Mit 746 Millionen Euro macht das vorgesehene Bußgeld für Amazon mehr als die Hälfte der Strafsumme 2021 in der EU aus.

Foto: THOMAS SAMSON/AFP

Das Jahr 2021 hat eine Rekordsumme an Bußgeldern aufgrund von Verstößen gegen den Datenschutz gebracht. Die 1,22 Milliarden Euro, die von nationalen Aufsichtsbehörden in der EU verhängt wurden, bedeuten eine Versiebenfachung gegenüber 2020. Die Zahl der geahndeten Verstöße stieg um 25 Prozent, wie eine Auswertung des auf Datenschutz spezialisierten Unternehmens DSGVO-ZT ergab.

Die Zahlen, die von der Datenbank "GDPR Enforcement Tracker" stammen, sind vorläufig, da etwaige Rechtseinsprüche nicht berücksichtigt sind. Die meisten Vergehen sind folglich nicht rechtskräftig. Der Trend zu deutlich mehr Strafen und höheren Bußgeldern lässt sich laut Ansicht der Datenschutzexperten aber eindeutig ablesen, wie sie in ihrer Analyse, die dem STANDARD vorliegt, ausführen.

Rekordstrafen für Amazon und Whatsapp

Auffallend ist einmal mehr, dass einige wenige Fälle das Gros des Strafvolumens ausmachen und es einige Länder bedeutend strenger mit der Datenschutz-Grundverordnung (DSGVO) nehmen als andere. Die höchste Strafe verhängte Luxemburg mit 746 Millionen Euro gegen Amazon. Die dortige Datenschutzbehörde sprach das Bußgeld aus, weil personalisierte Werbung auf der Amazon-Webseite nicht abgelehnt werden könne. Allein dieser Fall macht über 60 Prozent des verhängten Bußgelds 2021 aus.

Nicht minder aufsehenerregend fiel die Strafsumme gegen den Facebook-Konzern Meta aus. In Irland sprach die Datenschutzbehörde im September des Vorjahrs 225 Millionen Euro gegen den Whatsapp-Messenger aus – wenig überraschend brachte der Konzern eine Nichtigkeitsklage ein. Grund für die Strafe war die Datenweitergabe von Whatsapp an Facebook.

Auch Whatsapp und Facebook (beide Meta-Konzern) waren 2021 von hohen Strafen betroffen.
Foto: Dado Ruvic/Reuters

Das Unternehmen habe die Nutzer nicht ausreichend darüber informiert, lautete der Vorwurf. Auch das Speichern von Telefonnummern nicht registrierter Nutzerinnen und Nutzer, die durch den Upload von Adress- und Telefonbüchern bei Whatsapp landeten, sei nicht DSGVO-konform gewesen.

Spanien straft viel, aber kassiert wenig

Jeweils 60 Millionen Euro verhängte Frankreich gegen Facebook und Google wegen nicht konformer Implementierung der Cookie-Zustimmung. In Italien wiederum fasste der Energiekonzern Enel mit 26,5 Millionen Euro Bußgeld eine relativ hohe Summe aus. Die Behörden in Italien scheinen überhaupt recht aktiv zu sein. Mit 66 geahndeten DSGVO-Verstößen landen sie nach Spanien (169 Strafen) EU-weit auf dem zweiten Platz.

Die Anzahl der Strafen zeigt die unterschiedliche Strategie. Während Länder wie Irland durch Einzelstrafen wie den aufsehenerregenden Whatsapp-Fall zwar für fast ein Fünftel der Strafsumme 2021 verantwortlich zeichnen, scheinen sie bei der Summe der Strafen nicht einmal unter den ersten sieben auf. Spanien hingegen, dessen Behörden knapp 40 Prozent aller verhängten Einzelbußgelder aussprachen, steuerte mit 27 Millionen Euro nur zwei Prozent der Strafsumme bei. Offenbar wurden dort auch viele kleinere Unternehmen gestraft.

Österreichische Post und notebooksbilliger.de

Quantitativ wenig gestraft wurde auch in Österreich (acht Fälle) und Deutschland (sechs Fälle), gleichzeitig gab es aber auch einige Präzedenzfälle mit Abschreckungspotenzial. Die Österreichische Post etwa soll laut Datenschutzbehörde 9,5 Millionen Euro Strafe zahlen, weil datenschutzrechtliche Anfragen per E-Mail nicht gestattet waren – die Post hat Rechtsmittel dagegen angekündigt. Und in Deutschland wurde der Elektronikhändler notebooksbilliger.de zu einem Bußgeld von 10,4 Millionen Euro verdonnert, weil er die Belegschaft offenbar zwei Jahre lang per Video überwacht hatte.

So aufsehenerregend manche der Summen sind: Für Datenschützer wie Max Schrems sind diese nur ein Tropfen auf den heißen Stein. Angesichts der 225-Millionen-Euro-Strafe gegen Whatsapp kommentierte er damals: "Die 225 Millionen Euro entsprechen gerade einmal 0,08 Prozent des Umsatzes des Facebook-Konzerns – und das, obwohl die DSGVO Geldbußen von bis zu vier Prozent des Umsatzes vorsieht." Besonders die irische Datenschutzbehörde habe jahrelang angezeigte Verstöße ignoriert, lautet sein Vorwurf. (Martin Stepanek, 16.2.2022)