DLA Piper veröffentlicht Studie zu DSGVO-Verstößen
Datenschutz-Bußgelder in Höhe von 1,64 Milliarden Euro
Die internationale Anwaltskanzlei DLA Piper hat die Ergebnisse ihrer jährlichen Studie zu DSGVO-Bußgeldern und Datensicherheitsvorfällen veröffentlicht. Die fünfte Auflage der Studie erfasst Bußgelder wegen Verstößen gegen die DSGVO in allen 27 Mitgliedstaaten der Europäischen Union sowie im Vereinigten Königreich, in Norwegen, Island und Liechtenstein. Sie ergab ein weiteres Rekordjahr mit einem Anstieg des Gesamtwerts der verhängten Bußgelder um 50 Prozent im Vergleich zum Vorjahr.
Zu den höchsten Bußgeldern gehörten jene gegen Meta Platforms Ireland (Meta). Dies zeigt, dass die sozialen Medien und die damit verbundene umfangreiche Verarbeitung personenbezogener Daten besonders im Fokus der Behörden stehen. Mehrere der höchsten Geldbußen, die die irische Datenschutzbehörde 2022 gegen Meta verhängt hat, beziehen sich auf die Erstellung von Verhaltensprofilen von Nutzern bei Facebook und Instagram sowie auf die Frage, ob sich die massenhafte Erhebung durch eine „vertraglichen Notwendigkeit" legitimieren lässt.
Neben Fragen zu personenbezogenen Daten im Zusammenhang mit Werbung und sozialen Medien richtet sich das Augenmerk der Behörden zunehmend auf künstliche Intelligenz (KI) und die Rolle personenbezogener Daten, die zum Training von KI in Verwendung sind. So gab es auf Hinweis von Datenschutzorganisationen etwa mehrere Untersuchungen gegen das Gesichtserkennungsunternehmen Clearview AI, die in Bußgeldern resultierten. Da KI und Machine-Learning-Plattformen immer allgegenwärtiger werden, prognostiziert die Studie für das kommende Jahr weitere behördliche Untersuchungen und Maßnahmen sowohl gegen Anbieter als auch Nutzer von KI.
Die Studie zeigt auch, dass die Zahl der den Aufsichtsbehörden gemeldeten Datensicherheitsvorfälle im Vergleich zum Vorjahr leicht zurückgegangen ist, von 328 Meldungen auf 300 pro Tag. Dies könnte ein Zeichen dafür sein, dass Unternehmen aus Furcht vor Ermittlungen, Geldbußen und Schadensersatzforderungen vorsichtiger handeln, wenn es darum geht, den Aufsichtsbehörden Datensicherheitsvorfälle zu melden.
Die Studie geht auch auf einige wichtige Entscheidungen der Datenschutzbehörden in 2022 ein, so etwa die Anwendung der Anforderungen aus der Schrems-II-Entscheidung des EuGH und Kapitel V der Datenschutz-Grundverordnung mit Blick auf den internationalen Transfer personenbezogener Daten. Dem risikobasierten Ansatz bei der Übermittlung personenbezogener Daten in „Drittländer“ erteilten die Datenschutzbehörden eine Absage. Sie argumentierten vielmehr, dass internationale Datentransfers unzulässig seien, wenn die bloße Möglichkeit des Zugriffs ausländischer Behörden ein Schadensrisiko mit sich bringe.
Lesen Sie mehr zum Thema
