Fast eine Milliarde Euro, genauer, 984 Millionen – so hoch soll der Betrag sein, den Datenschutzbehörden europaweit im dritten Quartal dieses Jahres für Verstöße gegen die Datenschutzgrundverordnung (DSGVO) gefordert haben. Damit ist ein neuer Rekord erreicht, wie die Finanzanalysten von Finbold resümieren. In den ersten beiden Quartalen wurden Strafen von rund 50 Millionen Euro verhängt, im gesamten Jahr 2020 waren es rund 306 Millionen.

Der Hauptgrund für den massiven Anstieg ist eine Strafe, die in der vergangenen Woche gegen Amazon erlassen wurde: Der Konzern muss demnach 746 Millionen Euro zahlen für das massive Targeting von Nutzern im Web, um personalisierte Werbung auszuspielen. Nutzerinnen und Nutzer können den Einsatz des Targeting auf der Webseite des Online-Marktplatzes nämlich nicht ablehnen, obwohl die DSGVO eine freie Wahl vorsieht. Rechtskräftig ist die Strafe allerdings nicht, der US-Konzern will sie anfechten.

IT-Konzerne an der Spitze

An zweiter und dritter Stelle finden sich ebenso US-Konzerne. Whatsapp soll 225 Millionen Euro zahlen – auch hier wurde der Betrag noch nicht bezahlt. Nummer drei ist Google, das aufgrund mehrerer unterschiedlicher Strafen rund 50 Millionen Euro zahlen muss.

Das Länderranking führt Luxemburg aufgrund der Amazon-Strafe an, gefolgt von Irland. An dritter Stelle findet sich Italien mit 86 Millionen Euro an verhängten Strafen.

Österreichs Datenschutzbehörde hat seit Inkrafttreten der DSGVO unter anderem gegen die Post und den Jö-Bonusclub Millionenstrafen verhängt. Vor der jüngsten 9,5-Millionen-Euro-Strafe für die Post gab es schon 2019 eine Strafe in Höhe von 18 Millionen Euro, die jedoch vom Bundesverwaltungsgericht wegen eines Formfehlers aufgehoben wurde. Der zum Billa-Mutterkonzern Rewe gehörende Jö-Bonusclub wiederum soll zwei Millionen Euro wegen Datenschutzvergehen zahlen.

Österreichische DSB hält sich bedeckt

Keine dieser Millionenstrafen ist rechtskräftig, Post und Jö haben dagegen berufen. Abseits von Post und Jö hat die Datenschutzbehörde heuer zwei weitere Strafen in Millionenhöhe verhängt: vier Millionen Euro gegen eine Bank und 1,2 Millionen Euro gegen ein weiteres Kundenbindungsprogramm. Bei diesen beiden ebenfalls nicht rechtskräftigen Strafen nennt die Datenschutzbehörde den Namen des betroffenen Unternehmens nicht. Generell hält sich die österreichische Behörde bei der Kommunikation ihrer Strafen gegenüber der Öffentlichkeit bedeckt. Die Begründung: Im Gegensatz zu Post und Jö seien die Firmen nicht aktiv an die Öffentlichkeit gegangen.

Irische DSB immer wieder in Kritik

In der Vergangenheit wurde vor allem die irische Datenschutzbehörde (DPC) immer wieder von anderen europäischen Aufsichtsbehörden kritisiert, dass ihre Entscheidungen zu lange dauern. Noch im Juli hat die europäische Aufsicht EDPB interveniert von der DPC verlangt, die ursprünglich geplante Whatsapp-Strafe zu erhöhen. Die nun auf 225 Millionen Euro angesetzte Strafe geht auf ein 2018 aufgenommenes Verfahren zurück – für Datenschützer wie den Juristen Max Schrems ist sie immer noch zu niedrig, bedenke man, dass es sich nur um "0,08 Prozent des Umsatzes der Facebook-Gruppe" handle, die DSGVO aber bis zu vier Prozent des Jahresumsatzes vorsieht. (muz, APA, 12.10.2021)