SDPI verhängt eine Strafe von 2,3 Millionen Euro gegen Vinted wegen Verstoßes gegen EU-Datenschutzrichtlinie

Am 2. Juli 2024 hat die litauische Datenschutzaufsichtsbehörde – die Staatliche Datenschutzinspektion (SDPI) – eine Geldstrafe von 2.385.276 Euro gegen die Vinted, UAB, Betreiber der Re-Commerce Plattform für den Handel und Austausch gebrauchter Kleidung, verhängt. Diese Entscheidung folgte der Untersuchung von Beschwerden, die von den französischen und polnischen Aufsichtsbehörden weitergeleitet wurden. Dabei wurden Verstöße gegen Artikel 5(1)(a) der Datenschutz-Grundverordnung (DSGVO) (Grundsätze der Rechtmäßigkeit, Fairness und Transparenz), Artikel 5(2) der DSGVO (Grundsatz der Rechenschaftspflicht) sowie Artikel 12(1) und 12(4) der DSGVO (transparente Information, Kommunikation und Bedingungen für die Ausübung der Rechte der betroffenen Personen) festgestellt.

SDPI verhängt eine Strafe von 2,3 Millionen Euro wegen Verstoßes gegen EU-Datenschutzrichtlinie
SDPI verhängt eine Strafe von 2,3 Millionen Euro wegen Verstoßes gegen EU-Datenschutzrichtlinie. AI generated picture by ©onlinemarktplatz.de

Untersuchung und Feststellungen der SDPI

Die SDPI führte eine Untersuchung durch, nachdem Beschwerden der französischen und polnischen Aufsichtsbehörden aus den Jahren 2021 und 2022 eingegangen waren. Diese Beschwerden behaupteten, dass das Unternehmen die Anfragen bezüglich des Rechts auf Löschung („Recht auf Vergessenwerden“) und des Auskunftsrechts nicht ordnungsgemäß umgesetzt hatte.

Versäumnisse bei der Umsetzung des Löschungsrechts

Während der Untersuchung wurde festgestellt, dass das Unternehmen in seiner Antwort auf die Anfragen angab, nicht auf eine spezifische Löschanfrage zu reagieren, da der Antragsteller in seiner Anfrage keine „spezifischen Gründe“ gemäß Artikel 17 der DSGVO angegeben hatte. Zudem erläuterte das Unternehmen nicht alle Gründe für die Untätigkeit, das heißt, die Zwecke, für die die Daten der Antragsteller weiterhin verarbeitet würden.

Unzulässige Praxis des „Shadow Blocking“

Die Untersuchung ergab auch, dass das Unternehmen zur Gewährleistung der Sicherheit der Plattform und ihrer Nutzer unzulässigerweise das sogenannte „Shadow Blocking“ anwendete. Dabei wurden persönliche Daten verarbeitet, mit der Absicht, dass eine Person, die angeblich gegen die Grundsätze der Plattform verstößt, die Plattform verlässt, ohne über die Verarbeitung ihrer persönlichen Daten informiert zu werden. Diese Praxis verstieß gegen die Grundsätze der Fairness und Transparenz.

Unzureichende technische und organisatorische Maßnahmen

Darüber hinaus stellte die SDPI fest, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen hatte, um die Einhaltung des Grundsatzes der Rechenschaftspflicht sicherzustellen und nachzuweisen, dass es Maßnahmen in Bezug auf das Auskunftsrecht ergriffen (oder vernünftigerweise abgelehnt) hatte.

Berechnung der Geldstrafe

Bei der Festlegung der Höhe der Geldstrafe stützte sich die SDPI auf die Leitlinien 04/2022 des Europäischen Datenschutzausschusses vom 24. Mai 2023 zur Berechnung von Verwaltungsgeldstrafen nach der DSGVO. Dabei wurden unter anderem der grenzüberschreitende Umfang der Datenverarbeitung durch das Unternehmen, die Anzahl der betroffenen Personen und die Dauer der Verstöße berücksichtigt.

Anhörung und weitere Schritte

Der Fall der Verhängung einer Verwaltungsgeldstrafe wurde in einer geschlossenen Sitzung mündlich verhandelt, an der Vertreter der SDPI und des Unternehmens teilnahmen. Da die Beschwerden auch personenbezogene Daten von Bürgern anderer Mitgliedstaaten der Europäischen Union betrafen, wurde die Entscheidung gemäß dem „One-Stop-Shop“-Prinzip auch mit den Datenschutzaufsichtsbehörden dieser Mitgliedstaaten abgestimmt. Die Aufsichtsbehörden von Deutschland, Frankreich, Polen, den Niederlanden und Spanien identifizierten sich als betroffene Aufsichtsbehörden.

Die Entscheidung der SDPI kann innerhalb eines Monats nach Zustellung der Entscheidung beim Verwaltungsgericht der Regionen gemäß dem Verfahren des litauischen Verwaltungsverfahrensgesetzes angefochten werden.

Frank