Als die Datenschutz-Grundverordnung in Kraft trat, gab es viele Diskussionen über das Potenzial für riesige Beträge in dreistelliger Millionen- oder sogar Milliardenhöhe.
In den vergangenen Jahren wurde jedoch kritisiert, dass die Aufsichtsbehörden bei der Durchsetzung der Vorschriften nicht streng genug vorgingen – insbesondere gegenüber den großen Technologieunternehmen, die die meisten personenbezogenen Daten abgreifen.
Jüngste Entscheidungen der EU-Datenschutzbehörden deuten jedoch darauf hin, dass die europäischen Vorschriften zum Datenschutz und zum Schutz der Privatsphäre endlich Wirkung zeigen könnten.
Die zehn höchsten Bußgelder im Zusammenhang mit der Datenschutz-Grundverordnung und der Datenschutzrichtlinie für elektronische Kommunikation wurden alle gegen die „Big 5“-Technologieunternehmen verhängt: Google, Microsoft, Amazon und Facebook. Auch Apple hat vor kurzem seine erste datenschutzrechtliche Strafe erhalten, die mit 8 Millionen Euro allerdings nicht unter den Top Ten zu finden ist.
Alle diese Geldbußen wurden von nur drei Datenschutzbehörden verhängt, und sie beziehen sich fast alle auf Probleme mit Cookies und Ad-Targeting.
Dies ist die Geschichte hinter diesen drei DPAs, ihre Beziehung zu US-Tech-Unternehmen und was der offensichtliche Anstieg der Durchsetzung für in Europa tätige Unternehmen bedeutet.
Bevor wir beginnen…
Bußgelder sind nicht das Wichtigste an der Datenschutz-Grundverordnung. Und natürlich gilt das Datenschutzrecht nicht nur für große Unternehmen.
Der beste Grund, sich für den Schutz der Privatsphäre und den Datenschutz einzusetzen, ist nicht die Vermeidung von Geldstrafen. Damit soll sichergestellt werden, dass Ihr Unternehmen Vertrauenswürdigkeit und Professionalität ausstrahlt und auf legale, nachhaltige Weise wachsen kann.
Die Geldbußen selbst sind nicht einmal der wichtigste Aspekt der im Folgenden untersuchten „Big-Tech“-Entscheidungen. Einige sind atemberaubend groß, aber im Vergleich zu einem Multimilliarden-Dollar-Unternehmen relativ unbedeutend.
Die begleitenden Anordnungen, die Unternehmen, die sich nicht an die Vorschriften halten, dazu zwingen Dinge anders zu machen und die persönlichen Daten der Menschen zu respektieren sind viel folgenreicher.
Die Untersuchung dieser aufsehenerregenden Strafen ist jedoch wichtig, da sie zeigt, wie die Regulierungsbehörden das Gesetz auslegen – und die Landschaft für Anbieter digitaler Dienste in ganz Europa verändern.
(Bitte gehen Sie davon aus, dass alle diese Entscheidungen entweder angefochten werden oder bereits angefochten worden sind.)
Frankreich: Internationaler Durchsetzer des Datenschutzes für elektronische Kommunikation
Die französische Datenschutzbehörde CNIL verhängte fünf der zehn höchsten Bußgelder im Zusammenhang mit dem Datenschutz. Hier ist die Liste, beginnend mit dem zehntgrößten Bußgeld aller Zeiten im Bereich Datenschutz und Privatsphäre:
- Google LLC: 50 Millionen Euro, 21. Januar 2019
- Google Irland: 60 Millionen Euro, 31. Dezember 2020
- Facebook: 60 Millionen Euro, 31. Dezember 2020
- Microsoft: 60 Mio. €, 19. Dezember 2022
- Google LLC: 90 Millionen Euro, 31. Dezember 2020
Das „One-Stop-Shop“-Verfahren der DSGVO bedeutet, dass grenzüberschreitende Fälle von der Datenschutzbehörde in dem EU-Land bearbeitet werden sollten, in dem der für die Verarbeitung Verantwortliche hauptsächlich ansässig ist (seine „Hauptniederlassung“).
