Verstöße gegen die DSGVO können von den Datenschutzbehörden mit Strafen in Höhe von bis zu 4 % des Jahresumsatzes eines Unternehmens oder 20 Millionen Euro geahndet werden, je nachdem, welcher Betrag höher ist.
Der Zweck dieser Geldbußen ist es, ähnliche Verstöße in der Zukunft zu verhindern. Obwohl eine noyb-Studie belegt, dass sie zu den wirksamsten Durchsetzungsinstrumenten im Repertoire der Behörden gehören, sind hohe Geldstrafen für DSGVO-Verstöße äußerst selten. Die Strafsummen gehen an das Land, in dem das Verfahren stattfindet. Dabei handelt es sich fast immer um das Land, in dem das bestrafte Unternehmen seinen Hauptsitz hat.
Seit 2018 wurden folgende Geldstrafen auf Basis von noyb-Beschwerden verhängt:
€ 1,2 Milliarden Strafe für Meta wegen EU-US Datentransfers
Ende 2023 wurde Meta eine Geldstrafe in Höhe von 1,2 Milliarden Euro auferlegt und angewiesen, den Transfer persönlicher Daten von Europäer:innen in die Vereinigten Staaten einzustellen. Das Unternehmen unterliegt US-Überwachungsgesetzen wie FISA 702. Diese erlauben es der US-Regierung, Ausländer:innen anlasslos zu überwachen.
Dies steht im Widerspruch zum EU-Recht, das einen "im Wesentlichen gleichwertigen" Schutz für Daten verlangt, die in ein Land außerhalb der EU übermittelt werden. Dies wurde auch durch zwei Entscheidungen des Europäischen Gerichtshofs bestätigt, der in seinen Urteilen Schrems I und Schrems II im Jahr 2015 bzw. 2020 sowohl das "Safe Harbor"- als auch das "Privacy Shield"-Abkommen für nichtig erklärte.
Meta hat diese Urteile in den letzten Jahren ignoriert, was zu der Geldstrafe von € 1,2 Milliarden und der Anordnung führte, alle persönlichen Daten an Datenzentren in der EU zurückzuführen.
€ 395 Millionen Strafe für Meta wegen Umgehung der DSGVO
Im Januar 2023 wurde Meta (wegen Verstößen auf Facebook, Instagram und WhatsApp) von der irischen Datenschutzbehörde (DPC) zur Zahlung einer Geldstrafe von insgesamt 395 Millionen Euro verpflichtet. Die Strafe folgte einer verbindlichen Entscheidung des Europäischen Datenschutzausschusses. Mit dieser wurde dem Social-Media-Riesen verboten, persönliche Daten für Werbung zu verwenden, ohne seine Nutzer:innen um Einwilligung zu bitten.
Die Entscheidung basiert auf zwei noyb-Beschwerden vom 25. Mai 2018. Die zuständige Behörde (die DPC) hat also viereinhalb Jahre gebraucht, um eine Entscheidung zu treffen, nachdem der EDSA den ersten Entscheidungsentwurf vom Dezember 2022 gekippt hatte.
€ 50 Millionen Strafe für Google wegen erzwungener Einwilligung
Als die DSGVO am 25. Juli 2018 in Kraft trat, reichte noyb umgehend Beschwerden gegen Google, Instagram, WhatsApp und Facebook ein. Sie zwangen ihre Nutzer:innen, aktualisierte Datenschutzrichtlinien zu akzeptieren, die es ihnen ermöglichten, das damals neue Datenschutzgesetz zu umgehen.
Während drei dieser Beschwerden zu langjährigen Verfahren führten, wurde der Fall gegen Google im Juni 2019 entschieden: Die französische Datenschutzbehörde (CNIL) verhängte eine Geldstrafe in Höhe von 50 Millionen Euro gegen das Tech-Unternehmen. Zu diesem Zeitpunkt war dies die höchste Geldstrafe, die jemals für einen Datenschutzverstoß verhängt wurde.
Werbeunternehmen CRITEO muss € 40 Millionen Strafe zahlen
Ende Juni 2023 verhängte die französische Datenschutzbehörde (CNIL) eine Strafe in Höhe von 40 Millionen Euro gegen CRITEO. Das Werbeunternehmen hat gegen Betroffenenrechte verstoßen und konnte nicht nachweisen, dass es eine gültige Einwilligung eingeholt hatte.
