Die Datenschutzbehörde von Luxemburg CNPD verhängte gegen den Onlinehändler Amazon ein Rekordbußgeld von 746 Millionen Euro wegen grundsätzlicher Verstöße gegen die DSGVO. Amazon wehrt sich allerdings gegen die Folgen aus dem ᐅDSGVO-Verstoß.
Um welche Verstöße geht es den Vorwürfen?
Die CNPD hat den Grund für das Bußgeld nicht explizit veröffentlicht, sie unterliegt einer Verschwiegenheitspflicht. Damit unterscheidet sie sich übrigens von anderen Aufsichtsbehörden. Es gibt aber Vermutungen.
Medienberichten zufolge wurde die Strafe gegen das System verhängt, das Amazon beim Online-Targeting einsetzt. Es ist kein Einzelfall, dass Behörden gegen den größten Onlinehändler der Welt vorgehen. Das Unternehmen steht unter anderem wegen mehrerer wettbewerbsrechtlicher Verfahren verschiedener Aufsichtsbehörden unter Druck. Das ist aber juristisch ein vollkommen anderes Feld.
Beim Online-Targeting geht es um die personalisierte Werbung von Amazon. Der Händler sammelt auf eigenen und auf Drittseiten die Daten von Kunden und Interessenten im großen Stil. Damit sollten diese mit individualisierter Werbung zu Käufen bewegt werden, was offensichtlich ganz gut funktioniert.
Die französische Organisation „La Quadrature du Net“, die sich für Bürgerrechte einsetzt, hatte schon 2018 gegen mehrere US-Konzerne Beschwerde wegen des Umgangs mit personenbezogenen Daten eingereicht, darunter gegen Amazon, Apple, Google, Microsoft und Facebook. Diese Firmen sollen die Daten nicht DSGVO-konform behandeln. Laut Aussage der Bürgerrechtsorganisation war ihre Beschwerde bis zum Frühjahr 2021 nicht bearbeitet worden, worauf sie Kritik erhob.
Das Beschwerdeverfahren war von Frankreich an die luxemburgischen Behörden weitergeleitet worden, weil Amazon dort seine Europazentrale hat, doch die Bürgerrechtler hatten bislang nicht einmal eine Eingangsbestätigung erhalten. In Luxemburg kümmerte man sich nun offenbar darum und verhängte das betreffende Bußgeld, gegen das Amazon eine Berufung ankündigte.
Das Unternehmen bezieht die Position, dass es den Datenschutz nach europäischem Recht in keiner Weise verletzt und vor allem keine personenbezogenen Daten an Dritte weitergeleitet habe. Die Entscheidung der luxemburgischen Behörde beruhe auf subjektiven und vor allem ungeprüften Auslegungen der DSGVO, so ein Sprecher von Amazon.
Zur Bußgeldhöhe
Amazon vertritt den Standpunkt, dass die Bußgeldhöhe unverhältnismäßig ist, selbst wenn die Vorwürfe Substanz hätten. Wahr ist, dass 746 Millionen Euro ein Rekordbußgeld sind, das es in dieser Höhe in der DSGVO-Geschichte noch nicht gab.
Es reizt allerdings den laut DSGVO möglichen Rahmen bei Weitem nicht aus, denn dieser richtet sich nach dem weltweiten Jahresumsatz eines Unternehmens. Bei besonders schweren Verstößen können maximal vier Prozent dieses Umsatzes als Bußgeld angesetzt werden, was im Falle von Amazon 12,96 Milliarden Euro wären. Die Rechnung ergibt sich aus einem Jahresumsatz des Unternehmens von 386,1 Milliarden US-Dollar in 2020. Vier Prozent davon sind ~15,44 Milliarden Dollar = 12,96 Milliarden Euro nach gegenwärtigem Kurs.
Wie stehen die Aussichten in Bezug auf die Wirksamkeit des Bußgeldes?
Grundsätzlich wurden wegen vergleichbarer DSGVO-Verstöße, also dem Datensammeln und -verwerten durch Online-Targeting, seit 2019 schon etliche Bußgelder verhängt. Beispiele wären:
- 18 Millionen Euro gegen die Österreichische Post AG, die private, per Online-Targeting erhobene Daten verkauft und dabei sogar die politischen Präferenzen von Kunden weitergeleitet hatte (2019)
- 525.000 Euro gegen das niederländische Unternehmen KNLTB, das per Online-Targeting ermittelte Daten zu Werdebezwecken verkauft hatte (2020)
- mehrere Strafen gegen Unternehmen, deren Webseiten das Abwählen von Cookies nicht zuließen und somit das ungebremste Online-Targeting förderten (ab 2019)
Über die Bußgeldhöhe entscheidet allerdings bei einem Einspruch des betroffenen Unternehmens ein Gericht, worauf es im vorliegenden Fall CNPD vs. Amazon hinauslaufen dürfte.
Das bisher höchste DSGVO-Bußgeld hatte die britische Datenschutzbehörde gegen British Airways verhängt, es sollte 200 Millionen Euro betragen. Der Hintergrund war ein Datenleck mit mehreren Hunderttausend Betroffenen. Die Fluggesellschaft wehrte sich 2020 erfolgreich vor Gericht und konnte die Höhe auf ein reichliches Zehntel (22 Millionen Euro) senken, wobei die Richter allerdings ihre Belastungen durch die gerade ausgebrochene Corona-Pandemie in Rechnung stellten.
Das tatsächlich bezahlte höchste Bußgeld bleibt somit die 50-Millionen-Euro-Strafe, die Google auf Veranlassung der französischen Datenschutzbehörde zahlen musste. Auch hier hatte La Quadrature du Net die betreffende Beschwerde eingereicht.
Danach folgen 35 Millionen Euro gegen H&M, verhängt durch die Datenschutzaufsicht von Hamburg. Der Modekonzern hatte seine Mitarbeiter überwacht.
In Deutschland laufen derzeit gerichtliche Verfahren wegen verhängter, aber nicht akzeptierter Bußgelder gegen den Immobilienkonzern Deutsche Wohnen (14,5 Millionen Euro, Revision läuft) und gegen notebooksbilliger.de (10 Millionen Euro). Der Internetanbieter 1&1 konnte sich 2020 juristisch erfolgreich gegen eine Bußgeldhöhe von 9,5 Millionen Euro, verhängt durch den Bundesdatenschutzbeauftragten, wehren: Das Bonner Landgericht kürzte die Höhe auf 900.000 Euro. Es ist also nicht ausgemacht, dass Amazon tatsächlich die angesprochene Rekordsumme als Bußgeld zahlen muss.
