Die Verabschiedung der Allgemeinen Datenschutzverordnung (GDPR) hat deutlich gemacht, dass es der Europäischen Union (EU) mit dem Schutz der Privatsphäre der Verbraucher sehr ernst ist und dass der Schutz der persönlichen Daten der EU-Bürger höchste Priorität hat. Das Potenzial für massive Geldstrafen, die die betrieblichen Kapazitäten und den weltweiten Ruf erheblich beeinträchtigen können, hat viele Unternehmen verunsichert. Die Datenschutz-Grundverordnung sieht Strafen in Höhe von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Umsatzes eines Unternehmens vor, je nachdem, welcher Betrag höher ist. Jetzt, da das Gesetz seit über drei Jahren in Kraft ist, zeichnen sich Durchsetzungstrends ab, die zeigen, dass die Datenschutzbehörden in den EU-Mitgliedstaaten nicht davor zurückschrecken, bei Verstößen hohe Geldstrafen zu verhängen. Unternehmen müssen sich daher über die globalen Auswirkungen dieser Aktivitäten im Klaren sein und ihre Pläne zur Einhaltung des Datenschutzes überprüfen, um eventuell bestehende Lücken zu schließen.

Jüngste Geldbußen

Am 16. Juli 2021 verhängte die luxemburgische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 746 Millionen Euro gegen Amazon und forderte eine Änderung bestimmter Geschäftspraktiken im Zusammenhang mit der Verarbeitung von Verbraucherdaten. Dieses Bußgeld ist mit Abstand das höchste, das bisher verhängt wurde. Der bisherige Rekord lag bei 50 Millionen Euro gegen Google im Jahr 2019 wegen gezielter Werbepraktiken. Die jüngste Geldbuße gegen Amazon ist fast fünfzehnmal so hoch wie die Rekordstrafe von 2019.

Das Bußgeld gegen Amazon geht auf eine Beschwerde einer französischen Datenschutzgruppe aus dem Jahr 2018 zurück, die behauptete, dass Amazon seine Werbepraktiken nicht auf der Grundlage einer freien Einwilligung durchführt und damit gegen die Anforderungen der Datenschutz-Grundverordnung verstößt. Dabei ging es darum, wie Amazon Verbraucherdaten für gezielte Werbung verwendet. Obwohl die Klage ihren Ursprung in Frankreich hatte, erlaubt die Datenschutz-Grundverordnung einer federführenden Aufsichtsbehörde, Untersuchungen durchzuführen, wenn ein Unternehmen in mehreren EU-Ländern tätig ist. Amazon benannte die luxemburgische Behörde und übernahm somit die Führung bei der Lösung dieser Beschwerde in Zusammenarbeit mit der französischen Datenschutzbehörde. Amazon hat die Absicht geäußert, in Berufung zu gehen, und argumentiert, dass kein Verstoß gegen das Datenschutzrecht oder eine Offenlegung durch Dritte vorliegt. Solange dieses Verfahren nicht abgeschlossen ist, werden keine weiteren Einzelheiten zu den Vorwürfen bekannt gegeben, da es in Luxemburg ein Gesetz gibt, das die Veröffentlichung von Informationen bis zum Abschluss des Berufungsverfahrens verbietet.

Eine weitere wichtige Nachricht ist, dass die irische Datenschutzbehörde am 2. September 2021 eine erhebliche Geldstrafe gegen WhatsApp in Höhe von 225 Millionen Euro verhängt hat, was viereinhalb Mal so viel ist wie die 2019 gegen Google verhängte Geldstrafe. Ursprünglich sollte das Bußgeld 50 Millionen Euro betragen, aber eine Handvoll anderer Datenschutzbehörden hat die Angelegenheit an den Europäischen Datenschutzausschuss verwiesen und um eine Erhöhung aufgrund einer unkorrekten Berechnung der Strafe gebeten. Diese Entscheidung war das Ergebnis einer dreijährigen Untersuchung, bei der es darum ging, ob WhatsApp die Verbraucher in seinen Datenschutzrichtlinien ausführlich genug über seine Datenverarbeitungspraktiken informiert hat. Auch gegen diese Strafe will WhatsApp Berufung einlegen.