Warum also geht Frankreich gegen Google, Facebook und Microsoft vor – Unternehmen, deren Hauptniederlassung sich in Irland befindet?
Nun, nur eine der großen Geldbußen Frankreichs (die kleinste, gegen Google im Januar 2019) wurde im Rahmen der Datenschutz-Grundverordnung tatsächlich vollstreckt.
Bei der Geldbuße vom Januar 2019 herrschte Unklarheit darüber, wo sich die Hauptniederlassung von Google befindet, so dass Frankreich die Vollstreckung des Urteils gestattet wurde. Die CNIL stellte fest, dass die Einwilligungsanfragen von Google für Android nicht den Standards der Datenschutz-Grundverordnung entsprachen.
Die übrigen oben genannten Geldbußen fielen unter Frankreichs Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation, Artikel 82 des Datenschutzgesetzes.
Hohe Geldstrafen, aktiver Durchsetzungsansatz
Cookies fallen größtenteils unter die Datenschutzrichtlinie für elektronische Kommunikation und nicht unter die Datenschutz-Grundverordnung (obwohl die Datenschutz-Grundverordnung erhebliche Auswirkungen auf die Art und Weise hat, wie die Zustimmung eingeholt wird und wie die über Cookies erhobenen personenbezogenen Daten verarbeitet werden).
Aber die Durchsetzungsmaßnahmen der CNIL im Rahmen der Datenschutzrichtlinie für elektronische Kommunikation sind anders als in jedem anderen EU-Mitgliedstaat.
Zum einen sind die Strafen viel höher als in den meisten anderen Ländern. Die Mitgliedstaaten können ihre eigenen Obergrenzen für Bußgelder aus der Datenschutzrichtlinie für elektronische Kommunikation festlegen, und Frankreichs Sanktionsregelung für elektronische Kommunikation ist an die Datenschutz-Grundverordnung (GDPR) gebunden (beachten Sie, dass auch das Vereinigte Königreich diesen Ansatz im Rahmen seiner Reformen zum Schutz der Privatsphäre).
Außerdem ist die CNIL sehr aktiv bei der Durchsetzung der Cookie-bezogenen Aspekte der Richtlinie. Zusätzlich zu den oben genannten Maßnahmen im Zusammenhang mit Cookies verhängte Frankreich im Dezember 2020 eine Geldstrafe in Höhe von 35 Millionen Euro gegen Amazon, weil das Unternehmen ohne Zustimmung nicht wesentliche Cookies gesetzt hatte.
Übrigens war es Amazons Berufung gegen diese Entscheidung aus dem Jahr 2020, die die französischen Gerichte dazu veranlasste bestätigt haben. dass der Ansatz der CNIL zur Durchsetzung des Datenschutzes für elektronische Kommunikation gültig und rechtmäßig ist.
Das Krümelmonster
Die größten französischen ePrivacy-Bußgelder, von denen drei in der Silvesternacht 2020 verhängt wurden, weisen alle ähnliche Themen auf.
In jedem Fall stellte die CNIL fest, dass der für die Verarbeitung Verantwortliche es versäumt hatte, eine gültige Einwilligung für Cookies einzuholen. Auch wenn die CNIL diesen Begriff nicht verwendet, handelt es sich bei all diesen Entscheidungen um „dunkle Muster“ – manipulative Designtechniken, die darauf abzielen, den Nutzer zu einem bestimmten Ergebnis zu bewegen.
Zum Beispiel in der jüngsten Klage gegen Microsoft stellte die CNIL fest, dass das Zustimmungsbanner des Unternehmens (in Bing) „die Nutzer tatsächlich davon abhält, Cookies abzulehnen, und sie dazu ermutigt, die Bequemlichkeit der Zustimmungstaste zu bevorzugen“.
