![\"\"](\"https:\/\/www.ubiscore.com\/wp-content\/uploads\/2023\/01\/A-History-in-Ten-Fines-1024x538.png\")
<\/p>\n<\/p>\n
Als die Datenschutz-Grundverordnung in Kraft trat, gab es viele Diskussionen \u00fcber das Potenzial f\u00fcr riesige Betr\u00e4ge in dreistelliger Millionen- oder sogar Milliardenh\u00f6he.<\/span><\/span><\/p>\n In den vergangenen Jahren wurde jedoch kritisiert, dass die Aufsichtsbeh\u00f6rden bei der Durchsetzung der Vorschriften nicht streng genug vorgingen – insbesondere gegen\u00fcber den gro\u00dfen Technologieunternehmen, die die meisten personenbezogenen Daten abgreifen.<\/span><\/p>\n J\u00fcngste Entscheidungen der EU-Datenschutzbeh\u00f6rden deuten jedoch darauf hin, dass die europ\u00e4ischen Vorschriften zum Datenschutz und zum Schutz der Privatsph\u00e4re endlich Wirkung zeigen k\u00f6nnten.<\/span><\/p>\n Die zehn h\u00f6chsten Bu\u00dfgelder im Zusammenhang mit der Datenschutz-Grundverordnung und der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation wurden alle gegen die „Big 5“-Technologieunternehmen verh\u00e4ngt: Google, Microsoft, Amazon und Facebook. Auch Apple hat vor kurzem seine erste datenschutzrechtliche Strafe erhalten, die mit 8 Millionen Euro allerdings nicht unter den Top Ten zu finden ist.<\/span><\/p>\n Alle diese Geldbu\u00dfen wurden von nur drei Datenschutzbeh\u00f6rden verh\u00e4ngt, und sie beziehen sich fast alle auf Probleme mit Cookies und Ad-Targeting. <\/span><\/p>\n Dies ist die Geschichte hinter diesen drei DPAs, ihre Beziehung zu US-Tech-Unternehmen und was der offensichtliche Anstieg der Durchsetzung f\u00fcr in Europa t\u00e4tige Unternehmen bedeutet. <\/span><\/p>\n Bu\u00dfgelder sind nicht das Wichtigste an der Datenschutz-Grundverordnung. Und nat\u00fcrlich gilt das Datenschutzrecht nicht nur f\u00fcr gro\u00dfe Unternehmen.<\/span><\/p>\n Der beste Grund, sich f\u00fcr den Schutz der Privatsph\u00e4re und den Datenschutz einzusetzen, ist nicht die Vermeidung von Geldstrafen. Damit soll sichergestellt werden, dass Ihr Unternehmen Vertrauensw\u00fcrdigkeit und Professionalit\u00e4t ausstrahlt und auf legale, nachhaltige Weise wachsen kann.<\/span><\/p>\n Die Geldbu\u00dfen selbst sind nicht einmal der wichtigste Aspekt der im Folgenden untersuchten „Big-Tech“-Entscheidungen. Einige sind atemberaubend gro\u00df, aber im Vergleich zu einem Multimilliarden-Dollar-Unternehmen relativ unbedeutend.<\/span><\/p>\n Die begleitenden Anordnungen, die Unternehmen, die sich nicht an die Vorschriften halten, dazu zwingen <\/span>Dinge anders zu machen <\/span><\/i>und <\/span>die pers\u00f6nlichen Daten der Menschen zu respektieren <\/span><\/i>sind viel folgenreicher.<\/span><\/p>\n Die Untersuchung dieser aufsehenerregenden Strafen ist jedoch wichtig, da sie zeigt, wie die Regulierungsbeh\u00f6rden das Gesetz auslegen – und die Landschaft f\u00fcr Anbieter digitaler Dienste in ganz Europa ver\u00e4ndern.<\/span><\/p>\n (<\/span>Bitte gehen Sie davon aus, dass alle diese Entscheidungen entweder angefochten werden oder bereits angefochten worden sind.