2023 war ein Rekordjahr für die Sanktionen der Europäischen Garanten zum Schutz der Privatsphäre. Die Behörden verhängten in nur einem Jahr Sanktionen in Höhe von 1,78 Milliarden Euro, 14 % mehr als im Jahr 2022. Ausschlaggebend für das Ergebnis war jedoch vor allem die Höchststrafe, die der irische Garantiegeber im Mai gegen Meta wegen Verstößen gegen die Übermittlung personenbezogener Daten verhängt hatte Drittstaaten (konkret die Vereinigten Staaten), die bisher höchste Auszeichnung für die Einhaltung der seit Mai 2018 in Kraft getretenen europäischen Datenschutzverordnung, der DSGVO. Erstellung einer Bilanz eines Jahres voller Entscheidungen der nationalen Behörden zu europäischen Gesetzen Zum Thema Datenschutz schreibt die internationale Anwaltskanzlei Dla Piper in einem Bericht, der den Trend des gerade abgelaufenen Jahres anhand von zwei Profilen analysiert: dem der Sanktionen, genauer gesagt, und dem der sogenannten Datenschutzverletzungen oder „Diebstähle“ und Im Allgemeinen handelt es sich um Verstöße gegen personenbezogene Daten, die den Garantiegebern von Unternehmen, öffentlichen Verwaltungen und Fachleuten gemeldet werden.
Der Haushalt 2023
Die Höchststrafe gegen Meta des irischen Datenschutzgaranten verzeichnete einen doppelten Rekord: den höchsten Gesamtbetrag der von den Behörden in einem Jahr verhängten Sanktionen (1,78 Milliarden gegenüber 1,56 im Jahr 2022) und andererseits genau den höchsten Einzelbetrag jemals in diesen fünf Jahren der Geltungsdauer der EU-Verordnung verhängt wurde. Doch bei näherer Betrachtung – berichten die Experten von Dla Piper – war 2023 in puncto Datenschutz kein so außergewöhnliches Jahr. Tatsächlich bleibt der Wendepunkt das Jahr 2022, als die Sanktionen im Vergleich zu den vorangegangenen 12 Monaten um 50 % zunahmen. Der tatsächliche Rückzug ist maßgeblich darauf zurückzuführen, dass viele der im Jahr 2023 von den Garanten beschlossenen Sanktionen dann vor Gericht gemildert oder sogar aufgehoben wurden. Auch die Bußgelder der Garantiegeber bei der Umsetzung von Stellungnahmen und bindenden Entscheidungen des EU-Garanten gingen zurück (siehe unten). Europäischer Datenschutzausschuss). Mit den Beträgen von 2023 beträgt die Gesamtsumme der aufgrund der EU-Verordnung verhängten Bußgelder von 2018 bis heute europaweit 4,68 Milliarden Euro.
Italien
Italien liegt mit über 145 Millionen Euro, die von 2018 bis heute von Unternehmen gefordert wurden, auf Platz vier der „Top Ten“ der EU-Länder mit den meisten Sanktionen. Davor liegen Irland, Luxemburg und Frankreich. Letzteres mit deutlicher Lücke: 546 Millionen verhängte Bußgelder.
Irlands Rekord
Dieses Sonderranking der „strengsten“ Länder in Sachen Datenschutz wird von Irland dominiert: Mehr als 2,2 Milliarden Bußgelder wegen Verstößen gegen die DSGVO wurden in diesen fünf Jahren beantragt, davon tatsächlich nur die Hälfte im letzten Jahr mit Meta. Natürlich werden die Daten dadurch beeinflusst, dass das Land der europäische Außenposten fast aller großen Technologieunternehmen ist. Und das sind die „sensibelsten“ Unternehmen zum Thema Schutz personenbezogener Daten. Darüber hinaus ist die Frage, vor der Irland mit der Maxi-Sanktion gegen Meta steht, alles andere als ein abgeschlossenes Kapitel: Das Unternehmen, dem Facebook und Instagram gehören, muss sich für die illegale Übermittlung von Daten aus Europa in die Vereinigten Staaten verantworten, und dazu kam auch noch eine Geldstrafe die Anweisung, diese Übertragung schnell einzustellen. Das Problem ist jedoch umfassender und betrifft alle Unternehmen, die Daten zwischen den beiden Kontinenten verarbeiten, nachdem ein Urteil des EU-Gerichtshofs dazu geführt hat, dass die Regeln für diesen Austausch außer Kraft gesetzt wurden. Seitdem arbeiten Institutionen und Behörden daran, eine Einigung zu finden, die den Rechtsunsicherheiten zu diesem Thema ein Ende setzt.
Datenschutzverletzungen
Im Jahr 2023 wurden in Europa durchschnittlich 335 Datenschutzverletzungen pro Tag gemeldet. In etwa die gleiche Zahl wie im Jahr 2022, als es 328 waren. Im vergangenen Jahr wurde wie im Vorjahr die höchste Zahl an Angriffen in Deutschland gemeldet: über 32.000 Meldungen. Italien liegt ungefähr im Mittelfeld (Zwölfter), allerdings mit deutlichem Abstand zum Spitzenreiter: Im vergangenen Jahr wurden nur 1.688 Fälle gemeldet. Wie die Studie von Dla Piper zeigt, könnten hinter diesen großen Unterschieden auch unterschiedliche Auslegungen der Verordnung stecken, die die Meldung aller Datenschutzverletzungen vorschreibt, mit Ausnahme derjenigen, die kein Risiko für die Rechte und Freiheiten des Einzelnen darstellen. Eine Regelung, die, da sie keine spezifischen Grenzen oder Schwellenwerte festlegt, auch eine gewisse Unsicherheit bei denen hinterlässt, die entscheiden müssen, ob sie die Datenschutzverletzung melden oder nicht.