DSGVO – Was bisher geschah

Rekordbussen für Amazon & WhatsApp

Mitnichten. In den ersten Monaten nach dem Inkrafttreten der DSGVO war es jedenfalls verdächtig ruhig. So sind im Jahr 2018 hierzulande gerade mal 134 Verwaltungsstrafverfahren zusammengekommen, wovon 83 eingestellt wurden. Vier Fälle endeten mit einer Abmahnung, fünf Unternehmen mussten Strafe zahlen – allerdings nur im niedrigen fünfstelligen Bereich.

Ein paar Monate später gings dann aber rund. Im Juli 2019 verdonnerte die britische Datenschutzbehörde ICO British Airways zu einer Strafe von 204,6 Mio. Euro. Der Grund dafür war, dass Kriminelle die Kreditkartendaten von bis zu einer halben Million Airline-Kunden auslesen konnten. Da konnte freilich auch unsere Post nicht nachstehen und kassierte eine Strafe von rund 18 Mio. Euro. Sie hatte bekanntlich die Parteiaffinitäten von Millionen Post-Kunden gespeichert und diese Daten an wahlwerbende Parteien verkauft. Die Strafe wurde später übrigens – nach einem Einspruch – auf knapp die Hälfte (9,5 Mio. Euro) reduziert.

Knapp dahinter liegt inzwischen der „jö Bonus Club“. Das REWE Kundenbindungsprogramm wurde im Jänner 2022 zu einer Strafe von 8 Mio. Euro verdonnert – die Entscheidung ist allerdings noch nicht rechtskräftig. Eine übersichtliche Auflistung aller bisher verhängten DSGVO-Strafen (quer durch Europa) finden Sie übrigens hier.

Auch wenn es in Österreich relativ ruhig ist, als zahnlos sollte man die DSGVO aber dennoch nicht bezeichnen. Europaweit verhängen die zuständigen Behörden immer mehr Bußgelder, wie der VPN-Anbieter Atlas VPN zusammengetragen hat. Demnach wurden 2021 412 Bescheide mit einer Gesamtsumme von über einer Mrd. Euro erlassen. Das sind 521 Prozent mehr als die 171 Mio. Euro im Jahr zuvor.

Der Löwenanteil der Bußgeldsumme von 2021 entfällt dabei übrigens auf Amazon. Gegen den E-Commerce-Giganten verhängte die Luxemburger Datenschutzbehörde ein Bußgeld in Höhe von 746 Mio. Euro. Grund war das Amazon-Tracking, das auch massenhaft Daten sammelte, um Nutzern personalisierte Werbung zuspielen zu können. Kurz darauf traf es WhatsApp, dem die irische Datenschutzkommission eine Strafzahlung von 225 Mio. Euro auferlegte. Begründet wurde das mit einer mangelnden Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen.

DSGVO sorgt oft für Ärger…

Um noch einmal auf die besagte YouGov-Umfrage zurückzukommen. Geht’s ums Thema DSGVO wird im Regelfall nicht über die Kernthemen „Recht auf Vergessen“ oder den vereinfachten und besser gestalteten „Diensteanbieterwechsel“ gesprochen, sondern über Cookies. 53 Prozent der Menschen in Deutschland (und Österreich dürfte sich hier nicht so viel unterscheiden) sind von den permanent aufpoppenden Cookie-Warnungen genervt. Gerade einmal zwölf Prozent sind hingegen der Meinung, dass die Cookie-Banner ihnen ein „Gefühl der Selbstbestimmung über ihre Daten“ geben. Das war so sicher nicht im Sinne der DSGVO-Erfinder.

Im Zuge der Corona-Pandemie kamen dann gleich noch ein paar „nervige Punkte“ dazu. Wie beispielsweise beim bekannten „Alles gurgelt“-Testsystem. Aufgrund der DSGVO wurden die Daten der Teilnehmer dort nämlich regelmäßig gelöscht und mussten dann immer wieder neu eingeben werden. Und fast ein bisschen kurios: Sogar der Brüsseler Flughafen musste dank Corona & DSGVO tief in die Tasche greifen. Zur Eindämmung der COVID-19-Pandemie wurden dort nämlich über einen längeren Zeitraum Wärmebildkameras zur Messung der Körpertemperatur von Flughafengästen eingesetzt. Passagiere mit einer Körpertemperatur von über 38° C wurden herausgefiltert und nach möglichen Corona-Symptomen befragt. Nach Ansicht der Aufsichtsbehörde fand die Verarbeitung der Daten zur Körpertemperatur vorliegend allerdings ohne Rechtsgrundlage statt. Zudem handelt es sich hier um Gesundheitsdaten und damit um eine besondere Kategorie personenbezogener Daten.

…auch in der Werbe- und Online-Branche