Welche europäischen Länder verhängen die meisten oder die höchsten Bußgelder für Datenschutzverletzungen? Nach der Rekordstrafe für Amazon im letzten Monat schaut EURACTIV genauer hin.
Die luxemburgische Datenschutzbehörde (DPA) schlug im vergangenen Monat hart zu, als sie Amazon eine Rekordstrafe von 746 Millionen Euro wegen mehrfacher Verstöße gegen die EU-Datenschutz-Grundverordnung (DSGVO) verhängte.
Zuvor hatte die französische Datenschutzbehörde (CNIL) Google die größte Sanktion (50 Mio.
Im Dezember sanktionierte die CNIL jedoch sowohl Google als auch Amazon mit 100 Millionen Euro und 35 Millionen Euro Geldstrafen wegen der Cookie-Richtlinie. Obwohl es sich um die Datenverarbeitung handelt, entschied die französische Datenschutzbehörde, dass sie unter die „ePrivacy“-Richtlinie falle und sich selbst als „wesentlich zuständig“ erachtete. Diese beiden großen Geldbußen werden daher bei unserem Vergleich nicht berücksichtigt, da sie sich nicht ausschließlich auf DSGVO-Themen beziehen.
Luxemburg ist inzwischen mit einem Gesamtbetrag von 746 Mio. € der größte DSGVO-Bußgeldgeber in Europa, gefolgt von Italien (84 Mio.
Die Summe der Bußgelder aufgrund der im Mai 2018 in Kraft getretenen DSGVO beträgt mittlerweile mehr als 1 Mrd. Euro.
Die luxemburgische Datenschutzbehörde gehört jedoch nicht zu den Spitzenreitern bei der Zahl der Bußgelder, die in den letzten drei Jahren mit elf verhängt wurden.
Spanien, Italien und Rumänien führen mit jeweils 255, 76 und 61 Sanktionen.
Viele der Entscheidungen basieren auf Artikel 5 der DSGVO, der einen Rahmen für die Verarbeitung von Daten im Block festlegt.
„One-Stop-Shop“-Mechanismus
Die DSGVO gilt für alle Mitgliedsstaaten sowie die Länder des Europäischen Wirtschaftsraums (Island, Liechtenstein und Norwegen). Da Daten in den meisten Fällen in verschiedenen Ländern verarbeitet werden, hat das EU-Recht den sogenannten „One-Stop-Shop“-Mechanismus eingeführt, der die Zusammenarbeit zwischen Datenschutzbehörden sicherstellt.
Vor allem legen die Bestimmungen fest, dass die zuständige Behörde für grenzüberschreitende Fälle davon abhängt, wo die datenverarbeitende Organisation ihre Rechtsgrundlage hat. Im Fall von Amazon führt der luxemburgische Datenschutzbeauftragte die Untersuchung an, da sich der europäische Hauptsitz von Amazon im Großherzogtum befindet.
Im Juni entschied der EU-Gerichtshof jedoch, dass die nationalen Datenschutzbehörden befugt sind, gegen Unternehmen, die in einem anderen EU-Mitgliedstaat registriert sind, in dringenden Ausnahmefällen oder wenn die Auswirkungen auf betroffene Personen innerhalb ihres nationale oder lokale Gerichtsbarkeit.
Das Urteil erging, nachdem die Abgeordneten ein Vertragsverletzungsverfahren gegen Irland gefordert hatten, weil es nicht in der Lage war, mit dem Strom von Datenschutzbeschwerden gegen die Big-Tech-Unternehmen Schritt zu halten, die unter die Zuständigkeit des irischen Datenschutzbeauftragten (DPC) fallen, zu denen auch Online-Werbegiganten gehören wie Facebook und Google.
„Wir haben gesehen, wie einige dieser Ressourcen in Betrieb genommen wurden, und es gab Verbesserungen, aber wir würden argumentieren, dass es Spielraum für die DPC gibt, ihre Ressourcen wieder aufzustocken, da die Unternehmen, die sie regulieren sollen, über fast unbegrenzte Mittel zum Kampf verfügen und Wettbewerbsfälle“, sagte die irische linke Europaabgeordnete Clare Daly damals gegenüber EURACTIV.
Die Daten zeigen, dass Irland insgesamt sechs Geldstrafen im Wert von 790.000 Euro verhängt hat.
Geld und Ressourcen werden oft als eine Möglichkeit genannt, das „One-Stop-Shop“-System zu unterstützen und zu verbessern, das kleine Länder gegen multinationale Giganten gestellt hat.
In Irland zum Beispiel war das Budget der Datenschutzbehörde im Jahr 2019 fast tausendmal niedriger als das von Google, so der Bericht von Access Now über die Umsetzung der DSGVO.
[Edited by Luca Bertuzzi and Benjamin Fox]