Ein Bußgeld von fast 2 ½ Millionen Euro wurde jüngst von der litauischen Datenschutzaufsichtsbehörde gegen die Online-Handelsplattform für Secondhand-Kleidung Vinted verhängt.

Kern des Bußgeldes war ein Verstoß gegen die Pflicht zur transparenten Information bzw. Kommunikation bei der Ausübung der Rechte von betroffenen Personen (Art. 12 DSGVO), insbesondere dem Recht auf Löschung ihrer personenbezogenen Daten (Art. 17 DSGVO). Auch spielte das sog. „Shadow Blocking“ (oder auch „Shadow Banning“ genannt) eine wichtige Rolle bei dem geahndeten Verstoß.

Chronik des Datenschutzverstoßes und der Untersuchung durch die Aufsichtsbehörde

Bereits seit dem Jahre 2020 gingen Beschwerden über den Umgang von Vinted mit Betroffenenanfragen bei mehreren europäischen Datenschutzaufsichtsbehörden ein. Die Aufsichtsbehörden wendeten sich daraufhin an die litauische Datenschutzaufsichtsbehörde, in deren Zuständigkeitsbereich sich der Firmensitz von Vinted befindet und die sodann eine umfassende Untersuchung einleitete, welche nun in dem millionenschweren Bußgeld mündete.

In ihrer Begründung für die Bemessung der Bußgeldhöhe verwies die Aufsichtsbehörde auch auf die grenzübergreifende Dimension des Verstoßes und die Vielzahl der betroffenen Personen mit Verweis auf die EU-Leitlinien zur Berechnung von Geldbußen im Sinne der DSGVO.

Mangelende Transparenz und falscher Umgang mit Löschersuchen

Inhalt der Beschwerden von betroffenen Personen war die Praxis von Vinted, als erste Reaktion auf eine Betroffenenanfrage nach spezifischen Gründen für das Verlangen nach Löschung der jeweiligen Daten zu fragen. Somit wurde die Umsetzung dieses bedeutungsvollen Rechts aus der DSGVO für die betroffenen Personen erheblich erschwert.

Diese Vorgehensweise stellt einen Verstoß gegen das Transparenzgebot nach Art. 12 Abs. 1 DSGVO und das Beantwortungsgebot nach Art. 12. Abs. 4 DSGVO dar. Die Online-Handelsplattform drehte den Spieß also gewissermaßen um. Denn eigentlich ist die verantwortliche Stelle verpflichtet, (legitime) Gründe für ihr vorläufiges oder dauerhaftes Nicht-Tätigwerden der betroffenen Person mitzuteilen, die ein Betroffenenrecht geltend macht. Als Konsequenz wurden die Daten der betroffenen Personen einfach weiterverarbeitet und eben nicht, wie gewünscht, gelöscht.

Was verbirgt sich hinter Shadow Blocking?

Wie eingangs erwähnt, bezog sich das Bußgeld gegen Vinted auch auf die Verwendung von Shadow Blocking. Hierbei werden Nutzer*innen aus einer Online-Community ausgeschlossen, indem die von ihnen geteilten Inhalte für andere Nutzer*innen nicht mehr abrufbar sind, ohne dass sie davon in Kenntnis gesetzt werden. Bekannt ist Shadow Blocking deshalb auch als wirksames Instrument für Zensur bzw. die Unterdrückung der Meinungsfreiheit innerhalb von sozialen Netzwerken oder im Internet insgesamt (wir berichteten) durch autoritäre Regime.

Doch auch für Unternehmen, die bspw. eine Online-Handelsplattform betreiben, erscheint das Sperren von Nutzer*innen und deren Beiträgen sinnvoll, wenn diese Nutzer*innen, wie im konkreten Fall, gegen die Etikette verstoßen oder die Sicherheit der Plattform und deren Nutzer*innen gefährden. Diese Begründung wurde auch von Vinted vorgetragen.

Shadow Blocking im Kontext des Datenschutzes

Zunächst müssen auch unliebsame Nutzer*innen über „die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet“ (Erwägungsgrund 60 DSGVO) werden. Ausnahmen davon können z. B. bei einem (möglicherweise) strafrechtlich relevanten Sachverhalt vorliegen. Ansonsten gilt: Wird ein Account gesperrt, sollte dessen Inhaber*in über diese Datenverarbeitung ordnungsgemäß informiert werden. Diese Pflicht ergibt sich aus den datenschutzrechtlichen Grundsätzen der Transparenz sowie dem Grundsatz der Verarbeitung nach Treu und Glauben und wurde von Vinted nicht beachtet.

Problematisch war außerdem, dass laut der Aufsichtsbehörde auch andere Nutzer*innen von Vinted in ihren Rechten und Freiheiten (auch nach der DSGVO) durch das Shadow Blocking beschränkt wurden. Leider verfügen die offiziellen bzw. öffentlichen Quellen zum Zeitpunkt der Veröffentlichung dieses Beitrages bisher über keine weiteren Informationen, wie konkret durch das Shadow Blocking die Ausübung von Rechten und Freiheiten natürlicher Personen negativ beeinflusst wurde.

Grundsätzlich lässt sich festhalten, dass die Geltendmachung von Schadensersatzansprüchen (Art. 82 DSGVO) aufgrund unrechtmäßiger Datenverarbeitungen und betrügerischer Aktivitäten bei blockierten „Beweismitteln“ (wie Angebote und Posts) logischerweise erschwert werden kann. Hier müsste Vinted als Plattformbetreiber entsprechend Vorsorgemaßnahmen treffen.

Fazit

Die litauische Aufsichtsbehörde hat mit dem Bußgeld das verdeutlicht, was eigentlich klar sein sollte: Die DSGVO verpflichtet stets die verantwortliche Stelle Rechenschaft für eine Datenverarbeitung gegenüber einer betroffenen Person abzulegen (und nicht umgekehrt), damit das Grundrecht auf Schutz personenbezogener Daten von natürlichen Personen in der EU (Art. 8 Abs. 1 GRCh) gewährleistet werden kann. Auch wird noch einmal die Bedeutung der Betroffenenrechte deutlich.

Die Untersuchung der Aufsichtsbehörde hat außerdem die Problematik zwischen der Praxis des Shadow Blocking und den datenschutzrechtlichen Grundsätzen der Transparenz und dem Grundsatz der Verarbeitung nach Treu und Glauben aufgezeigt. Es bleibt mit Spannung abzuwarten, welche weiteren Informationen im Zusammenhang mit dem Shadow Blocking und der Beschränkung der Rechte und Freiheiten natürlicher Personen in diesem Fall ans Tageslicht kommen.

Der Weg der Revision gegen das Bußgeld steht Vinted übrigens noch offen. Das Unternehmen hat bereits verkündet, diesen auch gehen zu wollen. Wir halten Sie über diesen Fall in unserem Blog auf dem Laufenden.

| | | , , , , , , , , ,