Zum Inhalt springen Zur Navigation springen
Don’t mess with the AEPD – Die spanische Datenschutzaufsichtsbehörde

Don’t mess with the AEPD – Die spanische Datenschutzaufsichtsbehörde

Facebook und WhatsApp müssen dank der spanischen Datenschutzaufsichtsbehörde AEPD jeweils 300.000 € Strafe zahlen. Der vorliegende Artikel soll einen kurzen Überblick über das AEPD, deren Entscheidungen und seinen Einfluss auf den weltweiten Datenschutz geben.

Was ist das AEPD?

Das AEPD ist die spanische Datenschutzaufsichtsbehörde (Agencia española de Protección de Datos) und wurde 1994 ins Leben gerufen. Das AEPD ist eine öffentliche Stelle, die unabhängig und weisungsfrei arbeitet. Seit 2015 hat Frau Mar España Martí das Amt der Direktorin des AEPD inne. Aufgaben des AEPD sind

  • die Überwachung der Datenschutzbestimmungen durch staatliche oder private Stellen,
  • die Bearbeitung von Beschwerden von Betroffenen,
  • das Verhängen von Bußgeldern bei Datenschutzverstößen und
  • die Abgabe von Empfehlungen zu Gesetzesvorlagen zum Thema Datenschutz.

Hinzu kommt, dass das AEPD einen jährlichen Datenschutzbericht herausgibt. Das AEPD hat seinen Sitz in Madrid. Rechtsgrundlage für seine Tätigkeit ist das spanische Datenschutzgesetz „Ley Orgánica de Protección de Datos de Carácter Personal“ (LOPD).

Das AEPD und die Konzerne

In der Vergangenheit waren Streitigkeiten zwischen der spanischen Datenschutzaufsichtsbehörde und Konzernen wie Google oder Facebook Auslöser für Bußgelder oder wegweisende Entscheidungen für den europäischen Datenschutz. Im Folgenden soll dies an drei Beispielen aufgezeigt werden.

AEPD vs. Google

In der Auseinandersetzung zwischen dem AEPD und der Google Spain SL ging es um ein den Beschluss der Behörde, der Google Spain dazu verpflichtete Links zu löschen, die auf die Website der katalanischen Zeitung „La Vanguardia“ weiterleiteten. Der Spanier Mario Costeja González wurde hier mit Verbindlichkeiten in Verbindung gebracht, die längst beglichen waren. Google Spain klagte gegen die Entscheidung des AEPD vor dem Europäischen Gerichtshof und verlor (Google Spain Entscheidung, EuGH c-131/12).

Aus der Auseinandersetzung ging das „Recht auf Vergessenwerden“ hervor, welches sich auch in Art. 17 DSGVO wiederfindet. Das „Recht auf Vergessenwerden“ gibt dem Betroffenen die Möglichkeit, dass Veröffentlichungen über ihn aus dem Netz gelöscht werden. Durch seinen Beschluss zu Gunsten des Betroffenen Mario Costeja González und der darauf folgenden Klage vor dem EuGH, hat das AEPD maßgeblich darauf hingewirkt, dass das „Recht auf Vergessenwerden“ Teil des Europäischen Datenschutzes wurde.

Millionenstrafe gegen Facebook

Im Jahr 2017 verhängte das AEPD ein Bußgeld von 1,2 Millionen Euro gegen das Unternehmen Facebook. Die Millionenstrafe setzte sich aus mehreren Datenschutzverstößen zusammen. Hierbei ging es darum, dass das Unternehmen ohne Einwilligung seiner Nutzer personenbezogene Daten gesammelt hat und diese kommerziell nutzte. Erschwerend kam hinzu, dass es sich bei den Daten der Nutzer um sensible Daten handelte. Auch wenn das Bußgeld, gemessen der an den Umsätzen von Facebook winzig erscheint, hat das Bußgeld des AEPD einen entscheidenden psychologischen Wert. Die wirtschaftliche Übermacht von Unternehmen wie Facebook wird nicht hingenommen, sondern ruft der Gesellschaft in Erinnerung, dass Facebook gegen geltendes Recht verstößt.

AEPD verhängt Höchststrafe gegen WhatsApp und Facebook

Am 16.03.2018 verhängte das AEPD gegen WhatsApp und Facebook jeweils eine Strafe von 300.000 Euro. Der Hintergrund des Bußgeldes war, dass WhatsApp zum wiederholten Mal personenbezogene Daten seiner Nutzer an Facebook weitergab. Hierbei handelt es sich um eine Höchststrafe für einen Datenschutzverstoß, den das spanische Datenschutzrecht vorsieht. Interessant hieran ist, dass eine europäische Datenschutzbehörde gewillt ist Höchststrafen zu vergeben und dass diese mit dem Wirksamwerden der DSGVO erheblich steigen.

Ausblick auf die DSGVO

Fraglich ist wie sich die spanische Vorgehensweise auf europäischen Datenschutz unter der DSGVO auswirken wird. Interessant zu beobachten wird sein, wie sich die Zusammenarbeit der europäischen Datenschutzaufsichtsbehörde entwickeln wird. Problematisch für die Einheit des europäischen Datenschutzes wäre es, wenn es zu einer Aufteilung kommt, in Länder mit strengen Aufsichtsbehörden und Ländern mit weniger strengen Aufsichtsbehörden.

Das AEPD in Lateinamerika

Zum Schluss soll noch auf das Engagement des AEPD in Lateinamerika hingewiesen werden. Zusammen mit Spanien arbeiten die südamerikanischen Staaten an einen einheitlichen Datenschutz für Südamerika. Aus diesem Grund wurde der Red Iberoamericana ins Leben gerufen. In diesem Forum leistet Spanien durch das AEPD Hilfestellung dafür, dass Länder wie Argentinien oder Peru Datenschutzgesetze nach europäischen Vorbild aufbauen. Hierdurch leistet das AEPD einen wichtigen Beitrag um dem weltweiten Datenschutz zu verbessern.

Beim AEPD handelt es sich somit um eine Aufsichtsbehörde, die sich nicht scheut, Konzernen, die sich nicht an die Regeln halten, Paroli zu bieten und sich selbst auch als Exporteur des europäischen Datenschutzes sieht. Hiervon profitieren nicht nur spanische Bürger, sondern auch die Bürger Europas. Es bleibt zu hoffen, dass das AEPD auch in Zukunft diesen Weg weiter verfolgen wird.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.