Kategorie: Coronavirus
4. Mai 2022
Die Entwickler der Luca-App haben nach eigenen Angaben sämtliche Daten, die seit dem Start der App erhoben und gespeichert wurden, von Ihren Servern gelöscht. Die Luca-App war zur Kontaktnachverfolgung in der Covid-Pandemie entwickelt worden. Sie speicherte Daten zwar verschlüsselt, wurde aber von Datenschützern immer wieder kritisiert.
Nach der Löschaktion der Entwickler seien die Daten jetzt nur noch lokal auf den jeweiligen Smartphones vorhanden, Luca selbst habe darauf keinen Zugriff mehr. Der Hamburger Datenschutzbeauftragte Thomas Fuchs hatte bereits empfohlen, bei der Deinstallation der Luca-App zuerst den eigenen Account zu löschen und dann die App selbst. Dadurch soll sichergestellt werden, dass auch alle Daten vollumfänglich gelöscht werden.
Die Luca-App selbst soll neu ausgerichtet und in Zukunft als Digitalisierungsservice und Bezahlanwendung für die Gastronomie verwendet werden können. Zukünftig soll sie ‘LucaPay’ heißen.
28. April 2022
Nachdem bereits in der letzten Woche die Landesbeauftragte für den Datenschutz Niedersachsen Unternehmen und öffentliche Stellen zur Löschung von Corona-Daten aufgefordert hatte (wir berichteten), werden nun auch Arbeitgeber in Hamburg zur Löschung dieser Daten aufgefordert.
In einer entsprechenden Pressemitteilung teilte der Hamburgische Beauftragte für Datenschutz und Informationssicherheit (HmbBfDI) Thomas Fuchs mit, dass ab dem 1. Mai 2022 aufgrund des Wegfalls der Hotspot-Regelungen in Hamburg viele gesetzliche Grundlagen für die Verarbeitung von Corona-Daten wegfielen. Die Unternehmen und öffentlichen Stellen sollten diese neue Phase der Pandemie zum Anlass nehmen, eine Inventur der Corona-Datenbestände durchzuführen. Vorhandene Datenbestände müssten daher überprüft und nicht mehr erforderliche Daten gelöscht werden.
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit kündigte nun an, aktiv auf Kammern und Verbände zuzugehen und diese darüber zu informieren, was im Rahmen des “digitalen Frühjahrsputzes” zu tun sei.
21. April 2022
In einer Pressemitteilung hat die Landesbeauftragte für den Datenschutz Niedersachsen Barbara Thiel Unternehmen und öffentliche Stellen aufgefordert die aufgrund der Maßnahmen zur Pandemiebekämpfung verarbeiteten Corona-Daten dringend zu löschen.
Die Unternehmen und öffentlichen Stellen sollten in einem ersten Schritt prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Sollten diese Maßnahmen und damit der Zweck der Corona-Datenverarbeitung weggefallen sein, müssten diese Daten dringend gelöscht werden.
Als Beispiel nannte die Landesbeauftragte Corona-Daten, welche im Rahmen der Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle verarbeitet wurden. „Die in diesem Rahmen verarbeiteten Daten hätten bereits mit dem Ende der gesetzlichen Pflichten sofort gelöscht werden müssen. Wer sich noch nicht darum gekümmert hat, sollte das spätestens jetzt tun, um keine rechtswidrigen Datenfriedhöfe anzulegen.“ teilte Thiel mit.
Weiterhin kündigte die Landesbeauftragte an, die Einhaltung des Datenschutzes durch unangekündigte Kontrollen bei den Verantwortlichen zu überprüfen.
21. Februar 2022
Die App, die ohnehin schon schon wegen zahlreichen datenschutzrechtlichen Problemen in der Kritik stand (wie hier berichtet), könnte nun auch zum Instrument der Strafverfolgung werden, ginge es nach dem Willen der Brandenburger Justizministerin Susanne Hoffmann. Die Kontaktdaten der Luca-App sollen zur Verfolgung schwerer Straftaten genutzt werden, forderte die CDU-Politikerin am Donnerstag im Rechtsausschuss des Landtages.
