Mit der DSGVO wurden die Bußgelder bei Datenschutzverstößen erheblich erhöht, sodass selbst internationale IT-Konzerne die Konsequenzen eines Fehlverhaltens deutlich zu spüren bekommen könnten. Bislang wurde gegen Facebook, Google und Co. allerdings kaum durchgegriffen, doch das soll sich nun ändern.
Ein Ziel der Datenschutzgrundverordnung war es, den Strafrahmen bei Datenschutzverstößen so auszuweiten, dass auch Großkonzerne bei gravierenden Verstößen die fälligen Strafen nicht länger so einfach nebenbei aus der Portokasse zahlen können, sondern das Fehlverhalten sogar hier zu spürbaren finanziellen Konsequenzen führen kann.
Daher wurde der Strafrahmen so erweitert, dass es die Unternehmen im Maximalfall bis zu vier Prozent ihres Jahresumsatzes kosten kann, wenn sie in gravierender Weise gegen die Datenschutzvorgaben verstoßen.
Zuständig für Datenschutzverstöße von Facebook, Google & Co. ist Irland
Die meisten der großen US-Konzerne haben ihren europäischen Firmensitz in Irland, wobei sie diese Wahl dieses Standorts nicht nur aus steuerlichen Gesichtspunkten getroffen haben dürften, sondern auch davon profitieren wollen, dass die dortige Datenschutzbehörde, die Data Protection Commission bzw. DPC, als wenig durchsetzungsfähig gilt und allein schon aufgrund chronischer Unterbesetzung kaum in der Lage ist, alle gemeldeten Verstöße konsequent und zeitnah zu verfolgen.
Datenschutzbehörden und der EU-Datenschutzausschuss drängen auf Konsequenz bei US-Verstößen
Vor allem die deutschen Datenschutzbehörden, die ihrerseits immer wieder im Clinch mit Konzernen wie Google oder Facebook liegen, erwarten schon seit längerem, dass nun auch ihre irischen Kollegen endlich aktiver werden. Ebenso hatte sich Anfang des Jahres der Europäische Datenschutzausschuss (EDSA), für eine verbesserte Zusammenarbeit der nationalen Datenschutzbehörden ausgesprochen. Auch der österreichische Datenschutzaktivist Max Schrems hatte in einem offenen Brief anlässlich des zweiten Jahrestags des Inkrafttretens der DSGVO speziell die DPC wegen ihrer seiner Meinung nach unzureichenden Aktivität kritisiert.
DCP hat Maßnahmen gegen Verstöße von Twitter, WhatsApp und Facebook angekündigt
So langsam scheinen nun aber auch die kritisierten irischen Datenschützer zu reagieren. Kürzlich teilte die DPC mit, dass man ein Verfahren gegen den Kurznachrichtendienst Twitter bis zur Beschlussreife gebracht habe und auch in weiteren Verfahren gegen WhatsApp und Facebook weiter vorangekommen sei.
Im Fall von Twitter geht es um die Frage, ob der Betreiber des Dienstes ein Sicherheitsleck wie vorgeschrieben innerhalb von 72 Stunden nach Bekanntwerden gemeldet sowie den Verstoß und die eingeleiteten Maßnahmen zur Abhilfe im erforderlichen Maße dokumentiert habe. In diesem Verfahren hat die DPC bereits einen Entscheidungsentwurf erstellt und diesen nun zwecks Abstimmung mit den anderen nationalen Datenschutzbehörden an die die EDSA weitergeleitet, wo darüber abgestimmt werden soll.
Noch nicht ganz so weit ist man in einem Verfahren gegen WhatsApp. Hier habe man dem Unternehmen zunächst einen vorläufigen Entscheidungsentwurf zugestellt, und erwarte nun eine Stellungnahme. Hierbei geht um die Frage, ob WhatsApp die Nutzer in einer ausreichend transparenten Form darüber informiert habe, welche Daten an das Mutterunternehmen Facebook weitergeleitet werden. Außerdem wurde auch überprüft, inwieweit sich WhatsApp an die Informationspflichten, wie sie in den Artikeln 12 bis 14 der DSGVO aufgeführt werden, gehalten hat. Die DPC will nun die Stellungnahme des Unternehmens abwarten und diese im finalen Entscheidungsentwurf berücksichtigen, der dann ebenfalls an die EDSA übermittelt werden soll.
Schließlich habe man auch Untersuchungen zu Facebook durchgeführt und diese mittlerweile abgeschlossen. In diesem Fall, in dem es um die allgemeine Verarbeitung persönlicher Daten bei Facebook gehe, beginne nun die Phase der Entscheidungsfindung. Darüber hinaus liefen auch noch eine weitere Untersuchung gegen WhatsApp sowie eine gegen Instagram, wobei diese jedoch noch nicht so weit fortgeschritten seien.
Greift die DSGVO auch gegenüber den großen US-Konzernen?
Es dürfte sich also demnächst zeigen, ob sich die DSGVO auch für die großen US-Konzerne zu einer Abschreckungsmaßnahme entwickelt, oder ob sie für die großen Dienstanbieter oder doch eher ein Papiertiger bleiben wird (Datenschutzmängel an allen großen Online-Portalen). Anfang letzten Jahres hatte Google in Frankreich immerhin schon ein DSGVO-Bußgeld in Höhe von 50 Millionen Euro zahlen müssen. Ob die irische Datenschutzbehörde die laufenden Verfahren nun intensiver vorantreiben und den Bußgeldkatalog in ähnlicher Weise ausreizen will, bleibt abzuwarten.
Weitere News zum Thema:
Unzulänglichkeiten beim Datenschutz in Sozialen Netzwerken
Zustellungen an internationale Unternehmen müssen nicht übersetzt werden
Bisher höchstes Bußgeld gegen Google verhängt
Hintergrund:
Gerade in den Sozialen Netzwerken sammeln sich Unmengen von teilweise sehr privaten Daten an und daher sollte es eigentlich selbstverständlich sein, dass die Betreiber dieser Plattformen besonders umsichtig im Hinblick auf den Datenschutz handeln. Doch scheint nach wie vor eher das Gegenteil der Fall zu sein, wie eine Untersuchung der Verbraucherzentrale Nordrhein-Westfalen zum Datenschutz in Social Media ergab.