Die 27 europäischen Datenschutzbehörden müssen ihre Vorgehensweisen noch aufeinander abstimmen. Der Europäische Datenschutzausschuss (EDSB) arbeitet an der Entwicklung einheitlicher Methoden der Datenschutzbehörden in den verschiedenen Mitgliedstaaten.
Die am 25. Mai 2018 in Kraft getretene DSGVO (Europäische Datenschutz-Grundverordnung) greift auf die Aufsichtsorgane der 27 EU-Mitgliedstaaten zurück. Diese sind für Unternehmen in einem bestimmten Land eine zentrale Ansprechstelle. Im Zweifelsfall sollte sich ein Unternehmen an die Datenschutzbehörde des Mitgliedstaates wenden, in dem sich seine Hauptniederlassung befindet. Diese Behörde wird dann als die leitende Behörde bezeichnet.
Die Hauptniederlassung eines Unternehmens ist entweder der Ort seines zentralen Sitzes in der EU oder die Niederlassung, in der die Entscheidungen über den Zweck und die Art und Weise der Verarbeitung personenbezogener Daten getroffen werden.
Wenn Unternehmen länderübergreifende Datenverarbeitungen durchführen, also Datenverarbeitungen, die Bürger aus mehreren Mitgliedstaaten betreffen, sind die Datenschutzbehörden der verschiedenen betroffenen Staaten rechtlich dafür zuständig, die Einhaltung der Vorschriften sicherzustellen.
Aber um eine einheitliche Antwort für das gesamte EU-Gebiet zu geben, arbeitet die leitende Behörde mit den anderen betroffenen Datenschutzbehörden im Rahmen gemeinsamer Operationen zusammen. Die Entscheidungen werden von allen beteiligten Behörden gemeinsam getroffen, was insbesondere für Strafen gilt. Auf diese Weise erhalten Unternehmen einen einzigen EU-Ansprechpartner zum Schutz personenbezogener Daten.
Nationale Schutzbehörden im EDSB vereint
Alle einzelstaatlichen Schutzbehörden sind in einem Europäischen Datenschutzausschuss (EDSB) vereint, der für die einheitliche Anwendung des Datenschutzrechts zuständig ist.
Dem EDSB gehören die Leiter der Aufsichtsorgane der einzelnen Mitgliedstaaten, der Europäische Datenschutzbeauftragte und, ohne Stimmrecht, die Vertreter der Behörden von Norwegen, Island und Lichtenstein an. Die Europäische Kommission kann an den Tätigkeiten und Sitzungen des EDSB teilnehmen, hat aber auch hier kein Stimmrecht.
Unter den 27 europäischen Aufsichtsorganen ist die französische Datenschutzkommission CNIL eine der aktiven. Im Jahr 2021 verhängte sie 18 Strafen in Höhe von 214 Millionen Euro. Diese Strafen umfassten 15 Geldbußen, fünf davon mit Zwangsgeldanordnungen, und zwei Ordnungsrufe mit Anordnungen. Ebenfalls im Jahr 2021 betrafen die Entscheidungen sehr unterschiedliche Wirtschaftszweige und Akteure. Zu den häufigsten Verstößen gehörten die mangelnde Information von Personen und übermäßig lange Speicherfristen. Von den 18 Strafen enthielt die Hälfte einen Verstoß im Zusammenhang mit der Sicherheit personenbezogener Daten.
Eine Höchstzahl von Unterlassungsaufforderungen (Entscheidung der CNIL-Präsidentin, mit der eine Organisation angewiesen wird, innerhalb von maximal sechs Monaten die Vorschriften einzuhalten) wurde ebenfalls 2021 erreicht. 135 Entscheidungen wurden getroffen, darunter zwei veröffentlichte (gegen Clearview und Francetest) und drei im Rahmen der europäischen Zusammenarbeit verabschiedete. Dies bedeutet einen sehr konsequenten Anstieg der Zahl der Abmahnungen im Vergleich zu den Vorjahren (Faktor 2,75).
Luxemburg und Irland: Höchste Strafen
Die CNIL ist zwar an der Bestrafungsfront aktiv, aber sie ist nicht die härteste. Die luxemburgische Datenschutzbehörde CNPD (auf Französisch Commission Nationale pour la Protection des Données) verhängte im August 2021 die bislang höchste Strafe gegen Amazon, das heißt 746 Millionen Euro. Der E-Commerce-Spezialist hat gegen diese Rekordstrafe Berufung eingelegt.
Die irische Datenschutzbehörde DPC (Data Protection Commission) hat ihrerseits WhatsApp (eine Tochtergesellschaft von Meta, ehemals Facebook) im September 2021 mit 225 Millionen Euro bestraft. Ursprünglich lag dieser Betrag zwischen 30 und 50 Millionen Euro. Die Klage von acht europäischen nationalen Datenschutzbehörden, die der DPC die zu niedrige Höhe dieser Geldstrafe vorwarfen, löste den Konfliktlösungsmechanismus der DSGVO aus. Es war also der EDSB (Europäischer Datenschutzausschuss), der die Führung übernahm und die 225 Millionen Euro gegen die irische DPC verhängte. WhatsApp hat beschlossen, gegen diese Entscheidung Berufung einzulegen.
Der deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit hat H&M im Oktober 2020 zu einer Geldstrafe von knapp 35,3 Millionen Euro verurteilt.
Diese Organisation warf der deutschen Tochtergesellschaft des schwedischen Konzerns vor, zwischen 2014 und 2019 illegal personenbezogene Daten von mehreren hundert ihrer Beschäftigten gesammelt und gespeichert zu haben. Diese galt als illegale Überwachung der Beschäftigten.
Eine Studie, die vom Sicherheitsunternehmen für Cybersicherheit ESET veröffentlicht wurde, enthält detaillierte Angaben zu den Bußgeldern, die von den europäischen Datenschutzbehörden seit 2018 verhängt wurden.
Notwendige methodische Harmonisierung zwischen europäischen CNILs
Der Europäische Datenschutzausschuss hat im Mai 2022 eine Richtlinie zur Harmonisierung der von den nationalen Behörden angewandten Methoden zur Berechnung von Geldbußen verabschiedet.
Diese Richtlinie legt abgestimmte Ausgangspunkte“ für die Berechnung eines Bußgeldes fest und hält fest, dass drei Elemente berücksichtigt werden müssen. Das heißt, die Kategorisierung der Verstöße nach ihrer Art, die Schwere des Verstoßes und der Unternehmensumsatz.
Diese Richtlinie bezieht sich insbesondere auf die Strafe, die die irische Datenschutzbehörde gegen WhatsApp verhängt hat. Auch wenn der Betrag nach oben angepasst wurde, machen die 225 Millionen Euro nur 0,08 % des Umsatzes von Facebook aus, während die DSGVO Geldbußen von bis zu 4 % des weltweiten Umsatzes eines Unternehmens vorsieht.
Die Bemühungen um eine Koordinierung und Vereinheitlichung der Methoden zwischen allen europäischen Aufsichtsbehörden sind daher eine echte Herausforderung für die kommenden Jahre.