Die Entscheidungen gegen Google (LLC und Irland) und Facebook enthalten alle ähnliche Bemerkungen.
Google, zum Beispiel, gescheitert keine „ebenso einfache Möglichkeit, Cookies abzulehnen, wie die bestehende Möglichkeit, sie zu akzeptieren“.
Unter Facebook „befindet sich am unteren Rand des zweiten Fensters eine Schaltfläche, die es dem Nutzer ermöglicht, Cookies abzulehnen [was] und [was] mit dem Titel ‚Cookies akzeptieren‘.“
Die CNIL hasst betrügerische Einwilligungsanträge ganz klar.
Irland: Der zurückhaltende Wildhüter
Die nächsten vier Bußgelder auf unserer Liste wurden alle von der irischen Datenschutzbehörde (DPC) verhängt.
Irland ist der europäische Sitz vieler „Big-Tech“-Firmen, so dass der DPC die wenig beneidenswerte Aufgabe hat, die datenhungrigsten Unternehmen der Welt zu regulieren. Und die Regulierungsbehörde wird regelmäßig dafür kritisiert, dass sie dies nicht ausreichend tut.
Allerdings wurden vier der fünf höchsten Bußgelder nach der DSGVO von der irischen Datenschutzbehörde verhängt:
- WhatsApp: 225 Millionen Euro, September 2021
- Meta (Facebook): 265 Mio. €, November 2022
- Meta (Facebook und Instagram: 390 Mio. €, Januar 2023
- Meta (Instagram): 405 Mio. €, September 2022
Dies sind für europäische Verhältnisse hohe Geldstrafen (Meta wurde in den USA sogar noch härter bestraft – sie zahlte 5 Milliarden Dollar mit der Federal Trade Commission im Jahr 2019).
Warum also wird die Datenschutzbehörde als „zögerlich“ bezeichnet, wenn es um die Durchsetzung gegenüber großen Technologieunternehmen geht?
Nun, diese Sanktionen sind nicht allein das Werk der DPC.
Die DPC gegenüber der EPDB
Alle „Big-Tech“-Geldbußen der Datenschutzbehörde bis auf eine – 265 Mio. € – wurden aufgehoben. Facebook vom November 2022 – hat der Europäische Datenschutzausschuss (EDSB) interveniert und die Datenschutzbehörde angewiesen, Teile der Entscheidungen neu zu fassen und die Höhe der Geldbußen anzuheben.
Die Geldstrafe vom November 2022 stand im Zusammenhang mit einer Datenschutzverletzung. Der Datenschutzbeauftragte wies Meta an, sein Konzept des „eingebauten und standardmäßigen Datenschutzes“ zu ändern, und der EDSB war mit der Entscheidung zufrieden.
Die drei anderen Entscheidungen betrafen die „Rechtsgrundlage für die Verarbeitung“ von Meta, und die Auswirkungen auf das Geschäftsmodell des Unternehmens waren potenziell viel gravierender.
Aus welchen Gründen auch immer, war die DPC weniger daran interessiert, Meta für diese Art von Verstößen zu bestrafen, und der EDPB zwang die Aufsichtsbehörde dazu.
Schauen wir uns die drei Fälle an, in denen der EDSB interveniert hat.
WhatsApp und Transparenz
Die früheste und kleinste der fünf höchsten Geldbußen der DPC wurde gegen WhatsApp im September 2021 (WhatsApp ist zwar immer noch ein Meta-Unternehmen, aber ein eigenständiger Datenverantwortlicher).
Die WhatsApp-Entscheidung war ein komplexer Fall, der sich aus umstrittenen Änderungen an den Datenschutzhinweisen von WhatsApp ergab. Eine wichtige Frage betraf die Auslegung des Konzepts der „berechtigten Interessen“ in der Datenschutz-Grundverordnung.
In der Datenschutzerklärung von WhatsApp heißt es im Wesentlichen, dass das Unternehmen verschiedene berechtigte Interessen an der Verarbeitung personenbezogener Daten zu unterschiedlichen Zwecken hat. WhatsApp hatte jedoch nicht eindeutig festgelegt, welche berechtigten Interessen für welchen Zweck gelten.
