Neuigkeiten aus der Datenschutzwelt

Der Datenschutz entwickelt sich weiter, daher sind Urteile besonders wichtig für neue Interpretationen zur Auslegung des Datenschutzes. Einige der neuen Urteile aus der EU sind hier zusammengetragen.

Die niederländische Aufsichtsbehörde hat ein Bußgeld in Höhe von 750.000 Euro gegen das populäre soziale Netzwerk TikTok erhoben. Grund ist die Nicht-Einhaltung der Informationspflichten gegenüber den Benutzern gem. Art. 13 und 14 DSGVO. Die Datenschutzerklärung der App gab es nur auf Englisch. Allerdings ist eine große Mehrheit der Benutzer minderjährig, teilweise auch sehr jung, und sprechen ggf. kein Englisch. Somit erfüllt TikTok nicht die Erwartung, dass alle Betroffenen ihre Einwilligung nach einer vollständigen Information geben.

Durch dieses Urteil ergeben sich einige Fragen bzgl. der zu Verfügungstellung von Datenschutzinformationen auf Englisch und deren Rechtskonformität. Einige Unternehmen entscheiden sich für eine einsprachige und standardisierte Datenschutzerklärung. Dieses könnte ggf. zu Verstößen führen, wenn die Betroffenen hierdurch nicht ausreichend informiert werden. Insbesondere bei Diensten, die u.a. auch für Minderjährige vorgesehen sind und häufig von dieser Altersgruppe genutzt werden , ist eine vollständige Datenschutzinformation in der Landessprache zwingend notwendig.

Die französische Aufsichtsbehörde hat hingegen zwei Unternehmen, für die Nicht-Einhaltung der Löschfristen bestrafft. Ein Versicherungsunternehmen, SGAM AG2R La Mondiale, wurde mit einem Bußgeld in Höhe von 1,75 Millionen Euro bestrafft. Dort wurden zwar Löschfristen vorgesehen, aber nicht eingehalten. Daten von Betroffenen, die länger als die gesetzlich vorgesehenen drei Jahre oder sogar seit mehr als fünf Jahren keinen Kontakt mit dem Unternehmen hatten, wurden noch aufbewahrt. Darunter auch sensible Daten wie Gesundheitsdaten und Bankdaten.

Mit 500.000 Euro wurde Brico Privé bestrafft. Hier wurden keine Löschfristen vorgesehen und somit Daten von Kunden, die seit mehr als drei Jahren kein Kontakt mit dem Unternehmen hatten nicht gelöscht. Zudem wurde hier bemängelt, dass Löschersuchen nicht umgesetzt wurden, die technischen und organisatorischen Maßnahmen (TOMs) nicht ausreichend waren und auf der Website Cookies ohne Einwilligung gesetzt wurden.

Auch in Frankreich wurde IKEA vom Strafgerichtshof mit 1 Millionen Euro bestrafft. Das Unternehmen hat private Daten von Mitarbeitern gesammelt, um diese zu Spionagezwecken und als Druckmittel bei Konflikten oder bei Gewerkschaftsaktivitäten zu verwenden.

In Luxemburg hat die Aufsichtsbehörde gegen Amazon ein Bußgeld in Höhe von 746 Millionen Euro erhoben. Diese Information ergab sich aus dem Quartalsbericht von Amazon, weitere Informationen gibt es auf Grund der luxemburgischen Regelung, dass Urteile nicht veröffentlicht werden, bis die letzte Instanz abgeschlossen, ist kaum.

Hier wird wieder einmal die Bedeutung der  Zusammenarbeit und Kooperation zwischen Aufsichtsbehörden deutlich. Ursprung dieses Urteil ist nämlich eine Klage einer Verbraucherschutzgruppe in Frankreich aus 2018. Aufgrund des Sitzes des Unternehmens in Luxemburg wurde im Nachhinein die Untersuchung dort weitergeführt. Sollte dieses Urteil in einer weiteren Instanz bestätigt werden wäre es bei weitem das höchste Bußgeld in der Geschichte der DSGVO und eine Ansage für große Tech-Unternehmen.