Die europäischen Datenschutzbehörden haben auch im Dezember 2024 Bußgelder in Millionenhöhe verhängt. So wurde allein gegen Meta ein Bußgeld in Höhe von 251 Millionen Euro verhängt. Gegen den Mobilfunkkonzern Orange erging eine Geldbuße in Höhe von 50 Millionen Euro. Und gegen das ChatGPT-Unternehmen wurde eine Geldstrafe in Höhe von 15 Millionen Euro ausgesprochen.
Meta Platforms Ireland Ltd.: 251 Millionen Euro (Irland)
Am 17. Dezember 2024 gab die irische Datenschutzkommission (DPC) ihre endgültigen Entscheidungen zu zwei Untersuchungen gegen Meta Platforms Ireland Limited bekannt. Diese Untersuchungen wurden von der DPC von Amts wegen eingeleitet, nachdem Meta im September 2018 eine Verletzung des Schutzes personenbezogener Daten gemeldet hatte. Der Vorfall betraf rund 29 Millionen Facebook-Konten weltweit, darunter etwa 3 Millionen Konten von Nutzern aus der EU. Zu den kompromittierten personenbezogenen Daten gehörten der vollständige Name, die E-Mail-Adresse, die Telefonnummer, der Standort, der Arbeitsplatz, das Geburtsdatum, die Religion, das Geschlecht, Timeline-Beiträge, Gruppenmitgliedschaften und sogar Daten von Kindern.
Die Datenpanne wurde durch die Ausnutzung von Nutzer-Tokens durch unbefugte Dritte auf der Facebook-Plattform verursacht. Meta und seine Muttergesellschaft in den USA haben den Vorfall kurz nach seiner Entdeckung behoben. Dennoch stellte die DPC nach eingehender Prüfung mehrere Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) fest und verhängte Bußgelder in Höhe von insgesamt 251 Millionen Euro. Die Verstöße im Einzelnen:
- Artikel 33 Absatz 3 DSGVO – Meta hat bei der Meldung einer Datenpanne nicht alle nach dieser Vorschrift erforderlichen Angaben gemacht, obwohl dies möglich gewesen wäre. Hierfür verhängte der DPC eine Geldbuße in Höhe von 8 Millionen Euro.
- Artikel 33 Absatz 5 DSGVO – Meta hat es versäumt, die Fakten zu jedem Vorfall und die ergriffenen Abhilfemaßnahmen angemessen zu dokumentieren, um der Aufsichtsbehörde eine Überprüfung der Einhaltung zu ermöglichen. Für diesen Verstoß wurde eine Geldbuße von 3 Millionen Euro verhängt.
- Artikel 25 Absatz 1 DSGVO – Meta hat es versäumt, Datenschutzprinzipien bereits in der Entwurfsphase der Verarbeitungssysteme zu berücksichtigen. Dieser Verstoß wurde mit einer Geldbuße von 130 Millionen Euro geahndet.
- Artikel 25 Absatz 2 DSGVO – Meta ist seiner Verpflichtung als Verantwortlicher nicht nachgekommen, dafür zu sorgen, dass personenbezogene Daten standardmäßig nur für bestimmte Zwecke verarbeitet werden. Dieser Verstoß wurde mit einer Geldbuße von 110 Millionen Euro geahndet.
Orange SA: 50 Millionen Euro (Frankreich)
Die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) gab am 10. Dezember 2024 bekannt, dass sie gegen den führenden französischen Telekommunikationsanbieter Orange SA ein Bußgeld in Höhe von 50 Millionen Euro verhängt hat.
Die CNIL stellte bei ihrer Untersuchung fest, dass Orange Werbeanzeigen im Posteingang der Nutzer platzierte, die sich optisch kaum von regulären E-Mails unterschieden. Gemäß Artikel L. 34-5 CPCE ist für jede Form der elektronischen Werbung die vorherige Einwilligung der betroffenen Personen erforderlich. Diese Praxis stand im Widerspruch zur Rechtsprechung des Europäischen Gerichtshofs (EuGH), wonach jede Werbung, die im Posteingang eines Nutzers erscheint, als Nutzung von E-Mails zu Werbezwecken gilt und nur mit ausdrücklicher Einwilligung des Nutzers zulässig ist. Obwohl Orange diese Praxis im November 2023 einstellte und seitdem klarer gekennzeichnete Werbung verwendet, stufte die CNIL die vorherige Umsetzung als schwerwiegenden Verstoß ein. Die hohe Zahl der betroffenen Nutzer – mehr als 7,8 Millionen – sowie der finanzielle Vorteil, den Orange durch den Verkauf der Werbeplätze erzielt hat, wurden bei der Bemessung der Geldbuße berücksichtigt.