Der Datenschutzbeauftragte entschied zunächst, dass dies nach den Vorschriften der Datenschutz-Grundverordnung in Ordnung sei. Der EDSB war damit nicht einverstanden und erklärte, dass dieser Ansatz nicht transparent genug sei. Die Datenschutzbehörde musste ihre Entscheidung umschreiben – und auch die Geldbuße um mehr als das Vierfache erhöhen.
Instagram und die Daten von Kindern
Als Nächstes betrachten wir die Geldstrafe vom September 2022 gegen Meta via Instagram.
Mit 405 Millionen Euro ist dies die zweitgrößte GDPR-Strafe aller Zeiten. Dabei ging es unter anderem um Verstöße gegen den Schutz der Daten von Kindern, die Sicherheit und die Rechtsgrundlage für die Verarbeitung durch Meta.
Anlass für die Entscheidung war eine Datenschutzverletzung, bei der es um die Daten von Kindern ging.
Die Kinder stellten fest, dass sie ihre Privatkonten in Geschäftskonten umwandeln konnten. Diese Kinder haben zusätzliche Analysen zu ihren Instagram-Stories erhalten. Aber als geschäftliche Nutzer mussten sie auch ihre Kontaktdaten veröffentlichen – im Klartext im offenen Web.
Dieser Vorfall veranlasste Meta zu einer Untersuchung der rechtmäßigen Grundlage für die Veröffentlichung dieser Kontaktdaten. Meta beruft sich auf einen Vertrag, wenn das Kind alt genug ist, um einem Vertrag zuzustimmen, und auf „berechtigte Interessen“, wenn das Kind zu jung ist, um einen Vertrag abzuschließen.
Die DPC befand die Argumente von Meta zunächst für vernünftig. Auch hier griff der EDSB ein und zwang den Datenschutzbeauftragten, festzustellen, dass dies gegen die Bestimmungen der DSGVO zur „Rechtmäßigkeit der Verarbeitung“ verstößt (und wies den Datenschutzbeauftragten an, die Geldbuße zu erhöhen).
Metas Anzeigenmodell
Betrachten wir nun die jüngste Geldstrafe gegen Meta – Verstöße bei Facebook und Instagram im Januar 2023.
Die Entscheidungen bilden den Abschluss einer epischen Untersuchung vom Mai 2018, die für Meta und andere Online-Diensteanbieter von großer Bedeutung ist.
In dem Fall geht es darum, wie Meta sein System der verhaltensorientierten Werbung rechtfertigt.
Vor Inkrafttreten der Datenschutz-Grundverordnung stützte sich Meta (damals Facebook) auf die „Zustimmung“ zur Verarbeitung der personenbezogenen Daten seiner Nutzer für gezielte Werbezwecke. Die Nutzer mussten zustimmen, um ein Facebook- oder Instagram-Konto zu unterhalten.
Die DSGVO hat die EU-Definition der „Einwilligung“ in die Datenverarbeitung geändert und die Bedingungen für die Einwilligung verschärft.
Meta stellte fest, dass ihr Antrag auf Zustimmung nicht mehr zulässig war. Am Tag vor dem Inkrafttreten der Datenschutz-Grundverordnung änderte das Unternehmen seine Nutzungsbedingungen und zwang die Nutzer, gezielte Werbung „vertraglich“ zu akzeptieren (Berichten zufolge wurde diese Änderung auf Anraten der Datenschutzbehörde vorgenommen).
Nach einer Beschwerde über diese Änderung befand der DPC zunächst, dass die Berufung auf den „Vertrag“ gültig sei. Der EDPB war jedoch anderer Meinung, so dass sich der DPC erneut gezwungen sah, seine Entscheidung zu ändern und den „Vertrag“ als Rechtsgrundlage für das Ad-Targeting von Meta auszuschließen.