Einfluss auf den globalen Datenschutz

Viele Länder sind dem Beispiel der EU gefolgt und haben ihren Rahmen für den Verbraucherschutz durch Änderungen, neue Gesetze, aktualisierte Leitlinien und Änderungen bei der Durchsetzung gestärkt. Angesichts des sich abzeichnenden Trends zu einer strengen Durchsetzung der DSGVO und hohen Strafen wird es interessant sein zu sehen, wie andere Durchsetzungsbehörden auf der ganzen Welt reagieren. Zwar gibt es derzeit kein anderes Gesetz, das den hohen Strafrahmen der Datenschutz-Grundverordnung erreicht, doch andere Länder wie Brasilien sehen erhebliche Geldbußen vor. Während die Durchsetzung der DSGVO weiter voranschreitet, sollten Unternehmen genau beobachten, ob andere Gesetze geändert werden, um höhere Geldstrafen für Datenschutzverstöße zu verhängen, oder ob eine strengere Durchsetzung rund um den Globus erfolgt.

Achten Sie auch auf die zu erwartenden Einsprüche von Amazon und WhatsApp gegen die DSGVO, da frühere Strafen in der Berufung deutlich reduziert wurden. Was nach der Anfechtung einer Entscheidung geschieht, ist ein wichtiges Element des Trends bei den GDPR-Strafen, da es weiterhin Aufschluss darüber geben wird, welche Datenschutzpraktiken schwerwiegend genug sind, um bahnbrechende Strafen aufrechtzuerhalten und künftige Entscheidungen der Datenschutzbehörden zu beeinflussen. Unabhängig davon zeigt die Tatsache, dass weniger aggressive Datenschutzbehörden wie Irland nun eine härtere Haltung eingenommen haben, dass die strengere Durchsetzung wahrscheinlich fortgesetzt wird, unabhängig davon, ob es in der Berufung zu einer Verringerung der Geldstrafe kommt.

In Anbetracht dieser jüngsten Entscheidungen sollten Unternehmen, die der DSGVO oder anderen Datenschutzgesetzen unterliegen, ihre Bemühungen um die Einhaltung des Datenschutzes genauer unter die Lupe nehmen. Die harte Durchsetzung gegen große Technologieunternehmen zeigt, dass die Datenschutzbehörden nicht davor zurückschrecken, gegen prominente Unternehmen vorzugehen. Während eine hohe Geldbuße für größere Unternehmen wahrscheinlich keine verheerenden Folgen haben wird, können die Anforderungen zur Änderung der Verarbeitungspraktiken größere Auswirkungen haben und einen hohen Ressourceneinsatz erfordern. Auch für kleinere Unternehmen können solche Bußgelder verheerend sein.

Wenn die Richtlinien und Praktiken eines Unternehmens die Einhaltung der DSGVO widerspiegeln, gilt dies wahrscheinlich auch für die Verpflichtungen aus den meisten anderen Datenschutzgesetzen. Da jedoch kein Gesetz dem anderen gleicht, ist es wichtig, sich über die einzelnen Verpflichtungen genau zu informieren und die Pläne zur Einhaltung des Datenschutzes entsprechend anzupassen. Viele Organisationen, darunter Anwaltskanzleien und Rechtsabteilungen von Unternehmen, haben neue Funktionen für den Datenschutz geschaffen oder sind Partnerschaften mit Anbietern eingegangen, um die Einhaltung der Vorschriften zu unterstützen. Die Aufrechterhaltung ausreichender interner Datenschutzpraktiken, die Erfüllung von Compliance-Verpflichtungen und die Teilnahme an Untersuchungen können zeitaufwendig sein und schwerwiegende Folgen haben, wenn sie nicht angemessen gehandhabt werden. Aus diesem Grund haben die Schaffung von Datenschutzfunktionen und das Eingehen vertrauensvoller Partnerschaften höchste Priorität.

 

Weitere Informationen über den Status der US-Datenschutzgesetze finden Sie hier.

Der Inhalt dieses Artikels dient nur der allgemeinen Information und stellt keine Rechtsberatung oder -meinung dar.