Dies geht aus dem "GDPR Fines und Data Breach Survey 2023" hervor, einer Studie zu DSGVO-Bußgeldern und Datensicherheitsvorfällen von der internationalen Wirtschaftskanzlei DLA Piper
. Die fünfte Auflage der Studie erfasst Bußgelder wegen DSGVO-Verstößen in allen 27 Mitgliedstaaten der Europäischen Union sowie im Vereinigten Königreich, in Norwegen, Island und Liechtenstein.
Die wichtigsten Ergebnisse:
- Das höchste Bußgeld in Höhe von 405 Mio. Euro verhängte die irische Datenschutzkommission (DPC) gegen den US-Konzern Meta.
- Das höchste Einzelbußgeld wurde in Luxemburg verhängt (746 Mio. Euro); Irland belegt auf der Länderliste die Plätze zwei bis sechs. Deutschland rangiert nach Frankreich auf Rang acht mit einem Einzelbußgeld von rund 35 Mio. Euro, verhängt durch die Datenschutzbehörde in Hamburg.
- Im Durchschnitt ging die Zahl der gemeldeten Datensicherheitsvorfälle leicht von 328 auf 300 Meldungen pro Tag zurück.
- Die Niederlande führen mit mittlerweile 117.434 Meldungen weiterhin die Liste der Länder mit dem meisten Meldungen von Datensicherheitsvorfällen seit Geltung der DSGVO im Mai 2018 an, gefolgt von Deutschland mit 76.967 Meldungen. Bezogen allein auf die Jahre 2021 und 2022 wurden allerdings in Deutschland mehr Vorfälle gemeldet als in den Niederlanden.
Soziale Netzwerke und KI-Training im Fokus
Das Rekord-Bußgeld gegen Meta Platforms Ireland Ltd. (Meta) zeige, so die Rechtsexperten, dass die sozialen Medien und die damit verbundene umfangreiche Verarbeitung personenbezogener Daten besonders im Fokus der Behörden stehen. Mehrere der höchsten Geldbußen, die 2022 von der irischen Datenschutzbehörde gegen Meta verhängt wurden, beziehen sich auf die Erstellung von Verhaltensprofilen von Nutzern bei Facebook und Instagram sowie auf die Frage, ob die massenhafte Erhebung durch eine "vertraglichen Notwendigkeit" legitimiert werden kann.
Neben Fragen zu personenbezogenen Daten im Zusammenhang mit Werbung und sozialen Medien richtet sich das Augenmerk der Behörden zunehmend auf künstliche Intelligenz und die Rolle personenbezogener Daten, die zum Training von KI verwendet werden. Nach Hinweisen von Datenschutzorganisationen gab es mehrere Untersuchungen gegen das Gesichtserkennungsunternehmen
Clearview AI
, gegen das auch Bußgelder verhängt wurden. Da KI und Machine-Learning-Plattformen immer allgegenwärtiger werden, prognostiziert die Studie für das kommende Jahr weitere behördliche Untersuchungen und Maßnahmen sowohl gegen Anbieter als auch Nutzer von KI.
Im Vergleich zum Vorjahr ist die Zahl der gemeldeten Datensicherheitsvorfälle leicht zurückgegangen ist, von 328 Meldungen auf 300 pro Tag. DLA Piper wertet die als Zeichen dafür, dass Unternehmen aus Furcht vor Ermittlungen, Geldbußen und Schadensersatzforderungen vorsichtiger werden, wenn es darum geht, den Aufsichtsbehörden Datensicherheitsvorfälle zu melden.
Risiko internationaler Datentransfer
Die Studie geht auch auf wichtige Entscheidungen der Datenschutzbehörden in 2022 ein. Etwa die Anwendung der Anforderungen aus der Schrems II-Entscheidung des EuGH und Kapitel V der Datenschutz-Grundverordnung mit Blick auf den internationalen Transfer personenbezogener Daten. Dem risikobasierten Ansatz bei der Übermittlung personenbezogener Daten in "Drittländer" erteilten die Datenschutzbehörden eine Absage; sie argumentierten vielmehr, dass internationale Datentransfers unzulässig seien, wenn die bloße Möglichkeit des Zugriffs ausländischer Behörden ein Schadensrisiko mit sich bringe.
Ein gewisses Risiko sollte jedoch in Kauf genommen werden, kommentiert Verena Grentzenberg
, Partnerin der Praxisgruppe Intellectual Property & Technology (IPT) von DLA Piper in Deutschland:
"Ein verhältnismäßiger, risikobasierter Ansatz bei der Auslegung der DSGVO-Beschränkungen für die internationale Übermittlung personenbezogener Daten ist nicht nur zulässig, sondern unserer Ansicht nach gesetzlich vorgesehen. Ein absolutistischer Ansatz bei den Übermittlungsbeschränkungen und ein effektives Verbot jeglicher Übermittlung personenbezogener Daten, wie gering (oder nicht existent) das Schadensrisiko auch sein mag, birgt die Gefahr, dass den Verbrauchern ein echter dauerhafter Schaden entsteht." Auch Jan Pohle
, IPT-Partner mit Spezialisierung im Bereich Datenschutz, sieht die Entscheidungen kritisch:
"Die Verarbeitung personenbezogener Daten hat viele Vorteile für Verbraucher und Gesellschaft, da sie beispielsweise die rasche Entwicklung und Einführung von Impfstoffen gewährleisten und Online-Dienste ermöglichen kann, die von Milliarden von Menschen weltweit genutzt werden. Es bleibt zu hoffen, dass die Aufsichtsbehörden ihren Vollzugsansatz manifestiert in den jüngsten Durchsetzungsentscheidungen kritisch hinterfragen."
Die Rechtslage ist in vielerlei Hinsicht noch lange nicht geklärt, darauf verweist Dr. Jan Geert Meents
, Managing Director UK & Europe und Partner der deutschen IPT-Gruppe:
"Die zahlreichen Bußgelder, die von der irischen Datenschutzkommission im vergangenen Jahr gegen die verhaltensbezogene Werbung von Social-Media-Plattformen verhängt wurden, haben weitreichende Folgen. Gleiches gilt für die Schrems II-Entscheidung mit Blick auf den internationalen Datentransfer. In Anbetracht dessen, was auf dem Spiel steht, dürfte mit jahrelangen Rechtsstreitigkeiten zu rechnen sein."