Wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) hat die luxemburgische Datenschutzbehörde dem Digitalkonzern Amazon ein Rekord-Bußgeld in Höhe von 746 Millionen Euro aufgebrummt. Das geht aus einem Geschäftsbericht des Unternehmens hervor, über den am Freitag zuerst die Nachrichtenagentur Bloomberg berichtete.
Das Bußgeld in Höhe von umgerechnet 888 Millionen Dollar stellt die höchste Strafzahlung dar, die unter der DSGVO je angeordnet wurde. Amazon kündigte an, Widerspruch gegen die Entscheidung einzulegen.
Medienberichten zufolge richtet sich die Strafe der luxemburgischen Datenschutzbehörde CNPD (Commission Nationale pour la Protection des Données) gegen Amazons System des Online-Targeting. Das Unternehmen, das unter anderem wegen diverser wettbewerbsrechtlicher Verfahren unter Druck steht, betreibt den größten Online-Versandhandel der Welt und setzt dabei auf personalisierte Werbung. Sowohl auf den eigenen Seiten als auch auf Drittseiten sammelt Amazon im großen Stil Daten, um Menschen mit zugeschnittener Werbung zum Einkauf zu verleiten.
Erfolgreiche Massenbeschwerde
Da die Behörde sich zu ihrer Entscheidung noch nicht selbst geäußert hat, bleiben wichtige Details unklar. Es scheint jedoch festzustehen, dass die Strafe auf ein Verfahren zurückgeht, das die französische Nichtregierungsorganisation La Quadrature du Net mit mehr als zehntausend Unterstützer:innen angestoßen hat.
In einem Blogpost erklären die Digital-Rights-Aktivist:innen von La Quadrature, dass sie die Massenbeschwerde bei der luxemburgischen Datenschutzbehörde gegen Amazons Werbe-Targeting direkt nach Wirksamwerden der DSGVO im Mai 2018 eingereicht haben.
Amazon selbst erklärte, die Strafe anfechten zu wollen. „Es gab keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“, so ein Sprecher des Unternehmens zur DPA. „Im Hinblick darauf, wie wir Kund:innen relevante Werbung anzeigen, beruht diese Entscheidung der CNPD auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzrechts, und die beabsichtigte Geldbuße steht selbst bei dieser Auslegung in überhaupt keinem Verhältnis.“
Am Ende entscheiden meistens die Gerichte
Die Höhe von DSGVO-Bußgeldern ist immer wieder Gegenstand von Debatten und Gerichtsverfahren. Die bislang größte angekündigte Strafzahlung sollte die Fluggesellschaft British Airways treffen. Die britische Datenschutzbehörde hatte wegen eines Datenlecks mit hunderttausenden Betroffenen eigentlich ein Bußgeld von gut 200 Millionen Euro verkündet, die Höhe aufgrund der Belastungen durch die Corona-Pandemie dann aber auf gut 22 Millionen Euro (20 Millionen Pfund) herabgesetzt.
Das bisher größte tatsächliche Bußgeld bleibt daher die 50-Millionen-Strafe der französischen Datenschutzbehörde gegen Google. Auch dieses Verfahren ging auf eine Beschwerde von La Quadrature du Net zurück. Die zweithöchste Strafe in Höhe von 35 Millionen Euro kassierte der schwedische Modekonzern H&M wegen Überwachung von Mitarbeiter:innen, verhängt von der Hamburgischen Datenschutzaufsicht.
Während H&M die Sanktion akzeptierte, werden mehrere Millionenbußgelder in Deutschland derzeit vor Gericht verhandelt. So wollte etwa der Immobilienkonzern Deutsche Wohnen eine Strafe von 14,5 Millionen Euro nicht akzeptieren und bekam vor Gericht in erster Instanz Recht, das Revisionsverfahren läuft noch. Auch der IT-Versandhandel notebooksbilliger.de legte kürzlich Widerspruch gegen einen Bußgeldbescheid in Höhe von gut 10 Millionen Euro ein.
Einen Dämpfer erhielt 2020 der Bundesdatenschutzbeauftragte: Das Landgericht Bonn stutzte ein Bußgeld, das er gegen den Internetanbieter 1&1 verhängt hatte, von 9,5 Millionen Euro auf 900.000 Euro zurecht. Auch die österreichische Datenschutzbehörde musste jüngst eine herbe Schlappe einstecken: Ein Millionenbußgeld gegen die österreichische Post wegen illegalem Datenhandel wurde von einem Gericht gänzlich kassiert.
Bizarr. Wieder wird sich eine Datenschutzbehörde vor Gericht eine blutige Nase holen und der Sache des (sinnvollen) Datenschutz einen Bärendienst erweisen.
Angesichts der geringen Schadenswirkung von Werbetargeting und der exorbitanten Strafzahlung muss man sich fragen, welcher Teufel die CNPD wohl geritten haben mag. Wollte man endlich mal zeigen, dass man keine Sitzbehörde ohne echte Existenzberechtigung ist? Wollte man gegen einen Gegner punkten, gegen den man in der (europäischen) Öffentlichkeit auf bequeme Weise immer gut aussieht?
Der Hauptgegner sind die gefräßigen Sicherheitsbehörden und ihr immer größerer Hunger auf unsere Daten! Das muss endlich rein in die Köpfe der amtlichen Datenschützer! Ob irgendwelche Konzerne irgendwelche Werbung besonders gezielt aussteuern können, ist im Vergleich zum Bedrohungspotenzial durch BND & Co. oder auch die Polizeien mit ihren rechtsradikalen Netzwerken schlicht und einfach unbedeutend.
Die Daten werden nur für Werbetargeting benutzt? „Nur“, nicht etwa so wie bei Facebook oder bei Alphabet oder einfach zur Manipulation der Kunden?
Klar, der Staat an sich löst sich derzeit auch auf.