Wenn Meta gezwungen ist, die Zustimmung für gezielte Werbung einzuholen, wird das Unternehmen wahrscheinlich einen erheblichen Umsatzrückgang bei seinen Nutzern in der EU verzeichnen. Dies wäre ein weiterer Schlag für Meta nachApple zwingt Drittanbieter-Apps, ab 2021 die Zustimmung zum Tracking unter iOS einzuholen.
Die vollständigen Entscheidungen der DPC sind noch nicht veröffentlicht worden, aber Meta behauptet, dass die DPC das Unternehmen nicht ausdrücklich aufgefordert hat, zur „Zustimmung“ zurückzukehren. Das bedeutet, dass das Unternehmen zu „legitimen Interessen“ übergehen könnte – was immer noch bedeuten würde, dass Instagram und Facebook ein Opt-out anbieten müssten.
Es versteht sich von selbst, dass Meta gegen die Entscheidung Berufung eingelegt hat.
Luxemburg: Ein dunkles Pferd?
Und schließlich die größte GDPR-Strafe aller Zeiten – 746 Millionen Euro gegen Amazon, ausgestellt von… Luxemburg?!
Die Datenschutzbehörde dieses winzigen Binnenstaates, die CNPD, ist nicht für ihre rigorose Durchsetzung der Datenschutzgrundverordnung bekannt. Abgesehen von dieser (vergleichsweise) gigantischen Amazon-Geldbuße erreichen die Strafen der Aufsichtsbehörde selten sechsstellige Beträge.
Die Vorschriften des Großherzogtums zur Wahrung des Geschäftsgeheimnisses hindern die CNPD daran, viel über ihre Entscheidungen zur Datenschutz-Grundverordnung zu verraten. Die Welt erfuhr von der Geldbuße von Amazon nur, weil das Unternehmen sie in einer Erklärung Einreichung
bei der US-Wertpapier- und Börsenaufsichtsbehörde (SEC).
Aber die französische NRO La Quadrature du Net (LQDN)behauptet dass die Strafe auf eine Beschwerde vom Mai 2018 zurückgeht, die sie gemeinsam mit 10 000 betroffenen Personen in der EU eingereicht hat.
Die Beschwerde ist verfügbar (auf Französisch), aber wir wissen nicht, welche Verstöße der CNPD gegenüber Amazon festgestellt hat (und natürlich geht das Unternehmen in Berufung).
Aber wir wissen, worum es in der Beschwerde ging: um Cookies.
Wie bei praktisch allen der zehn höchsten Bußgelder im Bereich Datenschutz und Privatsphäre erfüllten Amazons Cookie-Banner anscheinend nicht die Zustimmungsanforderungen der DSGVO.
Eine Abrechnung für mangelhafte Transparenz und Zustimmungspraxis
Die Tendenz von Big Tech, Menschen auszutricksen, zu überreden oder anderweitig zu zwingen, gezielte Werbung zu akzeptieren, hat die „Big 5“ insgesamt Milliarden gekostet (Apples Die jüngste CNIL-Strafe in Höhe von 8 Mio. € von Apple war ebenfalls auf Cookies zurückzuführen).
Diese Tech-Giganten können sich die Strafen leisten. Doch das Beharren der EU auf einer ordnungsgemäßen Benachrichtigung und einer freiwilligen Zustimmung stellt ein weitaus größeres Problem für die Einnahmequellen der großen Technologieunternehmen dar.
Da die Folgen dieser Entscheidungen die Online-Landschaft zu verändern beginnen, dürften Unternehmen, die einen transparenten und fairen Ansatz zum Datenschutz verfolgen, im Vorteil sein.
Wenn Sie wissen möchten, wie Ihr Unternehmen im Vergleich zu den Branchen-Benchmarks beim Datenschutz abschneidet, testen Sie die Datenschutzpraktiken Ihres Unternehmens, HIER KLICKEN und erhalten Sie jetzt Ihre sofortige Datenschutzbewertung!
