DSGVO – Was bisher geschah

Von |11.07.2022|
DSGVO – Was bisher geschah - Titelbild

Erst kürzlich feierte die Datenschutz-Grundverordnung (EU-DSGVO) ihren vierten Geburtstag. Groß war damals die Aufregung, als das Datenschutzpaket am 25. Mai 2018 europaweit in Kraft trat. Geblieben ist davon freilich recht wenig. Abgesehen von ein paar Rekordstrafen gegen Amazon & Co. sind die (theoretischen) Vorzüge noch nicht wirklich im Alltag der Menschen angekommen. Eher im Gegenteil: Vieles sorgt sogar für unverhohlenen Ärger der EU-Bürger

Das Ziel war ja ein hehres: Mit der Datenschutz-Grundverordnung wollte die Europäische Union ein unübersehbares Zeichen für rund 450 Millionen Verbraucher setzen. Sie alle sollten fortan ihre umfassende Rechte auf Auskunft, Löschung und Berichtigung der Daten wirksam durchsetzen können – und das auch gegenüber allen großen Internetkonzernen aus den USA.

So gesehen ist das Ergebnis einer repräsentativen (deutschen) Umfrage des Meinungsforschungsinstituts YouGov im Auftrag der Onlinedienste GMX und Web.de nun ein glatter Schlag ins Gesicht der EU-Kommission. Demnach sehen gerade mal neun Prozent der Befragten einen deutlich besseren Schutz durch die DSGVO. Ganze 38 Prozent konnten dagegen keine Verbesserung feststellen. Knapp ein Drittel (31 Prozent) verspürte immerhin einen teilweise besseren Schutz als zuvor. Also doch nur viel Lärm um Nichts?

Rekordbussen für Amazon & WhatsApp

Mitnichten. In den ersten Monaten nach dem Inkrafttreten der DSGVO war es jedenfalls verdächtig ruhig. So sind im Jahr 2018 hierzulande gerade mal 134 Verwaltungsstrafverfahren zusammengekommen, wovon 83 eingestellt wurden. Vier Fälle endeten mit einer Abmahnung, fünf Unternehmen mussten Strafe zahlen – allerdings nur im niedrigen fünfstelligen Bereich.

Ein paar Monate später gings dann aber rund. Im Juli 2019 verdonnerte die britische Datenschutzbehörde ICO British Airways zu einer Strafe von 204,6 Mio. Euro. Der Grund dafür war, dass Kriminelle die Kreditkartendaten von bis zu einer halben Million Airline-Kunden auslesen konnten. Da konnte freilich auch unsere Post nicht nachstehen und kassierte eine Strafe von rund 18 Mio. Euro. Sie hatte bekanntlich die Parteiaffinitäten von Millionen Post-Kunden gespeichert und diese Daten an wahlwerbende Parteien verkauft. Die Strafe wurde später übrigens – nach einem Einspruch – auf knapp die Hälfte (9,5 Mio. Euro) reduziert.

Knapp dahinter liegt inzwischen der „jö Bonus Club“. Das REWE Kundenbindungsprogramm wurde im Jänner 2022 zu einer Strafe von 8 Mio. Euro verdonnert – die Entscheidung ist allerdings noch nicht rechtskräftig. Eine übersichtliche Auflistung aller bisher verhängten DSGVO-Strafen (quer durch Europa) finden Sie übrigens hier.

Auch wenn es in Österreich relativ ruhig ist, als zahnlos sollte man die DSGVO aber dennoch nicht bezeichnen. Europaweit verhängen die zuständigen Behörden immer mehr Bußgelder, wie der VPN-Anbieter Atlas VPN zusammengetragen hat. Demnach wurden 2021 412 Bescheide mit einer Gesamtsumme von über einer Mrd. Euro erlassen. Das sind 521 Prozent mehr als die 171 Mio. Euro im Jahr zuvor.

Der Löwenanteil der Bußgeldsumme von 2021 entfällt dabei übrigens auf Amazon. Gegen den E-Commerce-Giganten verhängte die Luxemburger Datenschutzbehörde ein Bußgeld in Höhe von 746 Mio. Euro. Grund war das Amazon-Tracking, das auch massenhaft Daten sammelte, um Nutzern personalisierte Werbung zuspielen zu können. Kurz darauf traf es WhatsApp, dem die irische Datenschutzkommission eine Strafzahlung von 225 Mio. Euro auferlegte. Begründet wurde das mit einer mangelnden Transparenz bei der Weitergabe von Personendaten an andere Facebook-Unternehmen.