Darüber hinaus stellte die CNIL fest, dass die von den Nutzern gesetzten Cookies trotz des Widerrufs der Einwilligung weiterhin von Orange ausgelesen wurden. Artikel 82 des französischen Datenschutzgesetzes (Loi Informatique et Libertés) schreibt vor, dass jede Speicherung oder Weiterverarbeitung von Informationen auf Endgeräten nur mit ausdrücklicher Einwilligung des Nutzers erfolgen darf und dass diese Einwilligung jederzeit widerrufbar sein muss. Diese Praxis verletzt nicht nur das Vertrauensverhältnis zwischen Nutzer und Anbieter, sondern steht auch im Widerspruch zu den Grundprinzipien der Datenschutz-Grundverordnung (DSGVO) und des Datenschutzgesetzes (Loi Informatique et Libertés). Die CNIL sah in der Praxis von Orange einen klaren Verstoß gegen diese Vorschriften, da die Nutzer nicht sicher sein konnten, dass ihr Widerruf technisch umgesetzt wurde. Die CNIL betonte, dass es in der Verantwortung von Orange liege, technische Lösungen zu implementieren, die das Auslesen von Cookies nach einem Widerruf verhindern. Bei Cookies, die von Partnern von Orange gesetzt werden, ist das Unternehmen dafür verantwortlich, dass auch diese Partner entsprechende Maßnahmen ergreifen.
Neben der Geldbuße in Höhe von 50 Millionen Euro hat die CNIL auch eine Anordnung erlassen, das unzulässige Auslesen von Cookies innerhalb von drei Monaten einzustellen. Für jeden Verzugstag wurde ein Zwangsgeld von 100.000 Euro festgesetzt.
OpenAI: 15 Millionen Euro (Italien)
Die italienische Datenschutzbehörde (Garante per la Protezione dei Dati Personali) hat OpenAI, das Unternehmen hinter dem KI-gestützten Chatbot ChatGPT, mit einer Geldbuße in Höhe von 15 Millionen Euro belegt.
Die Untersuchung wurde im März 2023 eingeleitet, nachdem die Datenschutzbehörde Verstöße im Zusammenhang mit der Verarbeitung personenbezogener Daten durch OpenAI festgestellt hatte. Die zentralen Vorwürfe gegen OpenAI umfassten:
- Unterlassene Meldung einer Datenschutzverletzung: OpenAI hatte der Behörde eine im März 2023 aufgetretene Datenpanne nicht ordnungsgemäß gemeldet.
- Unzureichende Rechtsgrundlage für die Datenverarbeitung (Verstoß gegen Artikel 6 DSGVO): OpenAI hat personenbezogene Daten von Nutzern und Nichtnutzern für die Entwicklung und das Training von ChatGPT ohne angemessene Rechtsgrundlage verarbeitet.
- Verstoß gegen das Transparenzgebot: OpenAI hat die Betroffenen nicht ausreichend über die Verarbeitung ihrer Daten informiert, wie es Art. 12 und 13 DSGVO vorschreiben.
- Fehlende Altersverifikation (Verstoß gegen Art. 8 DSGVO): Die fehlende Altersverifikation führte dazu, dass Kinder unter 13 Jahren potenziell ungeeigneten Inhalten ausgesetzt wurden.
Die italienische Datenschutzbehörde verhängte nicht nur ein Bußgeld in Höhe von 15 Millionen Euro, sondern machte erstmals auch von den Befugnissen nach Art. 166 des italienischen Datenschutzgesetzes Gebrauch. OpenAI wurde verpflichtet, eine breit angelegte Informationskampagne über Radio, Fernsehen, Printmedien und das Internet durchzuführen. Ziel dieser Maßnahme ist es, die Öffentlichkeit über die Funktionsweise von ChatGPT sowie über die Datenerhebung und die Rechte der Betroffenen zu informieren. Die sechsmonatige Kampagne soll Nutzer und Nichtnutzer darüber informieren, wie sie ihre Rechte auf Widerspruch, Löschung und Berichtigung gemäß der Datenschutz-Grundverordnung wahrnehmen können.
Da OpenAI inzwischen seinen europäischen Hauptsitz in Irland hat, wurden die Verfahren an die irische Datenschutzbehörde übergeben, die nun als federführende Aufsichtsbehörde weitere Untersuchungen durchführt.
