Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Januar 2023.
Der Inhalt im Überblick
390 Millionen Euro Bußgeld für Meta
Das Jahr begann mit einem Paukenschlag: Die irische Datenschutzbehörde DPC hat die Meta Platforms Ireland Limited mit einem Bußgeld von insgesamt 390 Millionen Euro belegt. Das Bußgeld setzt sich aus zwei Teilen zusammen. Der Facebook Dienst von Meta wurde mit 210 Millionen Euro Bußgeld belegt, der Instagram Dienst mit 180 Millionen Euro. Im Zuge der Umstellung auf die im Mai 2018 frisch eingeführte DSGVO änderte Meta die Rechtsgrundlage für die Verarbeitung personenbezogener Daten in seinen Netzwerken – weg von der Einwilligung und hin zur Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b) DSGVO. Diese Änderung trat sowohl bei Facebook als auch bei Instagram gleichlaufend in Kraft. Die DPC ist nach erfolgter Untersuchung nun zu der Auffassung gekommen, dass die Verarbeitung personenbezogener Daten – wozu im hier sanktionierten Fall auch das Ausspielen personalisierter Werbung gehört – nicht auf die Rechtsgrundlage der Vertragserfüllung gestützt werden kann. Damit fehlte es an einer wirksamen Rechtsgrundlage und sowohl Facebook als auch Instagram verarbeiteten die personenbezogenen Daten ihrer Nutzer rechtswidrig. Neben der Geldbuße wurde Meta auch verpflichtet, ihre Verarbeitungsprozesse innerhalb von drei Monaten in Einklang mit der DSGVO zu bringen.
Behörde: Data Protection Commission (Irland)
Branche: Social-Media-Plattform
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO, Art. 6 Abs. 1 DSGVO, Art. 12 DSGVO, Art. 13 Abs. 1 lit. c) DSGVO
Bußgeld: 210 Millionen Euro + 180 Millionen Euro
Die irische Aufsichtsbehörde macht da weiter, wo sie letztes Jahr aufgehört hat: Mit hohen Bußgeldern für Meta. Die Entscheidung macht noch einmal deutlich, wie wichtig es ist, sich im Vorfeld ausreichende Gedanken darüber zu machen, auf welcher rechtlichen Grundlage das eigene Geschäftsmodell basiert. Wie genau das mit der Rechtsgrundlage funktioniert und welche verschiedenen Arten es gibt, kann hier nachgelesen werden. Diese Überlegungen sollten jedenfalls nicht auf die leichte Schulter genommen werden – erst recht nicht, wenn die Verarbeitung personenbezogener Daten die Kerntätigkeit unternehmerischen Handelns darstellt.
Auch WhatsApp beruft sich auf falsche Rechtsgrundlage
Ähnlich gelagert ist auch das Bußgeld der irischen DPC für Whatsapp in Höhe von 5.500.000 Euro. Nach Ansicht der irischen Aufsichtsbehörde berief sich WhatsApp (unzulässigerweise) auf die Rechtsgrundlage der Vertragserfüllung nach Art. 6 Abs. 1 Satz 1 lit. b) DSGVO, um die personenbezogenen Daten der Whatsapp-Nutzer zu verarbeiten. WhatsApp verarbeitete die personenbezogenen Daten seiner Nutzer, um u.a. Verbesserungen in den Bereichen Service und Sicherheit anbieten zu können. Darüber hinaus ordnete die Aufsichtsbehörde WhatsApp an, innerhalb von sechs Monaten seine Verarbeitungsprozesse anzupassen und in Einklang mit der DSGVO zu bringen.
Behörde: Data Protection Commission (Irland)
Branche: Messengerdienst
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 12 DSGVO, Art. 13 Abs. 1 lit. c) DSGVO
Bußgeld: 5.500.000 Euro
Auch diese Entscheidung erinnert daran, sich vor der Erhebung und Verarbeitung personenbezogener Daten genügend Gedanken über die Rechtsgrundlage zu machen. Dies gilt umso stärker, je weiter die anvisierten Verarbeitungen von dem ursprünglichen Zweck der Erhebung abweichen.
