Die Datenschutzbehörden in Europa haben im Jahr 2023 einige empfindliche Bußgelder gegen Unternehmen verhängt, die gegen die DSGVO verstoßen haben. In diesem Artikel erfährst du, um welche Verstöße es sich handelte und wie hoch die Bußgelder waren.
Die Inhalte wurden mithilfe der Seiten GDPR Enforcement Tracker, DSGVO-Portal und Bußgeld-Radar der Datenschutzkanzlei zusammengestellt.
#1 Meta Platforms Ireland Limited
Mai 2023, Irland
Die irische Datenschutzbehörde DPC verhängte gegen Meta Platforms Ireland Limited eine Strafe in Höhe von 1,2 Milliarden Euro. Dies ist bislang die höchste Geldstrafe unter der DSGVO. Meta wurde vorgeworfen, auch nach dem Schrems II-Urteil des EuGH personenbezogene Daten in die USA zu übermitteln. Laut EuGH bietet das US-Recht kein dem EU-Recht gleichwertiges Datenschutzniveau. Auch die von Meta genutzten Standardvertragsklauseln kompensieren dies nicht ausreichend. Meta kündigte an, gegen die Entscheidung vorzugehen.
#2 Meta Platforms Ireland Limited
Januar 2023, Irland
Die irische Datenschutzbehörde DPC verhängte gegen Meta Platforms Ireland Limited ein Bußgeld in Höhe von 390 Millionen Euro. Davon entfallen 210 Millionen Euro auf Verstöße im Zusammenhang mit Facebook und 180 Millionen Euro auf Verstöße im Zusammenhang mit Instagram. Meta hatte kurz vor Inkrafttreten der DSGVO seine Nutzungsbedingungen aktualisiert. Die Nutzer mussten den neuen Bedingungen zustimmen, um weiterhin Zugang zu den Diensten zu erhalten. Die DPC und andere Aufsichtsbehörden sahen hierin allerdings einen Verstoß gegen die Transparenzpflichten der DSGVO. Auch die Rechtsgrundlage für die Datenverarbeitung sei nicht gegeben gewesen. Meta muss nun seine Datenverarbeitung innerhalb von drei Monaten in Einklang mit den DSGVO-Vorgaben bringen.
#3 TikTok Limited
September 2023, Irland
Die irische Datenschutzbehörde DPC verhängte gegen TikTok eine Geldstrafe in Höhe von 345 Millionen Euro. Beanstandet wurde vor allem die Verarbeitung personenbezogener Daten von minderjährigen Nutzern zwischen Juli und Dezember 2020. So waren die Profile von Kindern standardmäßig öffentlich zugänglich. Zudem stellte die „Family Pairing“-Funktion, die eine Verknüpfung von Kinder- und Erwachsenenkonten ermöglichte, ein Sicherheitsrisiko dar. Weiterhin informierte TikTok Kinder nicht ausreichend über Datenverarbeitungen. Die DPC kritisierte auch die Verwendung von „Dark Patterns“, die Nutzer zu datenschutzunfreundlichen Optionen drängten. Neben der Geldstrafe muss TikTok die beanstandeten Praktiken innerhalb von drei Monaten beenden.
#4 CRITEO
Juni 2023, Frankreich
Die französische Datenschutzbehörde verhängte gegen das Unternehmen Criteo, einen Anbieter von personalisierter Online-Werbung, eine Geldstrafe in Höhe von 40 Millionen Euro. Beanstandet wurden zahlreiche Mängel bei der Datenverarbeitung. So konnte Criteo nicht nachweisen, dass Internetnutzer in die Verfolgung ihres Surfverhaltens mittels Cookies eingewilligt hatten. Auch partnerseitig fehlten Einwilligungen. Zudem enthielt die Datenschutzerklärung nicht alle Verarbeitungszwecke und einige waren unklar formuliert. Des Weiteren reagierte Criteo unzureichend auf Auskunftsanfragen von Nutzern. Bei Widerspruch oder Löschanfragen wurde lediglich die Personalisierung der Werbung eingestellt, nicht aber die personenbezogenen Daten gelöscht. Schließlich enthielt auch die Vereinbarung mit einem gemeinsamen Verantwortlichen Mängel. Aufgrund der hohen Zahl betroffener Personen wurde das Bußgeld als besonders hoch festgesetzt.
Melde dich für den Newsletter an
Verpasse keine neuen Beiträge zu den Themen Datenschutz, IT-Sicherheit-Basics, verantwortungsvoller Umgang mit neuen Tools mehr.
#5 TikTok Limited
April 2023, England
Die britische Datenschutzbehörde ICO verhängte gegen TikTok eine Geldstrafe in Höhe von 14,4 Millionen Euro. Grund war, dass über eine Million britischer Kinder unter 13 Jahren die Plattform ohne Einwilligung der Eltern nutzten. TikTok hatte keine ausreichenden Maßnahmen implementiert, um unter 13-Jährige zu identifizieren und von der Plattform auszuschließen. Zudem informierte TikTok die Nutzer nicht ausreichend über die Verarbeitung ihrer Daten. Daher kam die ICO zu dem Schluss, dass die Daten der Nutzer nicht rechtmäßig, fair und transparent verarbeitet wurden.
