DSGVO-Bußgeld für Amazon: 746 Millionen Euro

DSGVO-Bußgeld für Amazon: 746 Millionen Euro

Aufgrund einer Sammelklage von mehr als 10.000 Personen und der französischen Bürgerrechtsorganisation „La Quadrature du Net“, die sich nicht nur gegen Amazon, sondern auch gegen Google, Apple, Microsoft und Facebook richtete, hat die Luxemburger Nationale Kommission für den Datenschutz (CNPD) am 16. Juli 2021 nun ein DSGVO-Bußgeld in Höhe von 746 Millionen Euro gegen Amazon verhängt.

Die bisher dazu öffentlich gemachten Informationen dazu beruhen allerdings nur auf dem Quartalsbericht von Amazon und einem kurzen Eintrag über laufende Rechtsstreitigkeiten der CNPD. Über die Entscheidung hat die CNPD noch nichts veröffentlicht, zumal sie anders als andere Aufsichtsbehörden zur Verschwiegenheit im Einzelfall verpflichtet ist.

Vorwürfe

Amazon wurde vorgeworfen, dass die Verarbeitung personenbezogener Daten von Amazon-Kunden gegen die DSGVO verstoße. Die Kläger machen geltend, dass das Werbesystem von Amazon den Grundsatz der notwendigen Zustimmung missachte.

Diesen Verstoß hat die CNPD auch festgestellt und mit dem entsprechenden Bußgeld sanktioniert. Die Summe ist die höchste, die je im Rahmen einer DSGVO-Sanktion öffentlich wurde.

Reaktion von Amazon

Amazon hält die Entscheidung der CNPD für unbegründet. Nach eigenen Aussagen beabsichtigt der Konzern, sich „in dieser Angelegenheit energisch zu verteidigen“. Der Konzern behauptet, es habe keine Datenschutzverletzung gegeben und es seien zu keinem Zeitpunkt Kundendaten an Dritte weitergegeben worden.

Reaktion der Kläger

Die Organisation sieht die Entscheidung als ersten Schritt, doch trotzdem müsse man „wachsam bleiben“, wie es weiter gehe.

Auf die Behauptung von Amazon, dass keine Datenschutzverletzung oder -weitergabe stattgefunden habe, entgegnet die Organisation, dass dies gerade richtig sei, weil es sich nicht bloß um gelegentliche Verstöße handele, sondern eine Datenschutzverletzung durch das System der gezielten Werbung selbst.

Die enorme Geldstrafe solle als Treffer „direkt ins Herz des Raubtiersystems von BigTech“ gefeiert werden.

Hintergrund: Warum wurde Amazon in Luxemburg verklagt?

Amazon hat seinen europäischen Hauptsitz in Luxemburg, weshalb die dortige Datenschutzbehörde CNPD für das Unternehmen zuständig ist. Die Sammelklage von La Quadrature du Net richtete sich gegen die umfassende Datensammlung und -verarbeitung durch Amazon, insbesondere im Bereich der personalisierten Werbung. Die Organisation argumentierte, dass Amazon ohne ausreichende Rechtsgrundlage umfangreiche Nutzerprofile erstellt und diese für gezielte Werbung nutzt.

Die CNPD prüfte den Fall über mehrere Jahre und kam schließlich zu dem Ergebnis, dass Amazon tatsächlich gegen die DSGVO verstößt. Besonders brisant: Das Bußgeld von 746 Millionen Euro übersteigt bei Weitem die bisherigen Rekordstrafen und sendet ein deutliches Signal an die gesamte Tech-Branche.

Einordnung in die DSGVO-Bußgeldpraxis

Das Bußgeld gegen Amazon reiht sich in eine Reihe bedeutender DSGVO-Strafen ein. Bereits zuvor hatte die irische Datenschutzbehörde hohe Bußgelder gegen WhatsApp (225 Millionen Euro) und die luxemburgische Behörde gegen Google (50 Millionen Euro) verhängt. Das Amazon-Bußgeld übertrifft diese Summen jedoch bei Weitem.

Nach Art. 83 V DSGVO können Bußgelder bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen. Bei Amazon mit einem Jahresumsatz von mehreren hundert Milliarden Euro wäre theoretisch ein noch deutlich höheres Bußgeld möglich gewesen. Dennoch ist die Summe von 746 Millionen Euro ein historischer Meilenstein in der europäischen Datenschutzdurchsetzung.

Was bedeutet das Urteil für Unternehmen?