Die CNIL macht mit Tiktok kurzen Prozess
Transparenz geht vor: Dieses Bußgeld wurde Tiktok bereits am 29.12.2022 zugestellt. Somit gehört es eigentlich nicht in die Januar Ausgabe der Top 5 Bußgelder. Allerdings veröffentliche die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) ihre Entscheidung erst am 12.01.2023 – daher drücken wir ausnahmsweise mal ein Auge zu! Das Bußgeld setzt sich aus zwei Teilen zusammen: Sowohl die Tiktok Information Technologies UK Limited als auch die Tiktok Technology Limited aus Irland müssen jeweils 2,5 Millionen Euro zahlen, insgesamt also 5 Millionen Euro. Die CNIL sieht die beiden Gesellschaften als gemeinsame Verantwortliche in der Haftung dafür, auf ihrer Website ein Cookie-Banner benutzt zu haben, bei dem es nicht genauso leicht war alle Cookies abzulehnen wie anzunehmen. Zudem informierte Tiktok die Besucherinnen und Besucher nicht in der notwendigen Tiefe über die zu setzenden Cookies.
Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Social-Media-Plattform
Verstoß: Art. 82 La loi Informatique et Libertés
Bußgeld: 2,5 Millionen Euro + 2,5 Millionen Euro
Erneut greift die französische Aufsichtsbehörde durch! Wie bereits im Verfahren gegen Microsoft, das eine Strafe in Höhe von 60 Millionen Euro erhielt, schreckt die Aufsichtsbehörde nicht vor großen Namen zurück. Aus dieser Entscheidung lässt sich lernen, genügend Sorgfalt bei der Verwendung von Cookie-Bannern an den Tag zu legen. Denn die kleinen Popup-Fenster stehen bereits seit mehreren Jahren auf dem Radar der Aufsichtsbehörden.
Besondere personenbezogene Daten in Persönlichkeitstests
Thomas International Systems, S.A., führt im Auftrag von Unternehmen Persönlichkeitstests durch. Im vorliegenden Bußgeldverfahren führte das Unternehmen einen Persönlichkeitstest durch, bei dem – entgegen der Angaben des Auftraggebers – auch besondere personenbezogene Daten im Sinne des Art. 9 DSGVO erfasst wurden (Ethnische Herkunft und das Vorliegen einer Behinderung). Infolge einer Beschwerde eines Teilnehmers stellte die spanische Aufsichtsbehörde AEPD weitere Nachforschungen an und kam zu dem Ergebnis, dass Thomas International Systems jene besonderen personenbezogene Daten verarbeitete, ohne dass die betroffenen Personen hierzu eingewilligt haben oder dass die Verarbeitung zur Erfüllung des Vertragszwecks notwendig war.
Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Finanzdienstleister
Verstoß: Art. 9 DSGVO
Bußgeld: 40.000 Euro
Diese Entscheidung zeigt einmal mehr, wie gründlich man im Bereich von besonderen personenbezogenen Daten im Sinne des Art. 9 DSGVO arbeiten sollte. Denn Verstöße in diesem Bereich können schnell zu empfindlichen Sanktionen führen. Als Erinnerung kann hier nachgelesen werden, was genau unter personenbezogenen Daten zu verstehen ist und auf was gesondert bei besonderen personenbezogenen Daten nach Art. 9 DSGVO zu achten ist.
Tracking-Software ohne Einwilligung & fehlende Mitwirkung
Die Intellexa SA ist ein griechischer IT-Dienstleister. Eigentlich ermittelte die griechische Aufsichtsbehörde gegen die Intellexa wegen des Einsatzes von Tracking-Software ohne Einwilligung der Geräte Benutzer. Sowohl die Installation der Software als auch die Extraktion und Auswertung von Daten soll ohne Wissen der Nutzer erfolgt sein. Im Rahmen der Untersuchung reagierte Intellexa mehrfach verspätet auf die Fragen der Aufsichtsbehörde und verweigerte sogar die Herausgabe bestimmter Informationen. Diese Verweigerung der Mitwirkung wurde nun mit einem Bußgeld in Höhe von 50.000 Euro sanktioniert. Zudem wurde dem Unternehmen aufgetragen, die fehlenden Informationen herauszugeben.
Behörde: Hellenic Data Protection Authority
Branche: IT-Dienstleister
Verstoß: Art. 31 DSGVO
Bußgeld: 50.000 Euro
Es wirkt banal, aber die Entscheidung macht deutlich: Die Mitwirkung in Verfahren der Aufsichtsbehörden ist keine Petitesse, sie ist gesetzliche Pflicht (Art. 31 DSGVO). Und wer den Anordnungen und Aufforderungen der Aufsichtsbehörden nicht nachkommt, der muss im Zweifel an die Rechtstreue erinnert werden. Sollten noch Zweifel bestehen, ob man sich durch die Mitwirkungspflicht (weiter) selbstbelastet, kann hier mehr über dieses Spannungsverhältnis lesen.
