Ich warne Sie vor: Der folgende Blog ist ziemlich rechthaberisch.
Wenn Geldbußen nach der DSGVO diskutiert werden, dann in der Regel wegen der Zahlen. Mittlerweile ist die Rechtsgemeinschaft im Allgemeinen mit den berüchtigten GDPR-Höchstbeträgen von 20 Millionen Euro oder 4 % des Jahresumsatzes vertraut.
Aber obwohl Geld natürlich ein wichtiger Aspekt der Geldbußen ist, gibt es noch andere wichtige und interessante Aspekte, die manchmal unter dem Radar fliegen. Hier ist also eine kurze Liste von Geldbußen, die auf die eine oder andere Weise hervorstechen. Einige waren wahnsinnig teuer, andere kamen mit einem Klaps auf die Hand aus, einige waren schlichtweg dumm, und alle enthalten auf die eine oder andere Weise eine wertvolle Lektion.
- Die höchsten Bußgelder
- Das folgenreichste Bußgeld
- Die unzureichendste Geldstrafe
- Die dümmste Geldstrafe
- Die drohende Gefahr
Lassen Sie uns eintauchen!
Die höchsten Bußgelder
Beginnen wir mit dem bekanntesten Eintrag in der Liste: Metas Geldstrafe von 1,2 Milliarden Euro im Jahr 2023 wegen Datenübertragungen.
Diese Rekordgeldbuße wurde nach der bahnbrechenden Entscheidung Schrems II verhängt. Die Entscheidung war das Ergebnis eines langen Rechtsstreits, an dem Facebook (jetzt Meta), Max Schrems, der irische Datenschutzbeauftragte, der Europäische Datenschutzausschuss und sogar der Europäische Gerichtshof beteiligt waren.
Amazon steht mit seiner Geldstrafe von 746 Mio. € aus dem Jahr 2021 wegen gezielter Werbung an zweiter Stelle auf der Liste.
Die Begründung ist aufgrund einiger Besonderheiten im luxemburgischen Recht noch nicht öffentlich. Wenn sie veröffentlicht wird, könnte sie etwas aussagen, das wir bereits aus neueren Entscheidungen zur Datenmonetarisierung kennen - sei es die Geldbuße für Metas Werbung (siehe unten) oder das bahnbrechende Urteil des Bundeskartellamts.
Das folgenreichste Bußgeld
Im Jahr 2023 musste Meta zwei weitere hohe Geldbußen wegen personalisierter Werbung auf Facebook und Instagram in Höhe von insgesamt 390 Millionen Euro zahlen*.*
Ja, das war das gleiche Jahr wie die 1,2 Milliarden Euro Strafe. Das Jahr 2023 war nicht freundlich zu Meta.
Bei diesen Bußgeldern ging es um die Rechtsgrundlagen für die gezielte Werbung von Meta. Mit anderen Worten, die Fälle drehten sich um eine Kernfrage: Wie rechtfertigt Meta das Sammeln und Analysieren personenbezogener Daten für seine gezielte Werbung?
Damals lautete die Antwort von Meta (gemäß ihrer Datenschutzrichtlinie), dass das Horten der Daten zur Erfüllung ihrer Nutzungsbedingungen notwendig sei. Dies ist etwas, was die GDPR-Fachleute als "Rechtsgrundlage" der "vertraglichen Notwendigkeit" bezeichnen.
Die Verfechter des Datenschutzes waren mit dieser Begründung nicht zufrieden. Die Rechtfertigung der "vertraglichen Notwendigkeit" würde es Meta erlauben, alles Mögliche zu rechtfertigen, solange es in den Nutzungsbedingungen für seine Plattformen erwähnt wird. Sie führte auch zu der seltsamen Schlussfolgerung, dass Meta das Recht habe, Profile von uns zu erstellen, weil wir als Nutzer seiner Plattformen gezielte Werbung sehen wollen.
Die Datenschutzbehörde und der Europäische Datenschutzausschuss stellten sich auf die Seite der Kritiker: Sie befanden, dass Meta die Daten für die Vertragserfüllung nicht wirklich benötigte und dass der Rechtfertigungsgrund der vertraglichen Notwendigkeit nicht gegeben war.
(Um genau zu sein, war die Datenschutzbehörde nicht wirklich gewillt, Meta eine Geldstrafe aufzuerlegen, aber der Europäische Datenschutzausschuss zwang sie im Wesentlichen dazu, Maßnahmen zu ergreifen. In diesem Fall waren sich die Vollstrecker nicht einig!)
