DatenschutzSchwachstellen

Luxemburgisches Gericht hebt 858-Millionen-Euro-Geldbuße gegen Amazon auf

Luxemburgisches Gericht hebt 858-Millionen-Euro-Geldbuße gegen Amazon auf
Zusammenfassung

Ein Luxemburger Gericht hat eine der höchsten Datenschutzstrafen seit Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO) aufgehoben: Die 746 Millionen Euro schwere Geldbuße gegen Amazon aus dem Jahr 2021 wurde kassiert und der Fall an Luxemburgs Datenschutzbehörde CNPD zurückverwiesen. Das Gericht begründete seine Entscheidung damit, dass die CNPD nicht ausreichend überprüft habe, ob Amazon die DSGVO vorsätzlich verletzt hatte, und die Verhältnismäßigkeit der Strafe nicht angemessen berücksichtigt worden sei. Allerdings bestätigte das Gericht die grundsätzlichen Vorwürfe gegen den Tech-Konzern: Amazon habe tatsächlich die Verarbeitung von Nutzerdaten für personalisierte Werbung nicht rechtmäßig auf Basis von Einwilligung oder berechtigtem Interesse durchgeführt. Die CNPD betont, dass Amazon seine Praktiken mittlerweile korrigiert habe. Für deutsche Unternehmen und Behörden ist dieser Fall bedeutsam, da er zeigt, dass selbst Milliardenstrafen nicht automatisch Bestand haben und dass Regulatoren strenge Anforderungen bei der Begründung und Bemessung von Bußgeldern erfüllen müssen.

Das Verwaltungsgericht in Luxemburg hat am Donnerstag überraschend entschieden, das Geldbuße-Urteil von 2021 komplett aufzuheben und den Fall zur Neuprüfung an die CNPD zurückzuverweisen. Damit fällt eine der prominentesten Strafen der DSGVO-Ära weg — zumindest vorübergehend.

Die ursprüngliche Geldbuße war 2021 verhängt worden, nachdem eine französische Datenschutz-Aktivistinnen-Organisation beschwerde eingereicht hatte. Der Vorwurf: Amazon hatte Nutzern nicht ausreichend transparent gemacht, dass ihre Daten für personalisierte Werbung verarbeitet werden, und keine explizite Einwilligung eingeholt. Amazon ist primär durch die CNPD reguliert, da der europäische Betriebssitz des Konzerns in Luxemburg angesiedelt ist.

Entgegen ersten Erwartungen erklärt das Gericht jedoch: Es hob die Geldbuße nicht auf, weil die Vorwürfe unbegründet seien. Das Verwaltungsgericht bestätigte ausdrücklich, dass Amazons Berufung auf “berechtigte Interessen” als Rechtsgrundlage für die fragliche Datenverarbeitung nicht gerechtfertigt war. Auch die DSGVO-Verstöße bei den Informationspflichten wurden als real befunden.

Grund für die Aufhebung war vielmehr eine Änderung der EU-Rechtsprechung, die nach der CNPD-Entscheidung vorgenommen wurde. Diese betrifft die Anforderungen an die Begründung von Geldstrafen durch Regulatoren. Das Gericht kritisierte, dass die CNPD nicht tilreichend analysiert hatte, ob Amazon die Verstöße absichtlich begangen hatte, und ob alternative Maßnahmen nicht ausreichend gewesen wären.

Die CNPD verkündete daraufhin erleichtert, dass “die Hauptmaßnahme die gewünschten Früchte getragen hat”. Amazons Praktiken seien inzwischen vollständig DSGVO-konform. Das Unternehmen bestätigte diese Aussage und erklärte, es habe 2018 in guter Absicht gehandelt, als die damals neue Datenschutzgesetzgebung noch ohne klare Vorgaben zur Personalisierten Werbung in Kraft trat.

Wichtig: Die CNPD behält sich vor, nach einer Neuprüfung eine neue Geldbuße zu verhängen. Sie verspricht, “den Fall weiterhin zu bearbeiten, um die wirksame Anwendung der DSGVO sicherzustellen”. Dies zeigt, dass die Angelegenheit nicht abgeschlossen ist, sondern ein neues Verfahren droht — möglicherweise mit einer anderen Geldbuße.

Für deutsche Unternehmen ist die Entscheidung lehrreich: Sie unterstreicht, dass DSGVO-Strafen strengen rechtlichen Anforderungen genügen müssen und Behörden ihre Strafbegründungen präzise dokumentieren sollten.

Ähnliche Artikel