Das Rekord-Bußgeld gegen Amazon verdeutlicht, dass die europäischen Datenschutzbehörden zunehmend bereit sind, die in der DSGVO vorgesehenen Sanktionsmöglichkeiten auch tatsächlich auszuschöpfen. Für Unternehmen jeder Größe ergeben sich daraus wichtige Handlungsempfehlungen:

• Einwilligungsmanagement überprüfen: Stellen Sie sicher, dass für jede Datenverarbeitung eine gültige Rechtsgrundlage vorliegt, insbesondere bei personalisierter Werbung.
• Transparenz gewährleisten: Informieren Sie Nutzer klar und verständlich darüber, wie ihre Daten verwendet werden.
• Datenschutz-Folgenabschätzung durchführen: Bei umfangreicher Profilerstellung ist eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO verpflichtend.
• Technische Maßnahmen implementieren: Setzen Sie auf Privacy by Design und Privacy by Default gemäß Art. 25 DSGVO.

Die Rolle des One-Stop-Shop-Verfahrens

Der Fall Amazon zeigt auch die Herausforderungen des sogenannten One-Stop-Shop-Verfahrens der DSGVO. Da Amazon seinen europäischen Sitz in Luxemburg hat, ist die CNPD die federführende Aufsichtsbehörde. Andere europäische Datenschutzbehörden kritisierten jedoch, dass die CNPD den Fall nicht transparent genug behandelt habe.

Dieses Verfahren soll eigentlich sicherstellen, dass Unternehmen mit grenzüberschreitender Tätigkeit nur einen Ansprechpartner haben. In der Praxis zeigt sich jedoch, dass die Zusammenarbeit zwischen den Behörden nicht immer reibungslos funktioniert. Die EU-Kommission arbeitet daher an Verbesserungen des Kooperationsmechanismus.

Personalisierte Werbung und Datenschutz

Im Kern geht es beim Amazon-Fall um die Frage, ob personalisierte Werbung auf Basis umfangreicher Nutzerprofile mit der DSGVO vereinbar ist. Die CNPD hat festgestellt, dass Amazon das Werbesystem ohne ausreichende Einwilligung der Nutzer betreibt. Dies hat weitreichende Konsequenzen für die gesamte Online-Werbebranche.

Unternehmen, die auf personalisierte Werbung setzen, sollten ihre Prozesse dringend überprüfen. Eine bloße Information in den Datenschutzhinweisen reicht nicht aus. Vielmehr muss eine aktive, informierte und freiwillige Einwilligung der Nutzer eingeholt werden. Auch das sogenannte Kopplungsverbot nach Art. 7 IV DSGVO ist zu beachten: Die Nutzung eines Dienstes darf nicht von der Einwilligung in die Datenverarbeitung zu Werbezwecken abhängig gemacht werden.

Verfahrensrechtliche Besonderheiten des Falls

Der Fall Amazon weist einige verfahrensrechtliche Besonderheiten auf, die für das Verständnis der europäischen Datenschutzdurchsetzung relevant sind. Die CNPD ist anders als viele andere europäische Aufsichtsbehörden zur Vertraulichkeit im Einzelfall verpflichtet. Dies bedeutet, dass Details der Entscheidung nicht öffentlich zugänglich gemacht werden. Die Informationen über das Bußgeld stammen ausschließlich aus dem Quartalsbericht von Amazon an die US-Börsenaufsicht SEC.

Diese Vertraulichkeitsregelung steht im Widerspruch zur Forderung nach Transparenz, die von vielen Datenschützern erhoben wird. Ohne Kenntnis der genauen Begründung können andere Unternehmen nur schwer ableiten, welche konkreten Verhaltensweisen beanstandet wurden und wie sie ihre eigenen Prozesse anpassen müssen. Die Europäische Kommission prüft daher Möglichkeiten, die Veröffentlichungspraxis der nationalen Aufsichtsbehörden zu harmonisieren.

Auswirkungen auf die europäische Datenschutzlandschaft

Das Amazon-Bußgeld hat die europäische Datenschutzlandschaft nachhaltig verändert. Es hat gezeigt, dass auch die größten Technologieunternehmen der Welt nicht vor empfindlichen Strafen geschützt sind. In der Folge haben mehrere andere Aufsichtsbehörden ebenfalls hohe Bußgelder verhängt: Die irische Datenschutzbehörde belegte Meta mit Strafen in Milliardenhöhe, und auch gegen Google und TikTok wurden erhebliche Sanktionen ausgesprochen.

Für den Mittelstand in Deutschland und Sachsen bedeutet dies, dass die Aufsichtsbehörden insgesamt strenger geworden sind. Die Sächsische Datenschutzbeauftragte hat in den vergangenen Jahren vermehrt Prüfungen durchgeführt und Bußgelder verhängt. Unternehmen sollten daher ihr Datenschutzniveau vorausschauend überprüfen und bei Bedarf verbessern, bevor eine Prüfung stattfindet.