<\/span><\/i>)<\/span><\/p>\n Die franz\u00f6sische Datenschutzbeh\u00f6rde CNIL verh\u00e4ngte f\u00fcnf der zehn h\u00f6chsten Bu\u00dfgelder im Zusammenhang mit dem Datenschutz. Hier ist die Liste, beginnend mit dem zehntgr\u00f6\u00dften Bu\u00dfgeld aller Zeiten im Bereich Datenschutz und Privatsph\u00e4re:<\/span><\/p>\n <\/p>\n Das „One-Stop-Shop“-Verfahren der DSGVO bedeutet, dass grenz\u00fcberschreitende F\u00e4lle von der Datenschutzbeh\u00f6rde in dem EU-Land bearbeitet werden sollten, in dem der f\u00fcr die Verarbeitung Verantwortliche haupts\u00e4chlich ans\u00e4ssig ist (seine „Hauptniederlassung“). <\/span><\/p>\n Warum also geht Frankreich gegen Google, Facebook und Microsoft vor – Unternehmen, deren Hauptniederlassung sich in Irland befindet?<\/span><\/p>\n Nun, nur eine der gro\u00dfen Geldbu\u00dfen Frankreichs (die kleinste, gegen<\/span> Google <\/span><\/a>im Januar 2019) wurde im Rahmen der Datenschutz-Grundverordnung tats\u00e4chlich vollstreckt.<\/span><\/p>\n Bei der Geldbu\u00dfe vom Januar 2019 herrschte Unklarheit dar\u00fcber, wo sich die Hauptniederlassung von Google befindet, so dass Frankreich die Vollstreckung des Urteils gestattet wurde. Die CNIL stellte fest, dass die Einwilligungsanfragen von Google f\u00fcr Android nicht den Standards der Datenschutz-Grundverordnung entsprachen.<\/span><\/p>\n Die \u00fcbrigen oben genannten Geldbu\u00dfen fielen unter Frankreichs Umsetzung der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation, Artikel 82 des Datenschutzgesetzes.<\/span><\/p>\n Cookies fallen gr\u00f6\u00dftenteils unter die Datenschutzrichtlinie f\u00fcr elektronische Kommunikation und nicht unter die Datenschutz-Grundverordnung (obwohl die Datenschutz-Grundverordnung erhebliche Auswirkungen auf die Art und Weise hat, wie die Zustimmung eingeholt wird und wie die \u00fcber Cookies erhobenen personenbezogenen Daten verarbeitet werden). <\/span><\/p>\n Aber die Durchsetzungsma\u00dfnahmen der CNIL im Rahmen der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation sind anders als in jedem anderen EU-Mitgliedstaat.<\/span><\/p>\n Zum einen sind die Strafen viel h\u00f6her als in den meisten anderen L\u00e4ndern. Die Mitgliedstaaten k\u00f6nnen ihre eigenen Obergrenzen f\u00fcr Bu\u00dfgelder aus der Datenschutzrichtlinie f\u00fcr elektronische Kommunikation festlegen, und Frankreichs Sanktionsregelung f\u00fcr elektronische Kommunikation ist an die Datenschutz-Grundverordnung (GDPR) gebunden (beachten Sie, dass auch das Vereinigte K\u00f6nigreich diesen Ansatz im Rahmen seiner<\/span> Reformen zum Schutz der Privatsph\u00e4re<\/span><\/a>).<\/span><\/p>\n Au\u00dferdem ist die CNIL sehr aktiv bei der Durchsetzung der Cookie-bezogenen Aspekte der Richtlinie. Zus\u00e4tzlich zu den oben genannten Ma\u00dfnahmen im Zusammenhang mit Cookies verh\u00e4ngte Frankreich im Dezember 2020 eine Geldstrafe in H\u00f6he von 35 Millionen Euro gegen Amazon, weil das Unternehmen ohne Zustimmung nicht wesentliche Cookies gesetzt hatte.