Die Kontaktdaten würden ausschließlich zur Verfolgung schwerer Straftaten eingesetzt werden. Als Beispiele für solche schweren Straftaten nennt Hoffmann eine “gewaltsame Auseinandersetzung in einer Lokalität, die in einem Tötungsdelikt endet” oder eine “Vergewaltigung in einem Restaurant”. Auch würde die App nur bei einer umfassenden Abwägung von Staatsanwaltschaft und Gerichten im Einzelfall zur Anwendung kommen.
Kritik an der Forderung
Von Seiten der Opposition hagelte es jedoch Kritik in puncto Datenschutz. Der rechtspolitische Sprecher der FDP in Brandenburg sprach von einem “Datenmissbrauch”. Der Fraktionschef der freien Wähler, Péter Vida, unterstrich, die Daten der App dürften nur für die Kontaktnachverfolgung von Infektionsketten, aber nicht für die Ermittlung nach Straftaten genutzt werden. Damit spielt er auf das Gebot der Zweckbindung nach Art. 5 Abs. 1 lit. b DSGVO im Datenschutz an. Das Gebot der Zweckbindung soll sicherstellen, dass Daten nur für den Zweck verarbeitet werden, für den sie erhoben worden sind. Werden die Daten zu einem anderen Zweck verarbeitet als zu dem sie erhoben wurden, ist die Verarbeitung nicht mehr von der ursprünglichen Rechtsgrundlage gedeckt. Wenn also der Nutzer der Luca-App in die Erhebung seiner Daten zu Zwecken der Kontaktverfolgung von Infektionsketten einwilligt, ist die Verarbeitung seiner Kontaktdaten zum Zwecke der Strafverfolgung rechtswidrig, weil nicht vom ursprünglichen Erhebungszweck gedeckt. Es gilt abzuwarten, ob sich die Forderung von Susanne Hoffmann bei dieser Rechtslage durchsetzen kann.
11. Januar 2022
Das Europäische Parlament verstößt mit seiner Corona-Testseite gegen das europäische Datenschutzrecht. Diese Entscheidung wurde vom Europäischen Datenschutzbeauftragten Wojciech Wiewiorowski (EDSB) bestätigt.
Der Entscheidung vorausgegangen war eine Beschwerde der Datenschutzorganisation “noyb (None of Your Business)” um den österreichischen Datenschutz-Aktivisten Max Schrems. Diese wurde im Namen von sechs Mitgliedern des Europäischen Parlaments eingereicht. Die Gründe für die Beschwerde waren unter anderem ein irreführender Cookie-Banner und die illegale Übermittlung von Daten in die USA.
Insbesondere zu dem letzten Beschwerdegrund stellte der EDSB fest, dass das Parlament keine Nachweise erbringe, welche die Gewährleistung eines dem europäischen Recht äquivalenten Datenschutzstandard im Rahmen der Übermittlung an die USA zusichern konnten. Auch stellte der EDSB fest, dass die Differenzen der Cookie-Banner, die sich je nach gewählter Sprache ergeben, gegen das geltende Datenschutzrecht verstoßen.
Die Beschwerdegründe stellen einen Verstoß gegen die “DSGVO für EU-Institutionen” fest (Verordnung (EU) 2018/1725) die nur für EU-Einrichtungen gilt und der DSGVO nachempfunden ist. Der EDSB erteilte aufgrund dieser Verstöße eine Unterlassungsanordnung mit einer Frist von einem Monat.
30. Dezember 2021
Seit Anbeginn der Coronapandemie wurde vielfach darüber diskutiert, ob und wie vonseiten der Arbeitgeber Gesundheitsdaten verarbeitet werden dürfen. Seit der nun bestehenden Präventionsmöglichkeit durch einen Impfschutz, konkretisiert sich die Diskussion hin zur Abfrage des Impfstatus durch den Arbeitgeber im Betrieb.
