Thought Leadership
Nach den hohen Sanktionen des Jahres 2021 gegen Amazon (746 Millionen), WhatsApp (225 Millionen) und Facebook in Höhe von 17 Millionen, reiht sich in 2022 nun ein weiteres Rekordbußgeld gegen Big Data ein. Diesmal gegen die Meta-Tochter Instagram, die eine Quittung über 405 Millionen von der irischen Datenschutzbehörde erhalten hat. Ist eine Trendwende bei den DSGVO-Sanktionen damit in vollem Gange? Seit Geltung der DSGVO dauerte es mitunter Jahre, bis entsprechende Bescheide gegen die US-Riesen ausgegeben wurden. Zudem wurden häufig räumliche und politische Nähe zu den US-Konzernen kritisiert.
Wegen Verletzungen der Privatsphäre von Kindern
Die Verarbeitung personenbezogener Daten von Kindern ist nach der Datenschutz-Grundverordnung (DSGVO) nur unter strengen Voraussetzungen zulässig. Die DSGVO sieht grundsätzlich vor, dass Kinder ab 13 Jahren unter bestimmten Umständen eine datenschutzrechtliche Einwilligung erteilen dürfen. Zudem ist auch die Verarbeitung auf der Rechtsgrundlage eines “berechtigten Interesses” einer restriktiveren Interessenabwägung unterworfen, als das bei Erwachsenen der Fall ist. Bekannt ist zu dem Verfahren der irischen Datenschutzaufsicht bislang, dass E-Mail-Adressen und Telefonnummern wegen mangelnder Datenschutz-Voreinstellungen (Privacy by Design) zugänglich gewesen sind. Meta behauptet, die Einstellung sei bereits vor einem Jahr geändert worden. So sei bei allen Nutzern unter 18 Jahren der Account bei einem Beitritt zu dem sozialen Netzwerk nun automatisch auf privat gestellt.
Sechs weitere Verfahren gegen Meta in der Pipeline
Die irische Behörde gab zudem an, dass derzeit sechs weitere Verfahren gegen Meta-geführte Unternehmen in der Pipeline anstehen. Ein zentrales Thema ist nach wie vor die Missachtung der berüchtigten Schrems-Entscheide des Europäischen Gerichtshofs (EuGH), wegen der Missachtung europäischen Datenschutzrechts beim US-Datentransfer im großen Stil. Mit denen von der Schrems-Organisation NOYB (My data is none of your business) beim EuGH erwirkten Entscheidungen, hätte der Datentransfer in die USA bereits längst gestoppt werden müssen. Nach Berichten von NOYB werde das EU-Recht bereits seit mehr als 8 Jahren ignoriert und es werden überwiegend nur kosmetische Veränderungen vorgenommen. Weitere Sanktionen gegen den Meta-Konzern dürften somit in den nächsten Monaten und Jahren folgen.
Sind hohe DSGVO-Sanktionen ein US-Phänomen?
Obgleich die hiesigen Konzernstrukturen in Sachen Datenverarbeitung nicht mit denen der digitalen US-Konzerne vergleichbar sind, nehmen Sanktionen bei Verstößen auch hier zu Lande zu. Zuletzt wurde ein rekordverdächtiges Bußgeld in Höhe von 900.000 EUR gegen die Hannoversche Volksbank verhängt, da Kundendaten zu Zwecken der Erstellung von Marketing-Profilen und der gezielten werblichen Ansprache von Kunden genutzt wurden. Analysiert wurden etwa Käufe in App-Stores, die Häufigkeit der Nutzung von Kontoauszugsdruckern und das Verhältnis von Online-Überweisungen zu Direktzahlungen in Filialen. Die Profile wurden zudem nach offiziellen Angaben mit Daten der Schufa angereichert. Diese Verarbeitungen mit einem berechtigten Interesse zu begründen, ging für die Landesbeauftragte für den Datenschutz (LfD) in Niedersachsen deutlich zu weit. Die Profilbildung wurde nicht zuletzt auf der Rechtsgrundlage des „berechtigten Interesses“ untersagt, auf das sich die Volksbank bei dem Verfahren stützt.
Häufiger Schadenersatzansprüche bei Verstößen
Mit Einführung der DSGVO haben Sanktionen die Kategorie „Falschparken“ endgültig verlassen. In jüngster Zeit werden Betroffenen vermehrt Schadenersatzansprüche wegen DSGVO-Verstößen zugesprochen und Bagatellen von den Gerichten meist verneint. Schmerzensgelder für unrichtige oder verspätete Betroffenenauskünfte, Ungereimtheiten auf Webseiten sowie rechtswidrige Datenübermittlungen, führen bereits in minderschweren Fällen häufig zu 4-stelligen Schadenersatzansprüchen und Sanktionen. Ein Grund mehr, die sich gelegentlich einstellende DSGVO-Sorglosigkeit zu überdenken.
www.rocketlegal.de
