Weniger Bussen wegen DSGVO-Verstössen in der EU in 2022
Im Jahr 2022 mussten EU-Unternehmen insgesamt über 830 Millionen Euro an Bussen wegen DSGVO-Verstössen bezahlen. Das ist weniger als im Vorjahr. Als grösster "Sünder" gegen Datenschutzvorschriften entpuppt sich Meta.
Die neuesten vom IT-Sicherheitsdienstleister Atlas VPN analysierten Daten zeigen, dass EU-Unternehmen bis Dezember 2022 in 1401 Fällen insgesamt 2,83 Milliarden Euro wegen Verstössen gegen verschiedene Datenschutzgesetze gezahlt haben. Davon belaufen sich die DSGVO-Bussgelder im Jahr 2022 auf insgesamt 832 Millionen Euro. Das sind 36 % weniger als die 1,3 Milliarden Euro, die infolge von DSGVO-Verstössen im Jahr 2021 entrichtet werden mussten. Die Daten für die Analyse stammen von Enforcementtracker, wobei zu beachten ist, dass nicht alle Fälle öffentlich gemacht worden sind.
Meta muss wiederholt Hunderte von Millionen Strafen zahlen
Das vergangene Jahr zeichnet sich jedoch nicht durch die Gesamtsumme der Geldbussen aus, sondern durch die Schwere der gegen ein einzelnes Unternehmen – nämlich Meta – verhängten Strafen. Die höchste Summe, die für Verstösse erhoben wurde, wurde im dritten Quartal 2021 verzeichnet, aber auch das dritte Quartal 2022 war von Bedeutung, da Unternehmen mit 430 Millionen Euro bestraft wurden.
Bezeichnenderweise wurde der Grossteil der Strafen im Jahr 2022 von einem einzigen Tech-Riesen – Meta – gezahlt. Die Data Protection Commission (DPC), eine Behörde für die Durchsetzung der DSGVO in Irland, verhängte am 5. September 2022 eine Geldstrafe in Höhe von 405 Millionen Euro gegen Meta Platforms Ireland Limited (Instagram). In diesem Fall wurden zwei Probleme bei der Verarbeitung personenbezogener Daten von Kindern, die Instagram nutzen, festgestellt. Die E-Mail-Adressen und Telefonnummern der Kinder waren öffentlich zugänglich, wenn sie die Instagram-Funktion für Geschäftskonten nutzten, und die Instagram-Profile der Kinder waren standardmässig öffentlich.
Eine weitere saftige Strafe in Höhe von 265 Millionen Euro wurde demselben Unternehmen am 25. November 2022 aufgebrummt, als die Datenschutzbehörde erklärte, Meta habe gegen zwei Artikel der EU-Datenschutzgesetze verstossen, nachdem 2018 und 2019 Daten von Facebook-Nutzern aus aller Welt aus öffentlichen Profilen abgegriffen worden waren. Darüber hinaus erteilte der Datenschutzbeauftragte eine „Rüge und eine Anordnung“, mit der Meta gezwungen wurde, „seine Verarbeitung in Einklang zu bringen, indem es innerhalb einer bestimmten Frist eine Reihe von spezifizierten Abhilfemassnahmen durchführt“, wie es hiess. Meta kam dieser Aufforderung nach und nahm die Anpassungen innerhalb des vorgegebenen Zeitrahmens vor. Bislang hat Meta rund 1 Milliarde Euro wegen DSGVO-Verstössen gezahlt.
Schutz vor DSGVO-Verstössen eine „entmutigende Aufgabe“
Die DSGVO ist seit dem 25. Mai 2018 in Kraft und hat Auswirkungen auf viele Unternehmen, die in der EU tätig sind. Da es sich um eine extraterritoriale Regelung handelt, gilt die DSGVO auch für Unternehmen ausserhalb der EU, also auch für solche in der Schweiz. Die Gesetzgebung zielt insbesondere darauf ab, die Rechte der betroffenen Personen zu schützen, und nicht darauf, Unternehmen zu regeln. Eine „betroffene Person“ ist jeder EU-Bürger.
Der Umfang und die Komplexität der Datenschutz-Grundverordnung beschäftigt die Compliance-Abteilungen vieler Unternehmen und machen dies zu einer eher entmutigenden Aufgabe, wie Atlas VPN konstatiert. Dennoch sei sie notwendig, denn mit der zunehmenden Vernetzung der Welt wird es auch immer schwieriger, anonym zu bleiben, was eines der grundlegendsten Rechte ist, das jeder geniessen können sollte, selbst wenn dies bedeutet, dass Unternehmen ihre Vorgehensweise bei der Datenerfassung und -verarbeitung ändern und Geldstrafen zahlen müssen.
Für dieses Jahr ist zudem auch in der Schweiz die Einführung des neuen Datenschutzgesetzes vorgesehen.
Quelle: Atlas VPN
