklären. Dies stellt einen Verstoß gegen einen wesentlichen datenschutzrechtlichen Grundsatz, nämlich das Transparenzgebot, dar.

Dazu kommt, dass Kinder naturgemäß sich der Konsequenzen ihres Handelns weniger bewusst sind und somit die Bedeutung und Reichweite der Weitergabe persönlicher Daten in sozialen Medien nicht verstehen. Aus diesem Grund werden Kinder datenschutzrechtlich stärker geschützt.

Die niederländische Datenschutzbehörde konnte den Sachverhalt deshalb untersuchen, da TikTok bis dato seinen Hauptsitz in der Volksrepublik China hatte. Für Unternehmen, die keinen Hauptsitz in der EU haben, kann sich nämlich jeder EU-Mitgliedstaat für zuständig erklären. Da TikTok mittlerweile seinen Hauptsitz nach Irland verlegt hat, ist die irische Datenschutzbehörde für zukünftige (weitergehende) Untersuchungen zuständig.  

Nachdem im Oktober 2020 die niederländische Datenschutzbehörde dem Unternehmen den Untersuchungsbericht vorlegte, hat TikTok zahlreiche Änderungen vorgenommen, um ihre App sicherer für Kinder unter 16 Jahren zu gestalten. Ein ungelöstes Problem bleibt jedoch, dass Kinder im Zuge der Erstellung eines Accounts weiterhin angeben können, älter zu sein und sich dadurch selbst einem größeren Risiko aussetzen.

Seit der Änderung besteht für Eltern die Möglichkeit, die Privatsphäre-Einstellungen der Accounts ihrer Kinder über ihr eigenes Konto und die Funktion family pairing zu verwalten.

Gegen die Geldstrafe selbst hat TikTok ein Rechtsmittel erhoben.


Luxemburg

Rekordstrafe für Amazon in Höhe von EUR 746 Mio.

Die luxemburgische Datenschutzbehörde (Commission nationale pour la protection des données, kurz „CNPD“) hat am 16.07.2021 die bislang höchste jemals verhängte DSGVO-Strafe gegenüber Amazon S.à.r.l ausgesprochen. Initiiert wurde die Strafe aufgrund von Beschwerden der französischen Bürgerrechtsorganisation La Quadrature du Net, die sich für die Verteidigung von fundamentalen Freiheiten in der digitalen Welt einsetzt. Nähere Details der Strafentscheidung sind bislang nicht bekannt. In der Pressemitteilung der CNPD heißt es, dass das luxemburgische Datenschutzgesetz es verbietet bis zur Rechtskraft der Entscheidung „individuelle Fälle detailliert zu kommentieren“. Laut Amazons Quartalsbericht der US-Börsenaufsicht (United States Securities and Exchange Commission) wurde die Strafe deshalb verhängt, weil Amazons Datenverarbeitung nicht im Einklang mit der DSGVO steht. Amazon erachtet die Strafe als unbegründet und kündigte bereits an, sich dagegen energisch (vigorously) zu verteidigen.


Irland

EUR 225 Mio. über WhatsApp verhängt

Die irische Datenschutzbehörde (Data Protection Commission, kurz „DPC“) hat am 02.09.2021 über den Messenger Dienst WhatsApp eine Strafe in Höhe von EUR 225 Mio. verhängt.

Im Wesentlichen bemängelte die DPC, dass (i) WhatsApp personenbezogene Daten nicht rechtmäßig, nach Treu und Glauben und auf transparente Weise verarbeitet hat, (ii) die Nutzer nicht in knapper, transparenter, verständlicher Form unter Verwendung einer klaren und einfachen Sprache informiert hat, und (iii) es verabsäumte einer betroffenen Person die erforderlichen Informationen über die von ihr erhobenen personenbezogenen Daten zur Verfügung zu stellen. Auch hat WhatsApp Personen nicht darüber aufgeklärt, dass personenbezogene Daten von dritter Seite (Facebook) erhoben worden sind.

Erwähnenswert ist auch der Verfahrensablauf: Im Dezember 2018 wurde mit den Ermittlungen begonnen, woraufhin die DPC als federführende Datenschutzbehörde im Dezember 2020 einen Entscheidungsentwurf an alle betroffenen EU-Datenschutzbehörden (darunter auch Deutschland) gemäß Art 60 DSGVO übermittelte. Da es von den anderen Datenschutzbehörden eine Reihe von Einwänden gab (allen voran bezogen auf die mit zunächst EUR 30 – 50 Mio. festgesetzte Geldstrafe), leitete die DPC am 03.06.2021 ein sogenanntes Streitbeilegungsverfahren gemäß Art 65 DSGVO ein. Am 28.7.2021 hat der Europäische Datenschutzausschuss (EDSA) eine rechtsverbindliche Entscheidung getroffen, welche eine eindeutige Anweisung an die DPC enthielt, die von ihr vorgeschlagene Strafe erneut zu bewerten und aufgrund einer Reihe von Faktoren zu erhöhen.

Zusätzlich zur verhängten Strafe muss WhatsApp nunmehr innerhalb von drei Monaten seine Datenverarbeitungsvorgänge in Einklang mit den einschlägigen Vorschriften der DSGVO bringen.


DISCLAIMER

Dieser Blog stellt lediglich eine allgemeine Information und keine rechtsanwaltliche Beratung dar. Schindler Rechtsanwälte GmbH übernimmt keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität des Blogs. Der Blog kann eine individuelle Rechtsberatung nicht ersetzen.

Dr. Philipp Spring