DSGVO sorgt oft für Ärger…

Um noch einmal auf die besagte YouGov-Umfrage zurückzukommen. Geht’s ums Thema DSGVO wird im Regelfall nicht über die Kernthemen „Recht auf Vergessen“ oder den vereinfachten und besser gestalteten „Diensteanbieterwechsel“ gesprochen, sondern über Cookies. 53 Prozent der Menschen in Deutschland (und Österreich dürfte sich hier nicht so viel unterscheiden) sind von den permanent aufpoppenden Cookie-Warnungen genervt. Gerade einmal zwölf Prozent sind hingegen der Meinung, dass die Cookie-Banner ihnen ein „Gefühl der Selbstbestimmung über ihre Daten“ geben. Das war so sicher nicht im Sinne der DSGVO-Erfinder.

Im Zuge der Corona-Pandemie kamen dann gleich noch ein paar „nervige Punkte“ dazu. Wie beispielsweise beim bekannten „Alles gurgelt“-Testsystem. Aufgrund der DSGVO wurden die Daten der Teilnehmer dort nämlich regelmäßig gelöscht und mussten dann immer wieder neu eingeben werden. Und fast ein bisschen kurios: Sogar der Brüsseler Flughafen musste dank Corona & DSGVO tief in die Tasche greifen. Zur Eindämmung der COVID-19-Pandemie wurden dort nämlich über einen längeren Zeitraum Wärmebildkameras zur Messung der Körpertemperatur von Flughafengästen eingesetzt. Passagiere mit einer Körpertemperatur von über 38° C wurden herausgefiltert und nach möglichen Corona-Symptomen befragt. Nach Ansicht der Aufsichtsbehörde fand die Verarbeitung der Daten zur Körpertemperatur vorliegend allerdings ohne Rechtsgrundlage statt. Zudem handelt es sich hier um Gesundheitsdaten und damit um eine besondere Kategorie personenbezogener Daten.

…auch in der Werbe- und Online-Branche

Heiß diskutiert werden die Auswirkungen der DSGVO aktuell in der Werbe- und Online-Branche. Der Grund dafür: Anfang des Jahres erging ein Urteil der österreichischen Datenschutzbehörde, wonach in bestimmten Fällen die Einbindung von Google Analytics in eine Website der EU-DSGVO widerspreche. Basis dafür war übrigens eine Musterbeschwerde der Datenschutzbehörde Noyb. Zwar ist das besagte Urteil noch nicht rechtskräftig (und bezieht sich außerdem auf eine sehr individuelle Art der Google Analytics-Einbindung), es könnte aber in der Folge trotzdem zu einem ziemlichen Chaos führen. Immerhin hat die kostenlose Google Analytics-Version derzeit einen Marktanteil von stolzen 86 Prozent.

Je nachdem, ob und wie das Urteil rechtskräftig wird, wären all diese Webseiten davon betroffen und müssten sich nach datenschutzkonformen Alternativen umsehen. Auch Google selbst hat zu dem Thema in einem Blogbeitrag bereits Stellung bezogen. Man stelle, so ist dort zu lesen, den Websitebetreibern bereits etliche Möglichkeiten zur Verfügung, um Google Analytics datenschutzkonform zu nutzen – allerdings liege das in der Verantwortung der jeweiligen Websitebetreiber. Will heißen: Der zeitliche und finanzielle Aufwand, Google Analytics entsprechend anzupassen, bleibt also – einmal mehr – bei den Unternehmen bzw. Webseitenbetreiber hängen.

Verwandtes Thema: Sorgfaltspflicht: Geschäftsführer haften für die Datensicherheit


Weitere Beiträge zum Thema DSGVO:

DSGVO - Teil 1 - Alle Grundlagen der EU-DSGVO

DSGVO – Teil 1

Alle Grundlagen der EU-DSGVO

DSGVO - Teil 2 - Wen betrifft die EU-Datenschutzgrundverordnung

DSGVO – Teil 2

Wen betrifft die EU-Datenschutzgrundverordnung

DSGVO - Teil 3 - Neue Pflichten für Unternehmen

DSGVO – Teil 3

Neue Pflichten für Unternehmen

DSGVO - Teil 4 - Informationspflichten und die Recht der Betroffenen

DSGVO – Teil 4

Informationspflichten und die Recht der Betroffenen


Du hast Fragen zur DSGVO? Wir haben die Antworten.

Wir kümmern uns um die Implementierung aller notwendigen technischen Maßnahmen für die EU-DSGVO und schulen deine Mitarbeiter.
Gemeinsam mit Rechts- und Unternehmensberatern bieten wir auf Wunsch eine ganzheitliche Beratung zur EU-Datenschutzgrundverordnung an.

Wir sind unter +43 59 555 und office@techbold.at erreichbar. Unsere vollständigen Kontaktdaten findest du hier

Sie sehen gerade einen Platzhalterinhalt von HubSpot. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.

Mehr Informationen
Evelyn Heinrich / Head of Account Management

Evelyn Heinrich

Head of Account Management

oder ein Account Manager aus ihrem Team melden sich umgehend.