<\/span><\/p>\n \u00dcbrigens war es Amazons Berufung gegen diese Entscheidung aus dem Jahr 2020, die die franz\u00f6sischen Gerichte dazu veranlasste<\/span> best\u00e4tigt haben. <\/span><\/a>dass der Ansatz der CNIL zur Durchsetzung des Datenschutzes f\u00fcr elektronische Kommunikation g\u00fcltig und rechtm\u00e4\u00dfig ist.<\/span><\/p>\n Die gr\u00f6\u00dften franz\u00f6sischen ePrivacy-Bu\u00dfgelder, von denen drei in der Silvesternacht 2020 verh\u00e4ngt wurden, weisen alle \u00e4hnliche Themen auf.<\/span><\/p>\n In jedem Fall stellte die CNIL fest, dass der f\u00fcr die Verarbeitung Verantwortliche es vers\u00e4umt hatte, eine g\u00fcltige Einwilligung f\u00fcr Cookies einzuholen. Auch wenn die CNIL diesen Begriff nicht verwendet, handelt es sich bei all diesen Entscheidungen um „dunkle Muster“ – manipulative Designtechniken, die darauf abzielen, den Nutzer zu einem bestimmten Ergebnis zu bewegen.<\/span><\/p>\n Zum Beispiel in der<\/span> j\u00fcngsten Klage <\/span><\/a>gegen Microsoft stellte die CNIL fest, dass das Zustimmungsbanner des Unternehmens (in Bing) „die Nutzer tats\u00e4chlich davon abh\u00e4lt, Cookies abzulehnen, und sie dazu ermutigt, die Bequemlichkeit der Zustimmungstaste zu bevorzugen“.<\/span><\/p>\n Die Entscheidungen gegen Google (LLC und Irland) und Facebook enthalten alle \u00e4hnliche Bemerkungen. <\/span><\/p>\n Google, zum Beispiel, <\/span>gescheitert <\/span><\/a>keine „ebenso einfache M\u00f6glichkeit, Cookies abzulehnen, wie die bestehende M\u00f6glichkeit, sie zu akzeptieren“.<\/span><\/p>\n Unter<\/span> Facebook <\/span><\/a>„befindet sich am unteren Rand des zweiten Fensters eine Schaltfl\u00e4che, die es dem Nutzer erm\u00f6glicht, Cookies abzulehnen [was] und [was] mit dem Titel ‚Cookies akzeptieren‘.“<\/span><\/p>\n Die CNIL hasst betr\u00fcgerische Einwilligungsantr\u00e4ge ganz klar.<\/span><\/p>\n Die n\u00e4chsten vier Bu\u00dfgelder auf unserer Liste wurden alle von der irischen Datenschutzbeh\u00f6rde (DPC) verh\u00e4ngt. <\/span><\/p>\n Irland ist der europ\u00e4ische Sitz vieler „Big-Tech“-Firmen, so dass der DPC die wenig beneidenswerte Aufgabe hat, die datenhungrigsten Unternehmen der Welt zu regulieren. Und die Regulierungsbeh\u00f6rde wird regelm\u00e4\u00dfig daf\u00fcr kritisiert, dass sie dies nicht ausreichend tut.<\/span><\/p>\n Allerdings wurden vier der f\u00fcnf h\u00f6chsten Bu\u00dfgelder nach der DSGVO von der irischen Datenschutzbeh\u00f6rde verh\u00e4ngt:<\/span><\/p>\n <\/p>\n Dies sind f\u00fcr europ\u00e4ische Verh\u00e4ltnisse hohe Geldstrafen (Meta wurde in den USA sogar noch h\u00e4rter bestraft – sie<\/span> zahlte 5 Milliarden Dollar <\/span><\/a>mit der Federal Trade Commission im Jahr 2019).<\/span><\/p>\n Warum also wird die Datenschutzbeh\u00f6rde als „z\u00f6gerlich“ bezeichnet, wenn es um die Durchsetzung gegen\u00fcber gro\u00dfen Technologieunternehmen geht?<\/span><\/p>\n Nun, diese Sanktionen sind nicht allein das Werk der DPC. <\/span><\/p>\n Alle „Big-Tech“-Geldbu\u00dfen der Datenschutzbeh\u00f6rde bis auf eine – 265 Mio. \u20ac – wurden aufgehoben. <\/span>Facebook <\/span><\/a>vom November 2022 – hat der Europ\u00e4ische Datenschutzausschuss (EDSB) interveniert und die Datenschutzbeh\u00f6rde angewiesen, Teile der Entscheidungen neu zu fassen und die H\u00f6he der Geldbu\u00dfen anzuheben.