1. Verarbeitung von Gesundheitsdaten im Betrieb
Die Verarbeitung von Gesundheitsdaten im Beschäftigtenverhältnis kann mit Blick auf die arbeitgeberseitige Fürsorgepflicht gemäß §§ 611 a, 241 II BGB und nach § 167 II SGB IX geboten und erforderlich sein. Ferner ist für Beschäftigte eine Verpflichtung vorgesehen, welche besagt, dass diese bei „begründeter Veranlassung“ zu einer ärztlichen Untersuchung der Arbeitsfähigkeit verpflichtet werden können.
2. Besondere Kategorien personenbezogener Daten nach der DSGVO
Art. 9 Abs. 1 DSGVO stuft Gesundheitsdaten als besondere Kategorie personenbezogener Daten und damit als besonders schützenswert ein. Art. 9 Abs. 1 DSGVO normiert für diese sensiblen Daten ein restriktives Verarbeitungsverbot, wonach diese nur in den abschließend geregelten Ausnahmefällen des Art. 9 Abs. 2 DSGVO verarbeitet werden dürfen. Bei der Verarbeitung von Gesundheitsdaten im Betrieb ist stets eine besondere Vorsicht geboten, da diese oftmals das Risiko mit sich bringt, dass einmal zugänglich gemachte Informationen zur Begründung einer negativen Gesundheitsprognose im Rahmen einer krankheitsbedingten Kündigung zweckentfremdend genutzt werden können.
3. Präventionsmaßnahmen während der Pandemie
Den Arbeitgebern standen mehrere optionale Präventionsmaßnahmen zur Verfügung. So hatten zu Beginn der Pandemie Arbeitgeber gegenüber den Beschäftigten ein Fragerecht bei Rückkehr aus dem Urlaub hinsichtlich des Aufenthaltorts und, ob es sich bei diesem um ein Risikogebiet handelte. Außerdem stand dem Arbeitgeber auch zu, von dem Beschäftigten die Information zu erlangen, ob dieser in einer ebenfalls näher durch das RKI beschriebenen Weise, in direktem und ansteckungsrelevanten Kontakt mit einer infizierten Person stand. Ferner wurde auch über die Anwendung von Wärmebildkameras diskutiert, mit Hilfe derer man die Körpertemperatur eines Beschäftigten ermitteln wollte. Jedoch hielt die DSK den Einsatz vor dem Hintergrund des Erforderlichkeitsvorbehalts überwiegend für ungeeignet, da „eine erhöhte Körpertemperatur nicht zwangsläufig als symptomatisch für eine SARS-CoV-2-Infektion angesehen werden kann“.
4. Verarbeitung des Impfstatus im Betrieb
Grundrechte wurden in der Krisenzeit eingeschränkt und auch vorbehaltslos gewährleistete Grundrechte fanden im kollidierenden Verfassungsrecht eine Schranke. Diese Beschränkungen finden ihre Grundlage aber nicht in betrieblichen Regelungen oder Weisungen der Arbeitgeberseite, sondern bedürfen einer normklaren gesetzlichen Rechtsgrundlage, etwa durch den Bundesgesetzgeber im IfSG.
