DSGVO-Rekordbußgeld? Amazon droht 350 Mio. Euro Bußgeld

Schon 2019 hatte sich der Versandkonzern Amazon in Frankreich eine Bußgeldforderung von 50 Mio. Euro eingehandelt, die rechtskräftig geworden ist. Nun blüht dem Megakonzern die bislang höchste Geldbuße wegen DSGVO-Verstößen seit deren Inkrafttreten.

Im September 2020 verhängte der Hamburger Datenschutzbeauftragte ein Bußgeld in Höhe von 35 Millionen Euro gegen den Modehändler H&M – wegen Mitarbeiterbespitzelung. Dieser bislang höchste deutsche Bußgeldbescheid wegen eines Datenschutzvergehens ist noch genauso wenig rechtskräftig wie einer über 35 Mio. Euro gegen Amazon wegen der werblichen Verwendung von Tracking-Cookies.

Immer in den Schlagzeilen

Die Meldung kommt vom Wall Street Journal und scheint sich auf Nachrichten zu beziehen, die Insider der Redaktion durchgesteckt haben: Ohne dass zur Zeit bekannt wäre, was Amazon konkret vorgeworfen wird, erwägt die Nationale Kommission für den Datenschutz (CNDP) des Großherzogtums Luxemburg eine Geldbuße über 350 Mio. Euro wegen Datenschutzvergehen. Sehr allgemein nur wird von mangelndem Datenschutz bei der Erhebung und Verarbeitung von personenbezogenen Daten gesprochen. Amazons Cloud-Services seien jedenfalls nicht das Problem. Die luxemburgische Behörde ist deshalb zuständig, weil die europäische Unternehmenszentrale und der Verwaltungssitz von Amazon in Luxemburg ansässig sind.

Erst kürzlich war Amazon mit einer dreistelligen Millionenforderung konfrontiert worden: Die EU-Kommission hatte für das Geschäftsjahr 2017 eine Steuernachzahlung von 250 Mio. Euro verlangt. Zu Unrecht – wie das Gericht der Europäischen Union (EuG) Ende Mai befand. Dieses für den Konzern günstige Urteil wurde vor dem Hintergrund gefällt, dass Amazon auf sein europäisches Corona-Rekordergebnis von 44 Mrd. Euro in Luxemburg keinen Cent Körperschaftssteuer zahlt, derweil der Internationale Gewerkschaftsbund dem Onlinehändler das Prädikat „schlechtester Arbeitgeber der Welt“ verlieh.

Kohärenzverfahren eingeleitet

Ein Unternehmen, das den EU-Datenschutz vernachlässigt, kann mit bis zu vier Prozent seines Jahreseinkommens zur Kasse gebeten werden. Solche Härtefälle gab es bisher noch nicht. Die derzeit kolportierte Bußgeldforderung über 350 Mio. Euro würde etwa zwei Prozent des Nettogewinns von Amazon (ca. 17,6 Mrd. Euro) des Jahrs 2020 ausmachen. Ob es überhaupt dazu kommt, ist derzeit ungewiss. Noch besteht die Forderung der CNDP als Entwurf, dem alle anderen 26 Datenschutz-Aufsichtsbehörden der EU zustimmen müssen. Wie das Wall Street Journal schreibt, könnte dieses Verfahren Monate dauern. Weder die Datenschützer aus Luxemburg noch Amazon wollen zu dem Fall öffentlich Stellung beziehen, das Entwurfspapier des Bußgeldbescheids sei aber bereits in Europa bei den zuständigen Stellen verteilt worden. Was damit eingeleitet wurde, nennt sich Kohärenzverfahren. Es stellt sicher, dass solch heikle Beschlüsse im Zusammenhang mit Verstößen gegen die DSGVO so kohärent wie möglich getroffen werden können.

Muss Amazon noch mehr zahlen?

Offenbar handelt es sich nicht nur um ein Kohärenz-, sondern auch um ein Transparenzverfahren. Denn auch zur Stimmungslage in den Ländergremien hat das Wall Street Journal einiges mitzuteilen. So habe es bereits mehr als einmal Widerspruch gegeben – und mindestens eine Stimme macht sich für eine noch höhere Geldbuße stark. Sollten sich die involvierten Datenschutzbehörden tatsächlich nicht einigen können, geht die Entscheidungsgewalt an den Europäischen Datenschutzausschuss (ESDA) als oberste Kontrollinstanz.