Die Entscheidung folgte auf eine Beschwerde von noyb und Privacy International vom Dezember 2018, die sich gegen eine fehlende Möglichkeit zum Widerruf der Einwilligung richtete. Die Beschwerde löste eine umfassende Untersuchung durch die CNIL aus, die den Anwendungsbereich ausdehnte und weitere Verstöße gegen die DSGVO feststellte. Darunter befanden sich mangelnde Transparenz, die Nichteinhaltung des Rechts auf Löschung und des Auskunftsrechts.
€ 5,8 Millionen Strafe für Dating-App Grindr
Im Jahr 2020 reichte noyb gemeinsam mit dem Norwegischen Verbraucherrat (NCC) eine Beschwerde gegen Grindr ein. Die LGBTQ+-Dating-App hatte persönliche Nutzer:innendaten unrechtmäßig an Hunderte von potenziellen Werbepartnern weitergegeben. Die Nutzer:innen wurden nicht ordnungsgemäß über die Datenweitergabe informiert, und die Zustimmung war nicht spezifisch genug. Die Datenschutzbehörde betonte auch, dass Nutzer:innen die Möglichkeit haben müssen, ihre Einwilligung ohne negative Folgen zu verweigern.
In der Entscheidung der norwegischen Behörde wurde ursprünglich eine Geldstrafe von fast 10 Millionen Euro gegen Grindr verhängt. Nach einem Einspruch wurde das Bußgeld im September 2023 auf 5,8 Millionen Euro reduziert.
€ 5 Millionen Geldstrafe für Spotify
In Reaktion auf eine noyb-Beschwerde und einen Rechtsstreit wegen Untätigkeit hat die schwedische Datenschutzbehörde (IMY) im Juni 2023 eine Geldstrafe in Höhe von 58 Millionen Schwedischen Kronen (rund 5 Millionen Euro) gegen Spotify verhängt. Der Musikstreamingdienst hat die DSGVO-Verpflichtung, Nutzer:innen Zugang zu ihren Daten zu gewähren und sie über die Nutzung ebendieser zu informieren, nicht vollständig erfüllt. Die Beschwerde wurde bereits im Jahr 2019 eingereicht und erst nach mehr als vier Jahren entschieden.
Erste große Geldstrafe für die Nutzung von Google Analytics
Auf Basis von noybs 101 Beschwerden bezüglich unrechtmäßiger Datentransfers zwischen der EU und den USA im Jahr 2020 verhängte die schwedische Datenschutzbehörde (IMY) im Juli 2023 die erste große Geldstrafe für die Nutzung von Google Analytics. Andere europäische Behörden (z. B. Österreich, Frankreich und Italien) hatten bereits festgestellt, dass die Verwendung von Google Analytics gegen die DSGVO verstößt. Trotzdem handelt es sich um die erste Geldstrafe wegen der Verwendung des Tools.
Der Telekommunikationsanbieter Tele2 wurde zur Zahlung von umgerechnet € 1 Million (12 Millionen SEK) verurteilt, während der Online-Händler CDON 300.000 SEK zahlen musste.
Maltesisches IT-Unternehmen muss wegen Datenlecks € 65.000 Strafe zahlen
Nach einem massiven Datenleck bei maltesischen Wählerdaten im Jahr 2020 hat noyb in Zusammenarbeit mit der Daphne Foundation und Repubblika Beschwerden gegen den Datenbroker C-Planet eingereicht. Zu den geleakten persönlichen Informationen gehörten Telefonnummern, Geburtsdaten, Wahlabsichten und politische Neigungen von mehr als 330.000 Personen.
Im Jahr 2022 stellte der Informations- und Datenschutzbeauftragte (IDPC) fest, dass C-Planet keine angemessenen technischen und organisatorischen Maßnahmen ergriffen hatte und verhängte eine Geldstrafe in Höhe von 65.000 Euro. Die Entscheidung bestätigte auch, dass C-Planet die IDPC und die betroffenen Personen nicht rechtzeitig über den Vorfall informiert hatte.