Quelle: Bußgeldbescheid Garante per la Protezione dei Dati Personali gegen OpenAI
Netflix International BV: 4,75 Millionen Euro (Niederlande)
Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen Netflix International B.V. ein Bußgeld in Höhe von 4,75 Millionen Euro verhängt. Der Streaming-Dienst wurde wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft, unter anderem wegen mangelnder Transparenz in seiner Datenschutzrichtlinie und der Nichterfüllung von Informationspflichten bei der Beantwortung von Auskunftsersuchen.
Netflix wurde vorgeworfen, dass die Datenschutzrichtlinie des Unternehmens keine ausreichenden Angaben zu den Zwecken und Rechtsgrundlagen der Datenverarbeitung enthalte. Auch die Angaben zu den Empfängern der personenbezogenen Daten, zu den Speicherfristen und zum internationalen Datentransfer waren unvollständig. Darüber hinaus beantwortete Netflix Auskunftsersuchen von Kunden nicht hinreichend konkret. Diese Verstöße beziehen sich auf die Artikel 12, 13 und 15 der Datenschutz-Grundverordnung, die Unternehmen dazu verpflichten, personenbezogene Daten in transparenter, verständlicher und zugänglicher Weise zu verarbeiten.
Die Untersuchung wurde eingeleitet, nachdem die Organisation „None Of Your Business“ (NOYB) im Namen von Betroffenen Beschwerden eingereicht hatte. NOYB kritisierte, dass Netflix bei der Beantwortung von Auskunftsersuchen keine detaillierten Informationen über die Zwecke der Datenverarbeitung, die betroffenen Datenkategorien oder die Empfänger bereitgestellt habe. Diese Lücken behinderten die Ausübung der Rechte der Betroffenen, wie das Recht auf Löschung oder das Widerspruchsrecht.
In seinem am 18. Dezember 2024 veröffentlichten Beschluss stellte der EDSB fest, dass die Verstöße erhebliche Auswirkungen auf die Rechte und Freiheiten der betroffenen Personen haben könnten, da Netflix weltweit Millionen von Nutzern hat, von denen ein erheblicher Teil in der Europäischen Union ansässig ist. Netflix wurde jedoch zugute gehalten, dass es seine Datenschutzbestimmungen während des Verfahrens mehrfach überarbeitet und verbessert hatte. Dennoch wurden die vorgenommenen Änderungen als unzureichend erachtet, um die Anforderungen der Datenschutz-Grundverordnung vollständig zu erfüllen.
Die verhängte Geldbuße trägt sowohl der Schwere der Verstöße als auch der Marktstellung von Netflix Rechnung. Die AP betonte, dass Transparenz und der Schutz personenbezogener Daten zentrale Säulen der DSGVO sind und Verstöße gegen diese Grundsätze nicht toleriert werden können. Darüber hinaus soll die Sanktion auch eine abschreckende Wirkung haben, um die Einhaltung der Datenschutzvorschriften zu gewährleisten. Netflix hat gegen das Bußgeld Berufung eingelegt.
Quelle: Bußgeldbescheid Autoriteit Persoonsgegevens gegen Netflix
Telefonica des España: 1,3 Millionen Euro (Spanien)
Die spanische Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) hat Telefónica eine Geldstrafe in Höhe von 1,3 Millionen Euro auferlegt, nachdem die persönlichen Daten seiner Kunden durch eine Sicherheitslücke gefährdet worden waren. Das Mobilfunkunternehmen hatte im September 2022 einen Sicherheitsvorfall aufgedeckt, bei dem Unbekannte mit den Anmeldedaten von Mitarbeitern in das Unternehmensnetzwerk eingedrungen waren, um Daten zu stehlen.
Die Untersuchung ergab, dass 1.021.253 Personen von der Sicherheitslücke betroffen waren, darunter auch Kunden der Tochtergesellschaften Movistar und O2. Die AEPD stellte fest, dass die technischen und organisatorischen Maßnahmen zum Schutz der gesammelten Daten nicht ausreichend waren. Diese hätten den Fehler verhindern können. So reichten beispielsweise Benutzername und Passwort aus, um sich erfolgreich in das Firmennetzwerk einzuloggen.
Das Bußgeld setzt sich aus zwei Strafen zusammen: 500.000 Euro für den Verstoß gegen Art. 5 Abs. 1 lit. f DSGVO und 800.000 Euro für den Verstoß gegen Art. 32 DSGVO.
Quelle: Bußgeldbescheid der Agencia Española de Protección de Datos gegen Telefonica