a. Rechtsgrundlage für Datenverarbeitung
Im Zuge der Entwicklung von Impfstoffen wurde die Debatte darüber, inwiefern der Impfstatus im Beschäftigtenkontext erhoben und verarbeitet, insbesondere gespeichert werden darf, immer lauter. Letztendlich hat sich ein gewisser Konsens dahingehend gebildet, dass eine Verarbeitung des Impfstatus an sich ausgeschlossen ist und nur in besonders vulnerablen Branchen, namentlich bei Heil-/Pflegeberufen erforderlich ist. Hintergrund ist auch, dass zumindest nach dem Leitbild des Gesetzgebers in §§ 23, 23 a des Infektionsschutzgesetzes eine Befugnisnorm für dort näher bezeichnete Arbeitgeber der Heil- und Pflegebranche normiert ist, den Impfstatus der Beschäftigten zu verarbeiten. Darüber hinaus bestehen in den deutschen Ländern Sonderregelungen, in Baden-Württemberg etwa die „CoronaVO Krankenhäuser und Pflegeeinrichtungen“, welche ebenfalls nähere Regelungen zur Abfrage des Immunisierungsstatus enthalten. Eine generelle Verarbeitungsgrundlage für die Abfrage des Impfstatus durch den Arbeitgeber ist bisher gesetzlich jedenfalls nicht normiert.
b. Lohnfortzahlung nach § 56 I IfSG
Auf Grund des jüngsten Beschlusses der Gesundheitsministerkonferenz vom 22.9.2021 wird zunehmend diskutiert, ob zumindest in den Fällen, in denen Beschäftigte gegenüber ihrem Arbeitgeber einen Anspruch auf Geldentschädigung nach § 56 I IfSG geltend machen, eine Abfrage des Impfstatus zulässig erfolgen kann. Kommt es zu einer so genannten Absonderungsverpflichtung eines Beschäftigten und zahlt der Arbeitgeber den Lohn des Beschäftigten weiter, so kann er sich den für die Dauer dieser Absonderung ansonsten entstandenen Verdienstausfall bei der zuständigen Behörde erstatten lassen. Der Arbeitgeber geht insoweit in Vorleistung und übernimmt die Auszahlung zunächst „stellvertretend als Zahlstelle für die zuständige Behörde“. Zu einer derartigen Erstattung kommt es jedoch nicht in Fällen, in denen die Quarantäne durch „Inanspruchnahme einer Schutzimpfung“ hätte vermieden werden können. Hierzu wird nun vertreten, dass in diesen Konstellationen die Abfrage und Nutzung des Impfstatus in Einklang mit 26 III BDSG, Art. 9 II Buchst. b DS-GVO erfolgt.
c. Keine Auskunftspflicht des Beschäftigten
Der Arbeitgeber darf den Impfstatus des Beschäftigten zwar durchaus erfragen, wenn er „stellvertretend“ die Entschädigung nach § 56 I IfSG für die zuständige Behörde ausbezahlt. Allerdings trifft den Beschäftigten insoweit keine Verpflichtung, dem Arbeitgeber den Impfstatus oder andere Gesundheitsdaten, etwa chronische Vorerkrankungen oder Umstände wie eine Schwangerschaft, zu offenbaren. Eine solche Verpflichtung ergibt sich weder aus dem IfSG noch aus dem BDSG, als grundrechtsrelevante und damit wesentliche Pflicht des Beschäftigten hätte insoweit eine normenklare, eindeutige Gesetzesgrundlage geschaffen werden müssen. Auch lässt sich eine vertragliche Pflicht des Beschäftigten, den Arbeitgeber im Rahmen seiner Bemühungen um eine Erstattung der verauslagten Lohnkosten zu unterstützen schon deswegen nicht begründen, weil mit Blick auf die Sensibilität der hierzu benötigten Daten eine solche Verpflichtung ihm nicht zumutbar wäre. Somit ist vielmehr von einer bloßen Obliegenheit des Beschäftigten auszugehen, wonach dieser ohne Auskunftserteilung zwar keine Rechtspflicht verletzt, aber möglicherweise tatsächliche Nachteile (wie eine Beendigung der Lohnweiterzahlung) zu erwarten hätte.
