Amazon droht eine Rekordstrafe. Nach einer datenschutzrechtlichen Sammelbeschwerde wurde gegen das Unternehmen das bisher höchste Bußgeld in Höhe von 746 Millionen Euro in Aussicht gestellt. Amazon kündigte bereits an, Widerspruch einzulegen, sollte das Bußgeld entsprechend festgelegt werden.
Datenschutz und Amazon – beide Themen waren schon in der Vergangenheit nicht vereinbar. Das exzessive Tracking von Verbraucher:innen könnte für Amazon nun aber teure Konsequenzen haben.
Alle Fakten im Überblick:
- Der offizielle Verwaltungssitz des Versandunternehmens für Europa ist Luxemburg. Entsprechend ist die luxemburgische Datenschutzbehörde (Commission Nationale pour la Protection des Données – CNPD) für Amazon zuständig.
- Der Vorwurf: Amazon erhebt und nutzt personenbezogene Daten seiner Verbraucher:innen nicht datenschutzkonform und verstößt dabei gegen mehrere Normen der DSGVO. Konkret ging es um Verstöße gegen Einwilligungserfordernisse zum personalisierten Online-Targeting.
- Verfahren: Noch ist das Bußgeld nicht rechtskräftig. Die CNDP hat vorerst ihre Bußgeldempfehlung i.H.v. 746 Millionen Euro zur gemeinsamen Abstimmung an die anderen EU-Datenschutzbehörden weitergegeben. Im Rahmen des sogenannten Kohärenzverfahrens können diese das Bußgeld bestätigen, ablehnen oder anpassen.
- Sollte es zwischen den europäischen Datenschutzbehörden und der CNDP zu keiner Einigung kommen, dann geht der Bußgeld-Fall vor den Europäischen Datenschutzausschuss (ESDA).
Kooperation unter den Aufsichtsbehörden der EU
Der Beschluss erging im sogenannten Europäischen Kooperations- und Kohärenzverfahrens (Art. 60-63 DSGVO). Dieses Verfahren wurde eingeführt, um europarechtliche Einstimmigkeit unter den nationalen Aufsichtsbehörden sicherstellen zu können. Im Grundsatz unterbreitet die zuständige Aufsichtsbehörde eines Verfahrens den anderen betroffenen Aufsichtsbehörden ihren Entschlussentwurf. Erhebt keine Aufsichtsbehörde Einspruch gegen den Entwurf, gilt dieser als bindender Beschluss.
Widerspricht eine Behörde jedoch diesem Entwurf durch Einspruch innerhalb einer Frist von 4 Wochen, hat die sogenannte federführende Aufsichtsbehörde zwei Möglichkeiten: Entweder hält sie den Einspruch für unbegründet und leitet ein Kohärenzverfahren nach Art. 63 DSGVO ein, um mit den anderen Aufsichtsbehörden im gemeinsamen Austausch einen Konsens zu finden. Nimmt sie wiederum den Einspruch an, erarbeitet sie daraufhin einen neuen Beschlussentwurf. Für diesen gilt erneut die 4-Wochen-Frist, in welcher andere Aufsichtsbehörden Stellung nehmen können.
Datenschutzrechtliche Verstöße
Gegenstand der Sammelbeschwerde waren Verstöße gegen Einwilligungserfordernisse zum personalisierten Online-Targeting. Amazons System basiert (bisher) darauf, Daten auf der eigenen Domain, als auch von Drittseiten zu sammeln, um personalisiert Werbung filtern und anzeigen lassen zu können. Die Einwilligung wurde aber nur für die Datensammlung unter der eigenen Domain, nicht auch für die über das sogenannte Conversion-Tracking eingeholt. Hierbei werden Nutzer:innen über mehrere Online-Präsenzen getracked, wodurch ein weitreichendes Nutzerprofil definiert werden kann.
Wie geht es jetzt weiter?
Das Bußgeld gegen Amazon wurde mittlerweile offiziell initiiert. Mindestens eine Partei hatte bei dem Kohärenzverfahren ein noch höheres Bußgeld gegen Amazon gefordert. Es bleibt spannend. Bis sich die EU- Datenschutzbehörden auf ein Bußgeld einigen, können mehrere Monate vergehen. Laut Gesetz muss ein solches Kohärenzverfahren „innerhalb einer angemessenen Frist ausgeübt werden“ (vgl. Art. 63 DSGVO, Erwägungsgrund 129), . Es ist aber davon auszugehen, dass in Anbetracht der Mechanismen des Verfahren durchaus einige Zeit vergesehen darf.
Die DSGVO sieht bei Verstößen gegen den Datenschutz Strafen bis zu vier Prozent des weltweiten Jahresumsatzes vor. Bisher wurden schon zahlreiche Strafen in Millionenhöhe verhangen, allein im Jahr 2020 gab es 17 Millionenstrafen. Das Bußgeld gegen Amazon entspricht circa 2 % des Nettoumsatzes 2020 und wäre damit die höchste bisher verhängte DSGVO-Strafe.
Fazit
Bei dem Verfahren gegen Amazon handelt es sich um keinen Einzelfall. Die Regeln zum Tracking gelten für jedes Unternehmen, welches im Anwendungsbereich der DSGVO tätig ist.
Wir empfehlen Ihnen, Ihre Online-Präsenz genau zu prüfen. Bereits eine unausreichende Datenschutzerklärung oder ein fehlendes Impressum können ein Einschreiten der Datenschutzbehörde bedingen.
Vermeiden Sie Bußgelder und andere Strafen. Sprechen Sie uns als Ihre Datenschutzbeauftragten gerne für Prüfungen und Nachfragen an
Diese Fachbeiträge könnte Sie auch interessieren: