Bußgelder international

Wir haben bereits an anderer Stelle über relevante Bußgelder in Deutschland berichtet. Im Folgenden möchten wir Ihnen internationale Bußgelder in Millionenhöhe vorstellen.

 

1.    Luxemburg
Das bisher höchste europäische Bußgeld erließ die Commission nationale pour la protection des données (CNPD) in Luxemburg am 16.07.2021 gegen die Amazon Europe Core S.a.r.l. in Höhe von 746 Millionen EUR. Inhaltlich ist zu dem Bescheid nichts bekannt, nur, dass das Bußgeld mit einer Beschwerde der Bürgerrechtsorganisation „La Quadrature du Net“ zu tun haben soll. Amazon hat Rechtsmittel gegen den Bescheid eingelegt.

 

2.    Irland
Am 02.09.2021 erließ die irische Datenschutzbehörde An Coimisiun um Chosaint Sonrai/Data Protection Commission (DPC) ein Bußgeld gegen die WhatsApp Ireland Ltd. in Höhe von 225 Millionen EUR wegen Verstößen gegen die Art. 5 Abs. 1 lit. a), 12, 13 und 14 DSGVO.

 

3.    Frankreich
Frankreich hat bei der Verhängung von Bußgeldern richtig Gas gegeben. Bereits am 21.01.2019 verhängte die Commission Nationale de L’Informatique et des Libertés (CNIL) gegen die Google LLC ein Bußgeld in Höhe von 50 Millionen EUR wegen Verstößen gegen die Transparenz, der unzureichenden Erfüllung der Informationspflichten und fehlender Einwilligungen. Die Entscheidung geht auf Beschwerden der österreichischen Organisation None Of Your Business (noyb.eu) und der französischen NGO La Quadrature du Net, die am 25. und 28. 05.2018 bei der CNIL eingereicht wurden, zurück. Dies war das erste Bußgeld in Millionenhöhe seit dem Inkrafttreten der DSGVO.

Sehr hohe Bußgelder verhing die CNIL auch am 07.12.2021. Zum Einen ein Bußgeld gegen Google LLC in Höhe von 60 Millionen EUR und eins gegen die Google Ireland Limited in Höhe von 40 Millionen EUR, weil diese als gemeinsame Verantwortliche Cookies zu Werbezwecken ohne Einwilligung der Betroffenen eingesetzt haben und ihre Informationspflichten nicht erfüllt haben.

Ebenfalls am 07.12.2021 erließ die CNIL ein Bußgeld in Höhe von 35 Millionen EUR gegen die Amazon Europe Core, weil diese Cookies zu Werbezwecken ohne Einwilligung der Betroffenen eingesetzt haben und ihre Informationspflichten nicht erfüllt haben.

Kurz darauf, am 31.12.2021, erließ die CNIL ein Bußgeld sowohl gegen die Google LLC in Höhe von 90 Millionen EUR als auch gegen die Google Ireland Limited in Höhe von 60 Millionen EUR, nachdem sich Betroffene darüber beschwert hatten, dass die Ablehnung von Cookies auf den Seiten www.google.fr und www.youtube.com nicht genau so einfach möglich sei wie deren Annahme. Die CNIL stellte daraufhin fest, dass die Annahme der Cookies mit nur einem Klick möglich war, die Ablehnung hingegen aber mehrerer Klicks bedurfte und dies zur Überzeugung der CNIL geschieht, um die Nutzer davon abzuhalten, Cookies abzulehnen, was einen Verstoß gegen die Einwilligungsfreiheit darstellt.

Ebenfalls am 31.12.2021 erließ die CNIL auch ein Bußgeld gegen die Facebook Ireland Limited in Höhe von 60 Millionen EUR wegen eines vergleichbaren Sachverhalts wie bei dem Bußgeld gegen Google.

Am 10.02.2022 kam die CNIL zu dem Ergebnis, dass der Einsatz von Google Analytics nicht mit der DSGVO vereinbar ist. Seit der Aufhebung des EU-U.S.privacy shields liegt kein adäquates Datenschutzniveau mehr für die Datenübermittlung in die USA vor. Neben den zu schließenden Standardvertragsklauseln wurden zwar zusätzliche Maßnahmen ergriffen, die aber nicht ausreichen, um einen Zugriff der amerikanischen Nachrichtendienste auszuschließen.

 

4.    Italien 26,5 Mio. Enel Energia S.p.A (Energiekonzern)
Am 16.12.2021 erließ die italienische Datenschutzbehörde Garante per la protezione di dati personali (GPDG) ein Bußgeld in Höhe von 26,5 Millionen EUR gegen den römischen Energiekonzern Enel Energia S.p.A. Hiernach wurden die personenbezogenen Daten von Millionen von Nutzern unrechtmäßig für Telefonmarketingzwecke verwendet.

Am 12.11.2020 erließ die GPDG ein Bußgeld in Höhe von 12,25 Mio. gegen Vodafone Italia S.p.A. ebenfalls u.a. wegen Werbeanrufen ohne Einwilligung der Betroffenen und auch wegen Mängel der technischen und organisatorischen Maßnahmen.

Am 09.07.2020 erließ Italien ein Bußgeld in Höhe von 16,8 Mio. gegen das Telekommunikationsunternehmen Wind Tre SpA ebenfalls wegen Werbeanrufen, -E-Mails und -SMS ohne Einwilligung.

 

5.    Österreich
Am 11.02.2019 erließ die österreichische Datenschutzbehörde gegen die Österreichische Post AG ein Bußgeld (in Österreich: Verwaltungsstrafe) in Höhe von 18 Millionen EUR. Dem lag zugrunde, dass die Post Daten zur Parteiaffinität der Bürger gesammelt haben soll und diese an Parteien verkauft habe. Darin sah die Aufsichtsbehörde eine verbotene Verarbeitung der Daten zur politischen Neigung und damit einen Verstoß gegen Art. 9 DSGVO. Das Bußgeld wurde allerdings am 26.11.2020 durch das österreichische Bundesverwaltungsgericht nach einem Widerspruch der Post eingestellt. Grund hierfür war allerdings, dass nach dem österreichischen § 30 DSG ein rechtswidriges Handeln einer natürlichen Person zugerechnet werden muss. Diese Zurechnung ist nicht erfolgt.

Die österreichische Datenschutzbehörde verhängte zudem am 28.09.2021 ein Bußgeld in Höhe von 9,5 Millionen EUR gegen die  Österreichische Post AG, weil diese keine datenschutzrechtlichen Anfragen per E-Mail zugelassen hatte. Eine Anfrage konnte nur über die Post, den Kundenservice oder ein Web-Kontaktformular erfolgen. Dieser Bußgeldbescheid ist noch nicht rechtskräftig.

Beitrag vom 29.04.2022