Die Entscheidungen sind von entscheidender Bedeutung, denn die Sache mit den Rechtsgrundlagen ist kein winziges Compliance-Detail, das die Juristen von Meta ausbügeln können. Die Extraktion personenbezogener Daten für gezielte Werbung ist nach der Datenschutz-Grundverordnung schwer zu rechtfertigen, und das ist gewollt. Es ist ein Merkmal, kein Fehler.
Meta ist auch nicht das einzige Unternehmen, das personenbezogene Daten monetarisiert. Denken Sie an TikTok, X und die unzähligen "kostenlosen" Apps auf Ihrem Handy. Aus diesem Grund haben die Entscheidungen Auswirkungen auf viele Unternehmen, die in der EU vertreten sind.
Der Rechtsstreit um die Datenmonetarisierung ist noch nicht ganz vorbei. Nach den Bußgeldern hat Meta von einer Rechtsgrundlage zur anderen gewechselt und versucht, sein Geschäftsmodell unter der DSGVO am Leben zu erhalten. Irgendwann wird sich der Europäische Gerichtshof einschalten und klären, unter welchen Bedingungen (wenn überhaupt!) Pay-with-your-data-Geschäftsmodelle nach der Datenschutz-Grundverordnung zulässig sind.
Die unzureichendste Geldstrafe
Die von Meta verhängten Geldbußen in Höhe von 390 Millionen Euro sind aus zwei Gründen auch für mich am wenigsten überzeugend.
Erstens wirkt die Höhe der Geldbußen wie ein Klaps auf die Hand für die vorliegenden Verstöße.
Der EDPB war der Ansicht, dass personalisierte Werbung über die soziale Plattform von Meta auf der Grundlage unrechtmäßig erhobener Daten durchgeführt wurde. Der Verstoß dauerte jahrelang an, betraf Hunderte Millionen europäischer Bürger und brachte Meta Einnahmen in Milliardenhöhe ein. Als ob das nicht genug wäre, kam es zwischen den Beschwerden und der Entscheidung zu elf größeren Datenschutzverletzungen.
Also: Meta hat jahrelang illegal unsere Daten gesammelt, Milliarden damit verdient und sie nebenbei etwa ein Dutzend Mal weitergegeben. Was muss ein Unternehmen noch tun, um die maximale Geldstrafe zu erhalten?
Zweitens wurde ein entscheidender Punkt der Fälle von der Datenschutzbehörde nicht untersucht.
In den ursprünglichen Beschwerden wurde behauptet, dass Meta unrechtmäßig sensible Daten sammelt. Dabei handelt es sich um besondere Arten von Daten, die nach der Datenschutz-Grundverordnung stärker geschützt sind, z. B. politische Überzeugungen, Gesundheitszustand und sexuelle Orientierung. Das unrechtmäßige Sammeln dieser Daten ist einer der schlimmsten Verstöße, die ich mir vorstellen kann. Und doch wurde dieses Thema in den Entscheidungen des Datenschutzbeauftragten mit keinem Wort erwähnt!
Dieses Versäumnis wurde nicht nur von Verfechtern des Datenschutzes, sondern auch von anderen Datenschutzbehörden in der EU bemängelt. So einschneidend die Entscheidungen auch waren, sie wären vielleicht noch viel einschneidender gewesen, wenn die Beschwerden ganzheitlich untersucht worden wären.
Bis heute geben Meta und zahllose andere Unternehmen entweder vor, dass die Daten, die sie für die Profilerstellung verwenden, nicht sensibel sind, oder sie spielen systematisch herunter, wie viele dieser Daten als sensibel einzustufen sind. Die Entscheidungen des Datenschutzbeauftragten gegen Meta sind eine verpasste Gelegenheit, ein wichtiges Datenschutzproblem anzugehen.
Die dümmste Geldstrafe
Ähnlich wie Meta musste auch Uber eine hohe Geldstrafe wegen Datenübermittlung zahlen: Die niederländische Datenschutzbehörde verhängte gegen das Unternehmen eine Geldstrafe von 290 Millionen Euro. Aber es gibt einen entscheidenden Unterschied: Die Geldstrafe von Uber war unglaublich dumm. Nicht dumm im Sinne von "falsch", wohlgemerkt. Dumm im Sinne von "vermeidbar".
Multinationale Unternehmen hatten mit der Rechtsunsicherheit bei Datenübermittlungen zwischen der EU und den USA zwischen 2020 (Schrems II) und 2023 (Angemessenheitsentscheidung der USA) zu kämpfen. Es handelte sich also definitiv um ein umfassenderes Problem.
Aber Uber entschied sich, es auf die denkbar falscheste Weise anzugehen. Anstatt das zu tun, was alle anderen zu dieser Zeit taten (= Standardvertragsklauseln für Datenübermittlungen einführen), verließ man sich auf eine nicht gerade gängige Auslegung der DSGVO und übermittelte Daten über einen anderen Mechanismus.
