Rekordanstieg: So hoch waren die DSGVO-Bußgelder in 2022

Foto: mixmagic – shutterstock.com

2,92 Milliarden Euro an Bußgeldern haben die europäischen Datenaufsichtsbehörden im vergangenen Jahr verhängt. Das ist ein Rekordbetrag und ein Anstieg von 168 Prozent gegenüber 2021. Zu diesem Ergebnis kommt eine Studie der internationalen Anwaltskanzlei DLA Piper, die alle 27 Mitgliedstaaten der Europäischen Union sowie Großbritannien, Norwegen, Island und Liechtenstein abdeckt.

Die höchste Geldstrafe des vergangenen Jahres verhängte der Irish Data Protection Commissioner gegen Meta Platforms Ireland: Die Facebook-Mutter soll 405 Millionen Euro zahlen. Moniert wurden Versäumnisse von Instagram beim Schutz von personenbezogenen Daten von Kindern. Der irische Datenschutzbeauftragte verhängte eine weitere Geldstrafe gegen Meta in Höhe von 265 Millionen Euro, weil das Unternehmen die in der Datenschutz-Grundverordnung festgelegte Verpflichtung zum Datenschutz durch Technik und Voreinstellungen nicht erfüllt hatte. Gegen beide Geldbußen hat Meta Berufung eingelegt.

Lesetipp: Halbe Milliarde Whatsap-Nummern im Darknet

Das höchste DSGVO-Bußgeld aller Zeiten

Trotz des allgemeinen Anstiegs der Geldbußen in 2022, bleibt die Strafe in Höhe von 746 Millionen Euro, die luxemburgischen Behörden im Jahr 2021 gegen Amazon verhängt haben, die bisher höchste, die von einer EU-Datenaufsichtsbehörde ausgesprochen wurde.

Diese europäischen Ländern haben seit Einführung der DSGVO die höchsten Bußgelder verhängt:

1. Irland: 1.303.514.500 Euro

2. Luxemburg: 746.345.675 Euro

3. Frankreich: 428.238.300 Euro

4. Spanien: 84.758.979 Euro

5. Deutschland: 76.310.455 Euo

6. Italien: 63.093.212 Euro

7. Großbritannien: 59.242.800 Euro

8. Österreich: 42.901.900 Euro

9. Griechenland: 30.798.500 Euro

10. Schweden: 17.487.020 Euro

“Die steigende Höhe der Strafen zeigt das wachsende Vertrauen der Aufsichtsbehörden und ihre Bereitschaft, hohe Bußgelder für Verstöße gegen die DSGVO zu verhängen, insbesondere gegen große Technologieanbieter”, heißt es in der Studie. “Lokale Datenschutzbehörden werden zweifellos die Entscheidungen des Europäische mit Interesse verfolgt haben und wissen, dass der Ausschuss bisher noch keine von einer federführenden Aufsichtsbehörde vorgeschlagene Geldbuße reduziert hat. Alle Entscheidungen des European Data Protection Boards über Geldbußen haben sogar zu einer erheblichen Erhöhung der endgültig verhängten Geldbuße geführt”, schreiben die Studienautoren weiter.

Außerdem hebt die Studie positiv die Auswirkungen einzelner Entscheidungen hervor, die von den Datenschutzaufsichtsbehörden 2022 getroffen haben. Dabei geht es vor allem um Fälle, in denen personenbezogene Daten international übermittelt wurden. Die Behörden beriefen sich auf das Schrems-II-Urteil und Kapitel V der DSGVO. Ross McKean, Vorsitzender der UK Data Protection and Cybersecurity Group und Co-Autor, erklärt: “Die zahlreichen irischen Bußgelder, die im vergangenen Jahr gegen die Werbepraktiken von Social-Media-Plattformen verhängt wurden, haben das Potenzial, die Zukunft des freien Internets tiefgreifend zu beeinflussen.” Allerdings sind laut McKean Berufungsverfahren und sonstige Rechtsstreitigkeiten zu erwarten, die Jahre dauern können, die Rechtslage sei in vielen Fragen noch nicht geklärt.

Lesetipp: Die 15 dicksten Datenschutzverletzungen unseres Jahrhunderts

Datenschutzbehörden nutzen und regulieren KI

Laut dem Bericht ist Künstliche Intelligenz die neueste Spielwiese der Datenschutzbehörden, dabei interessiert sie vor allem, welche Rolle personenbezogene Daten beim Training von KI-Modellen spielen können. “KI wirkt sich auf jeden Sektor aus, von Prozessautomatisierung, maschinellem Lernen, Chatbots, Gesichtserkennung bis hin zu virtueller Realität und darüber hinaus. Personenbezogene Daten sind oft der Treibstoff für die von Unternehmen eingesetzte KI. Sie passen die Suchparameter an, erkennen Verhaltenstrends und sagen mögliche zukünftige Ergebnisse voraus”, heißt es in dem Report. Da viele KI-Systeme personenbezogene Daten verwenden, falle die Regulierung dieser Systeme häufig in den Anwendungsbereich der Datenschutz-Grundverordnung. Mehrere Datenschutzaufsichtsbehörden hätten bereits Leitlinien zur Verwendung personenbezogener Daten für KI herausgegeben.

Im Mai 2022 verhängte das UK Information Commissioner’s Office (ICO) eine Geldstrafe in Höhe von 7.552.800 Pfund gegen das Gesichtserkennungsunternehmen Clearview AI. Das Unternehmen hatte gegen Datenschutzgesetze verstoßen, indem es mehr als 20 Milliarden Bilder von Gesichtern und Daten aus öffentlich zugänglichen Quellen verwendete. Dabei habe Clearview AI es versäumt, die Menschen darüber zu informieren, dass ihre Bilder auf diese Weise gesammelt und verwendet wurden. (ms)

Lesetipp: Ein Chatbot, der Malware schreiben kann

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.

Jetzt kostenlos für den CSO-Newsletter anmelden