#6 Axpo Italia Spa
September 2023, Italien
Die italienische Datenschutzbehörde verhängte gegen den Energieversorger Axpo Italia eine Geldstrafe in Höhe von 10 Millionen Euro. Auslöser waren zahlreiche Beschwerden von Kunden, in deren Namen ohne ihr Wissen Strom- und Gasverträge abgeschlossen worden waren. Oft enthielten diese Verträge falsche oder veraltete persönliche Daten. Axpo Italia hatte die Verträge über ein Netzwerk von 280 Vertriebspartnern akquiriert, ohne sicherzustellen, dass die erfassten Daten auch mit den tatsächlichen Kunden übereinstimmten. Dies führte zu den unerwünschten Vertragsabschlüssen mit fehlerhaften Nutzerdaten.
#7 Apple Distribution International
Januar 2023, Frankreich
Die französische Datenschutzbehörde CNIL verhängte gegen Apple ein Bußgeld in Höhe von 8 Millionen Euro. Beanstandet wurde die standardmäßige Erfassung verschiedener Geräte-Kennungen beim Besuch des App-Stores unter der alten iOS-Version 14.6. Nutzern war es nicht möglich, die Auslesung zu unterbinden oder eine personalisierte Werbung abzulehnen. Die Deaktivierung der Datenübertragungen war zudem umständlich zu finden. Die CNIL hatte die Praktiken nach einer Beschwerde überprüft und mehrere Verstöße gegen die DSGVO festgestellt.
#8 TIM S.p.A.
April 2023, Italien
Die italienische Datenschutzbehörde verhängte gegen den Telekommunikationsanbieter TIM eine Geldbuße in Höhe von 7,6 Millionen Euro. Ausgelöst durch zahlreiche Beschwerden wegen unerlaubter Telefonwerbung stellte die Behörde fest, dass TIM Personen kontaktierte, die auf Sperrlisten standen oder keine Einwilligung zur werblichen Ansprache erteilt hatten. Zudem reagierte TIM unzureichend auf Anfragen von Betroffenen und verletzte Informationspflichten der DSGVO. Schließlich untersuchte TIM auch einen Datenschutzvorfall nicht angemessen.
#9 WhatsApp Ireland Limited
Januar 2023, Irland
Die irische Datenschutzbehörde DPC verhängte gegen WhatsApp Ireland eine Geldbuße in Höhe von 5,5 Millionen Euro. Anlass war eine Beschwerde wegen der Aktualisierung der Nutzungsbedingungen kurz vor Inkrafttreten der DSGVO. Ähnlich wie bei Meta setzte WhatsApp die Zustimmung zu den neuen Bedingungen für die weitere Nutzung der Dienste voraus. Die Behörden sahen hierin Verstöße gegen die Transparenzpflichten der DSGVO. Zudem war die Rechtsgrundlage für die Datenverarbeitung nicht gegeben. Neben der Geldstrafe muss WhatsApp die beanstandeten Praktiken innerhalb von drei Monaten ändern und seine Datenverarbeitung dsgvo-konform ausgestalten.
#10 EOS Matrix doo
Oktober 2023, Kroatien
Die kroatische Datenschutzbehörde AZOP verhängte gegen ein Inkassounternehmen eine Geldbuße in Höhe von 5,47 Millionen Euro. Ausgelöst durch eine anonyme Beschwerde mit personenbezogenen Daten von über 180.000 Personen stellte die Behörde diverse Verstöße fest. So verarbeitete das Unternehmen ohne Rechtsgrundlage auch gesundheitsbezogene Daten der Schuldner sowie Daten nicht von der Forderung betroffener Personen. Zudem setzte es keine ausreichenden technischen Schutzmaßnahmen ein, um einen Datenabfluss aus seinem System zu verhindern. Weiterhin zeichnete das Unternehmen ohne Rechtsgrundlage Telefongespräche mit Betroffenen auf. Schließlich informierte es die Betroffenen nicht transparent über die Datenverarbeitung.
#11 Clearview AI
Mai 2023, Frankreich
Die französische Datenschutzbehörde verhängte gegen das Unternehmen Clearview AI eine Geldbuße in Höhe von 5,2 Millionen Euro. Bereits 2022 hatte die Behörde gegen Clearview AI wegen der unrechtmäßigen Erfassung personenbezogener Daten eine Strafe in Höhe von 20 Millionen Euro festgesetzt. Damals wurde dem Unternehmen auch aufgegeben, die Datenerhebung innerhalb von zwei Monaten dsgvo-konform auszugestalten. Da Clearview AI keinen Nachweis der erfolgten Anpassungen erbrachte, wurde nun ein Zwangsgeld fällig.
#12 Spotify AB
Juni 2023, Schweden
Die schwedische Datenschutzbehörde verhängte gegen den Musikstreaming-Dienst Spotify ein Bußgeld in Höhe von 4,9 Millionen Euro. Auslöser waren Beschwerden und eine Klage der Organisation NOYB wegen Verstößen gegen die Rechte der Nutzer. So informierte Spotify die Betroffenen etwa nicht ausreichend über die Herkunft oder Übermittlungen ihrer Daten. Zudem erfolgten auch technische Erläuterungen nur auf Englisch. Die Verstöße stuft die Behörde nicht als besonders schwer ein. Spotify hat zwischenzeitlich bereits Verbesserungen eingeleitet, um die Betroffenenrechte zu achten.
Nicole Werner
Ich bin Wirtschaftsinformatikerin, Datenschutzbeauftragte, Bloggerin, Vermittlerin und neuronale Pingpong-Spielerin. Ich mache komplexe Themen verständlich und liebe TechNights.
Mehr über mich erfährst du auf meiner Über Mich Seite. Bleib auf dem Laufenden und melde dich zu meinem Newsletter an.