<\/span><\/p>\n Die Geldstrafe vom November 2022 stand im Zusammenhang mit einer Datenschutzverletzung. Der Datenschutzbeauftragte wies Meta an, sein Konzept des „eingebauten und standardm\u00e4\u00dfigen Datenschutzes“ zu \u00e4ndern, und der EDSB war mit der Entscheidung zufrieden.<\/span><\/p>\n Die drei anderen Entscheidungen betrafen die „Rechtsgrundlage f\u00fcr die Verarbeitung“ von Meta, und die Auswirkungen auf das Gesch\u00e4ftsmodell des Unternehmens waren potenziell viel gravierender. <\/span><\/p>\n Aus welchen Gr\u00fcnden auch immer, war die DPC weniger daran interessiert, Meta f\u00fcr diese Art von Verst\u00f6\u00dfen zu bestrafen, und der EDPB zwang die Aufsichtsbeh\u00f6rde dazu.<\/span><\/p>\n Schauen wir uns die drei F\u00e4lle an, in denen der EDSB interveniert hat.<\/span><\/p>\n Die fr\u00fcheste und kleinste der f\u00fcnf h\u00f6chsten Geldbu\u00dfen der DPC wurde gegen <\/span>WhatsApp <\/span><\/a>im September 2021 (WhatsApp ist zwar immer noch ein Meta-Unternehmen, aber ein eigenst\u00e4ndiger Datenverantwortlicher).<\/span><\/p>\n Die WhatsApp-Entscheidung war ein komplexer Fall, der sich aus umstrittenen \u00c4nderungen an den Datenschutzhinweisen von WhatsApp ergab. Eine wichtige Frage betraf die Auslegung des Konzepts der „berechtigten Interessen“ in der Datenschutz-Grundverordnung.<\/span><\/p>\n In der Datenschutzerkl\u00e4rung von WhatsApp hei\u00dft es im Wesentlichen, dass das Unternehmen verschiedene berechtigte Interessen an der Verarbeitung personenbezogener Daten zu unterschiedlichen Zwecken hat. WhatsApp hatte jedoch nicht eindeutig festgelegt, welche berechtigten Interessen f\u00fcr welchen Zweck gelten.<\/span><\/p>\n Der Datenschutzbeauftragte entschied zun\u00e4chst, dass dies nach den Vorschriften der Datenschutz-Grundverordnung in Ordnung sei. Der EDSB war damit nicht einverstanden und erkl\u00e4rte, dass dieser Ansatz nicht transparent genug sei. Die Datenschutzbeh\u00f6rde musste ihre Entscheidung umschreiben – und auch die Geldbu\u00dfe um mehr als das Vierfache erh\u00f6hen.<\/span><\/p>\n Als N\u00e4chstes betrachten wir die Geldstrafe vom September 2022 gegen Meta via<\/span> Instagram<\/span><\/a>.<\/span><\/p>\n Mit 405 Millionen Euro ist dies die zweitgr\u00f6\u00dfte GDPR-Strafe aller Zeiten. Dabei ging es unter anderem um Verst\u00f6\u00dfe gegen den Schutz der Daten von Kindern, die Sicherheit und die Rechtsgrundlage f\u00fcr die Verarbeitung durch Meta.<\/span><\/p>\n Anlass f\u00fcr die Entscheidung war eine Datenschutzverletzung, bei der es um die Daten von Kindern ging. <\/span><\/p>\n Die Kinder stellten fest, dass sie ihre Privatkonten in Gesch\u00e4ftskonten umwandeln konnten. Diese Kinder haben zus\u00e4tzliche Analysen zu ihren Instagram-Stories erhalten. Aber als gesch\u00e4ftliche Nutzer mussten sie auch ihre Kontaktdaten ver\u00f6ffentlichen – im Klartext im offenen Web.