Im Sektor Industrie und Handel haben Datenschutzbehörden aus 27 verschiedenen Ländern bisher 495 Bußgelder verhängt (+40 im Vergleich zum ETR 2024). Betroffen sind verschiedene Unternehmen, darunter Online-Plattformen, Softwareunternehmen, KI-Startups, Lebensmittelketten und Lebensmittellieferdienste, mit einem Gesamtbußgeldvolumen von EUR 953 Millionen (+EUR 56 Millionen im Vergleich zum ETR 2024).
Gemessen an der Zahl der registrierten Fälle und den durchschnittlich auferlegten Bußgeldern sind Unternehmen aus diesem Sektor stark im Fokus für die Verhängung von DSGVO-Bußgeldern. Der Sektor steht weiterhin unter dem Einfluss des zweithöchsten jemals im Rahmen der DSGVO verhängten Bußgelds (EUR 746 Millionen gegen Amazon im Jahr 2021) und der höchsten Anzahl registrierter Fälle aller Sektoren (495). Auffällig ist, dass die Zahl der neu hinzugekommenen Bußgelder in diesem Sektor im Jahr 2024 (+40) deutlich niedriger ist als im Vorjahr (+83). Der Anstieg des Gesamtbußgeldvolumens auf nunmehr EUR 953 Millionen wurde maßgeblich durch ein von der niederländischen Datenschutzbehörde gegen Clearview AI Inc. verhängtes Bußgeld in Höhe von EUR 30,5 Millionen beeinflusst. Der durchschnittliche Bußgeldbetrag war im Vergleich zum ETR 2024 nahezu identisch (ca. EUR 2 Millionen).
Die meisten Unternehmen in diesem Sektor wurden wegen einer unzureichenden Rechtsgrundlage für die Datenverarbeitung (114), einer unzureichenden Erfüllung der Informationspflichten (99) und der Nichteinhaltung der allgemeinen Datenschutzgrundsätze (91) mit einem Bußgeld belegt. Die spanische Datenschutzbehörde (aepd) bleibt mit Abstand die aktivste. Sie verhängte mehr als 40 % aller Bußgelder in diesem Sektor (204), gefolgt von den Behörden Italiens (Garante: 71) und Rumäniens (ANSPDCP: 59).
Schauen wir uns das genauer an
- Das höchste Bußgeld im Sektor Industrie und Handel im Jahr 2024 in Höhe von EUR 30,5 Millionen wurde von der niederländischen Datenschutzbehörde (AP) gegen Clearview AI Inc. verhängt (ETid-2448). Clearview AI, ein Anbieter von Gesichtserkennungsdiensten, verfügt über eine Datenbank mit über 30 Milliarden Bildern, darunter auch solchen von niederländischen Bürgern. Diese Bilder sind öffentlich zugänglichen Online-Plattformen, wie zum Beispiel sozialen Medien, entnommen. Clearview verwendet diese Bilder, um biometrische Profile zu erstellen, mit denen Personen identifiziert werden können. Bei ihrer Untersuchung stellte die Datenschutzbehörde fest, dass die in der Datenbank des Unternehmens enthaltenen personenbezogenen Daten unrechtmäßig und ohne gültige Rechtsgrundlage verarbeitet worden waren. Darüber hinaus hat Clearview den Grundsatz der Transparenz verletzt, indem es die betroffenen Personen nicht angemessen über die Verarbeitung ihrer Daten informiert hat. Außerdem hat das Unternehmen auf zwei Anträge betroffener Personen auf Auskunft nicht reagiert. Das Unternehmen hat ebenfalls versäumt, die Ausübung des Rechts auf Auskunft von im Gebiet der Niederlande ansässigen betroffenen Personen zu ermöglichen. Schließlich hat das Unternehmen einen Vertreter in der Europäischen Union, wie ihn die Datenschutz-Grundverordnung vorsieht, nicht bestellt.
- Die tschechische Datenschutzbehörde (UOOU) hat Avast Software s.r.o. mit einem Bußgeld in Höhe von EUR 13,9 Millionen belegt (ETid-2298). Avast Software hatte die personenbezogenen Daten von rund 100 Millionen Nutzern seiner Antivirensoftware an die US-Gesellschaft Jumpshot weitergegeben. Avast hatte diese Daten, einschließlich des pseudonymisierten Internet-Browser-Verlaufs der Nutzer in Verbindung mit einer eindeutigen ID, an Jumpshot übermittelt, sie aber fälschlicherweise als anonymisiert deklariert. Die Nutzer wurden unzutreffenderweise über die Übermittlung anonymisierter Daten informiert, weil eine teilweise Identifizierung der betroffenen Personen möglich war.
- Die litauische Datenschutzbehörde (VDAI) verhängte ein Bußgeld in Höhe von EUR 2,38 Millionen gegen die Online-Plattform für Gebrauchtwaren "Vinted" (ETid-2398). Die Datenschutzbehörde leitete eine Untersuchung ein, nachdem die polnische und die französische Datenschutzbehörde Beschwerden gegen das Unternehmen weitergeleitet hatten. Bei ihrer Untersuchung stellte die Datenschutzbehörde fest, dass das Unternehmen Löschanträge von betroffenen Personen nicht angemessen bearbeitet hatte, da diese keine bestimmten Gründe für ihren Löschantrag angegeben hatten. Es wurde auch aufgedeckt, dass das Unternehmen unrechtmäßig "Shadow Blocking" einsetzte, um Nutzer ohne deren Wissen von der Plattform zu entfernen, was gegen die Grundsätze der Fairness und Transparenz verstieß. Dies beeinträchtigte auch die Fähigkeit der Nutzer, ihre Rechte gemäß der DSGVO auszuüben. Darüber hinaus stellte die Datenschutzbehörde fest, dass Vinted unzureichende technische und organisatorische Maßnahmen ergriffen hatte, um die Einhaltung des Grundsatzes der Rechenschaftspflicht zu gewährleisten und um den Einsatz angemessener Maßnahmen im Hinblick auf das Auskunftsrecht nachweisen zu können.
- Trotz der neuen sieben- und achtstelligen Bußgelder im Jahr 2024 ist das herausragende und zweithöchste DSGVO-Bußgeld unter allen Sektoren dasjenige in Höhe von EUR 746 Millionen, das von der luxemburgischen Datenschutzbehörde (CNPD) im Jahr 2021 gegen Amazon Europe Core S.a.r.l. verhängt wurde (ETid-778).