Datenschutz als Wettbewerbsvorteil

Neben den rechtlichen Risiken bietet ein professionelles Datenschutzmanagement auch wirtschaftliche Chancen. Studien zeigen, dass Verbraucher zunehmend Wert auf den verantwortungsvollen Umgang mit ihren Daten legen. Unternehmen, die Datenschutz als Qualitätsmerkmal kommunizieren, können sich positiv von Wettbewerbern abheben und das Vertrauen ihrer Kunden stärken.

Dies gilt insbesondere im B2B-Bereich, wo Geschäftspartner vor der Zusammenarbeit häufig die Datenschutzstandards prüfen. Ein nachweisbar hohes Datenschutzniveau kann hier den Ausschlag für die Vergabe eines Auftrags geben. Die Investition in professionellen Datenschutz zahlt sich somit nicht nur durch die Vermeidung von Bußgeldern aus, sondern kann auch aktiv zum Geschäftserfolg beitragen.

Rechtliche Einordnung des Amazon-Bußgelds

Das Bußgeld gegen Amazon wurde von der luxemburgischen Datenschutzbehörde CNPD verhängt, da Amazon seine europäische Zentrale in Luxemburg hat. Die Entscheidung basierte auf dem Vorwurf, dass Amazon personenbezogene Daten für Werbezwecke verarbeitet hat, ohne eine wirksame Einwilligung der betroffenen Personen einzuholen. Das Verfahren wurde durch eine Beschwerde der französischen Datenschutzorganisation La Quadrature du Net ausgelöst und zeigte die Wirksamkeit des One-Stop-Shop-Mechanismus der DSGVO. Amazon legte gegen die Entscheidung Berufung ein, was die Komplexität grenzüberschreitender Datenschutzverfahren verdeutlicht. Für Unternehmen in Deutschland zeigt der Fall, dass auch indirekte Verstöße — etwa bei der Profilbildung oder beim Einsatz von Tracking-Technologien — zu erheblichen Sanktionen führen können.

Auswirkungen auf den deutschen Mittelstand

Auch wenn das Bußgeld gegen Amazon aufgrund der Unternehmensgröße außergewöhnlich hoch ausfiel, sollten deutsche mittelständische Unternehmen die Signalwirkung nicht unterschätzen. Die DSGVO sieht Bußgelder von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes vor — je nachdem, welcher Betrag höher ist. Selbst für kleinere Unternehmen können Bußgelder im fünf- oder sechsstelligen Bereich existenzbedrohend sein.

Die deutschen Aufsichtsbehörden orientieren sich bei der Bemessung von Bußgeldern an einem Konzept der Datenschutzkonferenz (DSK), das verschiedene Faktoren berücksichtigt: die Art und Schwere des Verstoßes, die Dauer, die Zahl der betroffenen Personen, den Grad der Verantwortung des Unternehmens sowie etwaige mildernde oder erschwerende Umstände. Unternehmen, die vorausschauend in Datenschutz investieren und dies dokumentieren können, haben im Falle einer Prüfung deutlich bessere Karten.

Besonders für Unternehmen, die Online-Marketing und E-Commerce betreiben, ist die Einholung wirksamer Einwilligungen ein kritischer Punkt. Cookie-Banner, Newsletter-Anmeldungen und Tracking-Pixel müssen den strengen Anforderungen der DSGVO genügen. Eine lückenlose Dokumentation aller Einwilligungen im Verarbeitungsverzeichnis und eine regelmäßige Überprüfung durch einen externen Datenschutzbeauftragten sind dabei wichtig.

Der Amazon-Fall zeigt auch, dass die Aufsichtsbehörden zunehmend grenzüberschreitend kooperieren. Durch das Kohärenzverfahren der DSGVO können Beschwerden aus einem EU-Land zu Untersuchungen und Bußgeldern in einem anderen führen. Deutsche Unternehmen mit internationaler Kundschaft sollten daher sicherstellen, dass ihre Datenschutzpraktiken den Anforderungen aller relevanten EU-Mitgliedstaaten entsprechen.

Fazit und Handlungsempfehlungen

Das DSGVO-Bußgeld gegen Amazon in Höhe von 746 Millionen Euro ist ein Weckruf für Unternehmen, die personenbezogene Daten verarbeiten. Es zeigt, dass die Aufsichtsbehörden bereit sind, erhebliche Sanktionen zu verhängen, wenn grundlegende Datenschutzprinzipien missachtet werden.

Für Unternehmen in Deutschland und Sachsen bedeutet dies: Ein professionelles Datenschutzmanagement ist keine Option, sondern eine Notwendigkeit. Die DSGVO-Beratung durch einen erfahrenen Datenschutzbeauftragten hilft dabei, Risiken zu identifizieren und rechtskonform zu handeln.

Die DATUREX GmbH unterstützt Sie als externer Datenschutzbeauftragter bei der DSGVO-konformen Gestaltung Ihrer Datenverarbeitungsprozesse. Kontaktieren Sie uns für eine unverbindliche Erstberatung!