<\/span><\/p>\n Dieser Vorfall veranlasste Meta zu einer Untersuchung der rechtm\u00e4\u00dfigen Grundlage f\u00fcr die Ver\u00f6ffentlichung dieser Kontaktdaten. Meta beruft sich auf einen Vertrag, wenn das Kind alt genug ist, um einem Vertrag zuzustimmen, und auf „berechtigte Interessen“, wenn das Kind zu jung ist, um einen Vertrag abzuschlie\u00dfen. <\/span><\/p>\n Die DPC befand die Argumente von Meta zun\u00e4chst f\u00fcr vern\u00fcnftig. Auch hier griff der EDSB ein und zwang den Datenschutzbeauftragten, festzustellen, dass dies gegen die Bestimmungen der DSGVO zur „Rechtm\u00e4\u00dfigkeit der Verarbeitung“ verst\u00f6\u00dft (und wies den Datenschutzbeauftragten an, die Geldbu\u00dfe zu erh\u00f6hen).<\/span><\/p>\n Betrachten wir nun die j\u00fcngste Geldstrafe gegen Meta – Verst\u00f6\u00dfe bei<\/span> Facebook und Instagram <\/span><\/a>im Januar 2023.<\/span><\/p>\n Die Entscheidungen bilden den Abschluss einer epischen Untersuchung vom Mai 2018, die f\u00fcr Meta und andere Online-Diensteanbieter von gro\u00dfer Bedeutung ist.<\/span><\/p>\n In dem Fall geht es darum, wie Meta sein System der verhaltensorientierten Werbung rechtfertigt.<\/span><\/p>\n Vor Inkrafttreten der Datenschutz-Grundverordnung st\u00fctzte sich Meta (damals Facebook) auf die „Zustimmung“ zur Verarbeitung der personenbezogenen Daten seiner Nutzer f\u00fcr gezielte Werbezwecke. Die Nutzer mussten zustimmen, um ein Facebook- oder Instagram-Konto zu unterhalten.<\/span><\/p>\n Die DSGVO hat die EU-Definition der „Einwilligung“ in die Datenverarbeitung ge\u00e4ndert und die Bedingungen f\u00fcr die Einwilligung versch\u00e4rft. <\/span><\/p>\n Meta stellte fest, dass ihr Antrag auf Zustimmung nicht mehr zul\u00e4ssig war. Am Tag vor dem Inkrafttreten der Datenschutz-Grundverordnung \u00e4nderte das Unternehmen seine Nutzungsbedingungen und zwang die Nutzer, gezielte Werbung „vertraglich“ zu akzeptieren (Berichten zufolge wurde diese \u00c4nderung auf Anraten der Datenschutzbeh\u00f6rde vorgenommen).<\/span><\/p>\n Nach einer Beschwerde \u00fcber diese \u00c4nderung befand der DPC zun\u00e4chst, dass die Berufung auf den „Vertrag“ g\u00fcltig sei. Der EDPB war jedoch anderer Meinung, so dass sich der DPC erneut gezwungen sah, seine Entscheidung zu \u00e4ndern und den „Vertrag“ als Rechtsgrundlage f\u00fcr das Ad-Targeting von Meta auszuschlie\u00dfen. <\/span><\/p>\n Wenn Meta gezwungen ist, die Zustimmung f\u00fcr gezielte Werbung einzuholen, wird das Unternehmen wahrscheinlich einen erheblichen Umsatzr\u00fcckgang bei seinen Nutzern in der EU verzeichnen. Dies w\u00e4re ein weiterer Schlag f\u00fcr Meta nach<\/span>Apple <\/span><\/a>zwingt Drittanbieter-Apps, ab 2021 die Zustimmung zum Tracking unter iOS einzuholen.<\/span><\/p>\n Die vollst\u00e4ndigen Entscheidungen der DPC sind noch nicht ver\u00f6ffentlicht worden, aber Meta behauptet, dass die DPC das Unternehmen nicht ausdr\u00fccklich aufgefordert hat, zur „Zustimmung“ zur\u00fcckzukehren. Das bedeutet, dass das Unternehmen zu „legitimen Interessen“ \u00fcbergehen k\u00f6nnte – was immer noch bedeuten w\u00fcrde, dass Instagram und Facebook ein Opt-out anbieten m\u00fcssten.<\/span><\/p>\n Es versteht sich von selbst, dass Meta gegen die Entscheidung Berufung eingelegt hat.