Der Stand der Durchsetzung des wichtigsten Datenschutzregimes der Europäischen Union, der Datenschutz-Grundverordnung (DSGVO), bei den mächtigsten Tech-Giganten ist weiterhin ein Thema anhaltender Debatte. Nachfolgend haben wir eine Liste der 10 höchsten DSGVO-Bußgelder zusammengestellt, die seit Inkrafttreten der Verordnung im Mai 2018 gegen Big Tech verhängt wurden.
Meta, Eigentümer von Facebook, Instagram und WhatsApp, steht ganz oben auf der Liste. Beide Unternehmen haben die bislang höchste Einzelstrafe verhängt (1,2 Milliarden Euro oder rund 1,31 Milliarden US-Dollar zum aktuellen Wechselkurs). Und weil es für die Mehrheit dieser größten Strafen verantwortlich ist (sechs oder mehr, je nachdem, ob Sie pro Plattform zählen).
Bitte beachten Sie, dass diese Liste nur die schwerwiegenden Strafen enthält, die Tech-Unternehmen im Rahmen der DSGVO auferlegt wurden. In den letzten Jahren wurden im Rahmen der älteren ePrivacy-Richtlinie des Blocks auch einige erhebliche Sanktionen gegen Big Tech verhängt, diese sind hier jedoch nicht aufgeführt.
Strafen für Technologieunternehmen im Rahmen der DSGVO
1. Meta (Facebook): Im Mai 2023 wurde das Unternehmen von der irischen Datenschutzkommission (DPC) mit einer Geldstrafe von 1,2 Milliarden Euro (ca. 1,31 Milliarden US-Dollar) belegt, weil es gegen die Vorschriften zur Übermittlung personenbezogener Daten von Facebook-Nutzern aus der Europäischen Union verstoßen hatte.
2. Amazonas: Im Juli 2021 wurde das Unternehmen von der Nationalen Datenschutzkommission Luxemburgs (CNPD) mit einer Geldstrafe von 746 Millionen Euro (ca. 815 Millionen US-Dollar) belegt, nachdem es Beschwerden gegeben hatte, dass die Verwendung personenbezogener Daten für gezielte Anzeigen nicht auf Ihrer Einwilligung beruhte.
3. Meta (Instagram): Im September 2021 wurde das irische Datenschutzamt wegen Versäumnissen im Umgang mit Daten Minderjähriger mit einer Geldstrafe von 405 Millionen Euro (ca. 443 Millionen US-Dollar) belegt.
4. Meta (Instagram und Facebook): Im Januar 2023 wurde das irische Datenschutzamt mit einer Geldstrafe von insgesamt 390 Millionen Euro (ca. 426 Millionen US-Dollar) belegt, da keine gültige Rechtsgrundlage für die Verarbeitung von Benutzerdaten für gezielte Anzeigenausrichtung vorlag.
5. ByteDance (TikTok): Im September 2023 wurde das irische Datenschutzamt wegen Versäumnissen im Umgang mit den Daten Minderjähriger mit einer Geldstrafe von 345 Millionen Euro (ca. 377 Millionen US-Dollar) belegt.
6. Meta (Facebook und Instagram): Im November 2022 wurde das irische Datenschutzamt mit einer Geldstrafe von 265 Millionen Euro (ca. 290 Millionen US-Dollar) belegt, weil es Verstöße gegen den Datenschutz durch datenschutzfreundliche Voreinstellungen und Design gab, nachdem bestimmte Plattformfunktionen, darunter Kontaktimporteur und Suchwerkzeuge, die persönlichen Daten von Hunderten Millionen Benutzern für alle anderen Benutzer sichtbar gemacht hatten.
7. Meta (WhatsApp): Im September 2021 wurde die irische Datenschutzbehörde DPC mit einer Geldstrafe von 225 Millionen Euro (ca. 246 Millionen US-Dollar) belegt, weil sie gegen die Transparenzpflichten der DSGVO verstoßen und den Benutzern nicht deutlich gemacht hatte, wie ihre Daten verarbeitet wurden.
8. Alphabet/Google (Android): Im Januar 2019 wurde das Unternehmen von der französischen Nationalen Kommission für Informatik und Freiheit (CNIL) mit einer Geldstrafe von 50 Millionen Euro (ca. 55 Millionen US-Dollar) wegen Verstößen gegen die Transparenz und Einwilligung im Zusammenhang mit seiner mobilen Android-Plattform belegt.
9. Meta (Facebook): Im März 2022 wurde das irische Datenschutzamt (DPC) wegen einer Reihe von Sicherheitsverletzungen, von denen mutmaßlich bis zu 30 Millionen Benutzer betroffen waren, mit einer Geldstrafe von 17 Millionen Euro (ca. 18,5 Millionen US-Dollar) belegt.
10. ByteDance (TikTok): Im April 2023 wurde das britische Information Commissioner’s Office (ICO) in einem weiteren Fall im Zusammenhang mit dem Schutz Minderjähriger mit einer Geldstrafe von rund 14,8 Millionen Euro (zum aktuellen Wechselkurs ca. 16 Millionen US-Dollar) belegt. (Hinweis: Obwohl Großbritannien nicht mehr in der EU ist, basieren seine Datenschutzbestimmungen immer noch auf der DSGVO.)
Nicht unbedingt Big Tech, aber eine Erwähnung wert
Adtech-Riese Criteo wurde im August 2022 von der französischen CNIL wegen einer Reihe von Verstößen gegen die DSGVO mit einer vorläufigen Geldbuße in Höhe von 60 Millionen Euro (ca. 65 Millionen US-Dollar) belegt. Im Juni 2023 wurde die Höhe der Strafe jedoch auf 40 Millionen Euro (ca. 44 Millionen US-Dollar) reduziert, nachdem der Adtech-Riese Einwände erhoben hatte. Die Vollstreckung folgte auf Beschwerden, wonach Criteo nicht über die Zustimmung der Benutzer verfügte, diese für die Anzeigenausrichtung zu verfolgen und zu profilieren.
Eine weitere Bonus-Erwähnung: US-amerikanisches KI-Startup Clearview KI wurde 2022 von den Datenschutzbehörden in Italien, Griechenland und Frankreich gleich dreimal mit der höchstmöglichen Geldstrafe (20 Millionen Euro oder rund 22 Millionen Dollar, basierend auf seinem Umsatz) belegt. Die Sanktionen betrafen die unrechtmäßige Datenverarbeitung aufgrund der Taktik, Selfies aus dem Internet zu kramen, um ein KI-Tool zur Gesichtserkennung und zum ID-Abgleich zu trainieren. Im selben Jahr belegte das britische ICO das Unternehmen mit einer geringeren Strafe für Verstöße gegen die DSGVO, sodass die Aktivitäten des umstrittenen Startups eine Menge Strafverfolgung nach sich zogen.