Es gibt nur ein Problem. Ubers Auslegung der Datenschutz-Grundverordnung widersprach dem, was alle europäischen Datenschutzbehörden seit Jahren gesagt hatten. Und die Datenschutzbehörden sind diejenigen, die Unternehmen wegen Datenübertragungen mit Geldstrafen belegen.
Die eigentliche Frage ist, warum. Warum musste Uber sein eigenes (und vorhersehbar falsches) Ding machen, anstatt sich an den De-facto-Branchenstandard zu halten? Was waren die Vorteile seiner Compliance-Strategien?
Darauf habe ich keine Antwort. Der einzige denkbare Vorteil der Uber-Strategie besteht darin, dass sie (vermutlich) den Juristen etwas Arbeit erspart hat. Andererseits würde ich von einem Giganten, der mehr als hundert Milliarden Dollar wert ist, erwarten, dass er keine Abstriche macht.
Die drohende Gefahr
Im Laufe der Jahre wurde Clearview AI von den italienischen, griechischen und niederländischen Behörden wegen der illegalen Erhebung personenbezogener Daten zu Geldstrafen verurteilt. Mittlerweile belaufen sich die Geldbußen auf 110 Millionen Euro.
ClearviewAI ist ein Unternehmen, das Gesichtserkennungstechnologie für Regierungsbehörden und Strafverfolgungsbehörden außerhalb der EU anbietet. Das Unternehmen trainiert seine Produkte hauptsächlich auf Bildern, die es aus dem offenen Web zusammengetragen hat.
So weit, so gut. Aber die Sache ist die**:** Big Tech sammelt Daten für das Training generativer KI****in großem Umfang und ohne Zustimmung aus dem Internet.
Es ist kein Zufall, dass Open AI in Italien untersucht wird und in der gesamten EU auf dem Prüfstand steht. Tatsächlich erregte die ganze Sache letztes Jahr die Aufmerksamkeit der Medien, als die italienische Datenschutzbehörde ChatGPT für einen Monat stilllegte.
Die Entwickler von generativen KI-Systemen folgen weitgehend dem gleichen Schema: Sie horten alle Daten, die sie bekommen können, und behaupten, sie könnten sie bereinigen, indem sie sensible oder gefährliche Daten aus dem Datensatz ausschließen. Bislang gibt es keinen überzeugenden Beweis dafür, dass eine solche Bereinigung möglich ist - schon gar nicht bei Datenbanken, die so groß sind wie das Internet.
Es ist schwer zu sagen, wie sich die Dinge in Bezug auf das Scraping entwickeln werden. Die Datenschutzbehörden sind sicherlich eher geneigt, ein konstruktives Gespräch mit OpenAI zu führen als mit Überwachungsfieslingen wie Clearview AI. Aber die jüngsten Entwicklungen sind nicht vielversprechend.
Ein kürzlich veröffentlichtes EDPB-Dokument zum Fall OpenAI deutet auf eine eher strenge Haltung der Datenschutzbehörden hin. Darüber hinaus hat Meta kürzlich nach Rücksprache mit der irischen Datenschutzbehörde einige seiner KI-Richtlinien geändert und bittet nun um die Zustimmung der EU-Nutzer, bevor es seine KI auf deren Daten trainiert.
Wenn man zwischen den Zeilen liest, könnte die irische Datenschutzbehörde die Zustimmung als nicht verhandelbare Voraussetzung für das Training von KI mit personenbezogenen Daten ansehen. Für Unternehmen, die keine direkte Beziehung zu den Personen haben, deren Daten gesammelt werden (man denke an OpenAI oder Anthropic), ist es jedoch ziemlich unmöglich, sich auf die Zustimmung zu verlassen. Sogar für Meta könnte es schwierig sein, sich auf die Zustimmung zu verlassen, je nachdem, wie sich die Dinge in Bezug auf Pay-or-ok entwickeln.
Unterm Strich ist das Problem des Data Scraping noch ungelöst und könnte durchaus die Zukunft der generativen KI auf dem EU-Markt gefährden.
Wir von Simple Analytics glauben an ein offenes und datenschutzfreundliches Web. Deshalb haben wir unsere Webanalyse-Software so entwickelt, dass sie keine persönlichen Daten sammelt und Ihnen dennoch alle Einblicke gewährt, die Sie für den Ausbau Ihrer Online-Präsenz benötigen. Unsere Software ist datenschutzfreundlich, leicht zu erlernen und verfügt über einen innovativen KI-Assistenten.
Wenn sich das für Sie gut anhört, können Sie Simple Analytics gerne mit unserer kostenlosen Testversion mit allen Funktionen ausprobieren !