<\/span><\/p>\n Und schlie\u00dflich die gr\u00f6\u00dfte GDPR-Strafe aller Zeiten – 746 Millionen Euro gegen Amazon, ausgestellt von… Luxemburg?!<\/span><\/p>\n Die Datenschutzbeh\u00f6rde dieses winzigen Binnenstaates, die CNPD, ist nicht f\u00fcr ihre rigorose Durchsetzung der Datenschutzgrundverordnung bekannt. Abgesehen von dieser (vergleichsweise) gigantischen Amazon-Geldbu\u00dfe erreichen die Strafen der Aufsichtsbeh\u00f6rde selten sechsstellige Betr\u00e4ge.<\/span><\/p>\n Die Vorschriften des Gro\u00dfherzogtums zur Wahrung des Gesch\u00e4ftsgeheimnisses hindern die CNPD daran, viel \u00fcber ihre Entscheidungen zur Datenschutz-Grundverordnung zu verraten. Die Welt erfuhr von der Geldbu\u00dfe von Amazon nur, weil das Unternehmen sie in einer Erkl\u00e4rung<\/span> Einreichung<\/span> Aber die franz\u00f6sische NRO La Quadrature du Net (LQDN)<\/span>behauptet <\/span><\/a>dass die Strafe auf eine Beschwerde vom Mai 2018 zur\u00fcckgeht, die sie gemeinsam mit 10 000 betroffenen Personen in der EU eingereicht hat.<\/span><\/p>\n Die<\/span> Beschwerde <\/span><\/a>ist verf\u00fcgbar (auf Franz\u00f6sisch), aber wir wissen nicht, welche Verst\u00f6\u00dfe der CNPD gegen\u00fcber Amazon festgestellt hat (und nat\u00fcrlich geht das Unternehmen in Berufung).<\/span><\/p>\n Aber wir wissen, worum es in der Beschwerde ging: um Cookies.<\/span><\/p>\n Wie bei praktisch allen der zehn h\u00f6chsten Bu\u00dfgelder im Bereich Datenschutz und Privatsph\u00e4re erf\u00fcllten Amazons Cookie-Banner anscheinend nicht die Zustimmungsanforderungen der DSGVO.<\/span><\/p>\n Die Tendenz von Big Tech, Menschen auszutricksen, zu \u00fcberreden oder anderweitig zu zwingen, gezielte Werbung zu akzeptieren, hat die „Big 5“ insgesamt Milliarden gekostet (<\/span>Apples <\/span><\/a>Die j\u00fcngste CNIL-Strafe in H\u00f6he von 8 Mio. \u20ac von Apple war ebenfalls auf Cookies zur\u00fcckzuf\u00fchren).<\/span><\/p>\n Diese Tech-Giganten k\u00f6nnen sich die Strafen leisten. Doch das Beharren der EU auf einer ordnungsgem\u00e4\u00dfen Benachrichtigung und einer freiwilligen Zustimmung stellt ein weitaus gr\u00f6\u00dferes Problem f\u00fcr die Einnahmequellen der gro\u00dfen Technologieunternehmen dar.<\/span><\/p>\n Da die Folgen dieser Entscheidungen die Online-Landschaft zu ver\u00e4ndern beginnen, d\u00fcrften Unternehmen, die einen transparenten und fairen Ansatz zum Datenschutz verfolgen, im Vorteil sein.<\/span><\/p>\nBevor wir beginnen…<\/h2>\n
Frankreich: Internationaler Durchsetzer des Datenschutzes f\u00fcr elektronische Kommunikation<\/span><\/h2>\n
\n
Hohe Geldstrafen, aktiver Durchsetzungsansatz<\/span><\/h3>\n
Das Kr\u00fcmelmonster<\/span><\/h3>\n
Irland: Der zur\u00fcckhaltende Wildh\u00fcter<\/span><\/h2>\n
\n
Die DPC gegen\u00fcber der EPDB<\/span><\/h3>\n
WhatsApp und Transparenz<\/span><\/h3>\n
Instagram und die Daten von Kindern<\/span><\/h3>\n
Metas Anzeigenmodell<\/span><\/h3>\n
Luxemburg: Ein dunkles Pferd?<\/span><\/h2>\n
\n<\/a> bei der US-Wertpapier- und B\u00f6rsenaufsichtsbeh\u00f6rde (SEC).<\/span><\/p>\nEine Abrechnung f\u00fcr mangelhafte Transparenz und Zustimmungspraxis<\/span><\/h2>\n