Fazit
Hinzuweisen ist hierbei noch auf den § 28b Abs. 1 IfSG. Nach dem § 28b Abs.1 IfSG dürfen Arbeitgeber und Beschäftigte in Arbeitsstätten, in denen physische Kontakte von Arbeitgebern und Beschäftigten untereinander oder zu Dritten nicht ausgeschlossen werden können, nur betreten, wenn sie geimpfte, genesene oder getestete Personen sind und einen Impf-, Genesenen- oder Testnachweis mit sich führen, zur Kontrolle verfügbar halten oder bei dem Arbeitgeber hinterlegt haben.
Die Debatte um die Geltendmachung der Entschädigungsansprüche nach § 56 IfSG zeigt offensichtlich, warum die Verarbeitung von sensiblen Gesundheitsdaten außerhalb der betrieblichen Sphäre liegen sollte. Auch in der Praxis der Aufsichtsbehörde wird deutlich: Viele Beschäftigte und Betriebe sind verunsichert, die Rechtslage ist unklar und umstritten. Von Seiten der Aufsichtsbehörden werden ebenfalls unterschiedliche Ansichten vertreten, eine einheitlich Linie gemeinsam mit dem Bundesgesundheitsministerium, wäre wünschenswert. Es liegt nun also am Gesetzgeber, in diesem sensiblen Feld für Klarheit und Rechtsfrieden zu sorgen.
9. Dezember 2021
Seit den Änderungen des Infektionsschutzgesetzes (IfSG), die seit dem 24. November deutschlandweit gelten, dürfen Arbeitgeberinnen und Arbeitgeber den Impfstatus ihrer Beschäftigten abfragen und sind zur Kontrolle und Dokumentation des jeweiligen “G-Status” ihrer Mitarbeitenden verpflichtet. Mit der Aktualisierung des IfSG hat der Gesetzgeber die von Arbeitgeberinnen und Arbeitgebern lang ersehnte Rechtsgrundlage für eine solche Abfrage und Dokumentation geschaffen.
Eine bundesweit einheitliche Rechtsgrundlage für die Abfrage und Dokumentation des Impfstatus von Schülerinnen und Schülern fehlt jedoch auch nach den Neuerungen des IfSG. Zwar dürfen Schulen den Impf-, Genesenen- oder Teststatus ihrer Lehrkräfte und Beschäftigten abfragen und dokumentieren. Den “G-Status” von Schülerinnen und Schülern dürfen Schulen hingegen nur dann erheben, wenn die jeweiligen landesrechtlichen Regelungen eine entsprechende Rechtsgrundlage dafür vorsehen. Dies ist in einigen Bundesländern bereits der Fall und die Landesverordnungen sehen solche Regelungen grundsätzlich vor, so z.B. in NRW. In Hessen hingegen fehlt eine solche Rechtsgrundlage.
Die hessischen Corona-Schutzverordnung, die zwar explizit die Abfrage dieser Gesundheitsdaten vorsieht, enthält keine Rechtsgrundlage für die Dokumentation, d.h. Speicherung dieser Daten in einer Liste oder digitalen Datei. Die damit einhergehenden Probleme hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) in einer Stellungnahme vom 30.11.2021 verdeutlicht. Diese ergeben sich, so der Hessische Datenschutzbeauftragte insbesondere daraus, dass an den Schulen nach der Landesverordnung einerseits eine Testpflicht bestehe, um am Unterricht teilnehmen zu können, andererseits viele Schülerinnen und Schüler aber bereits über einen Impfnachweis verfügten, seitdem die STIKO im Sommer ihre Impfempfehlung für Kinder und Jugendliche ab 12 Jahren ausgesprochen hat. In diesen Fällen bestehe nach der derzeitigen Regelung in Hessen nicht die Möglichkeit, einen von den Schülerinnen und Schülern freiwillig vorgezeigten Impfausweis zu dokumentieren. Damit müssten die Schulen, sollte ein Impfausweis beispielsweise vergessen werden, auch trotz Impfung einen Test bei den betroffenen Schülern durchführen. Eine Möglichkeit für Schulen, die erneute Vorlage des Impfausweises zu vermeiden, besteht nach derzeitigen Regelungen in Hessen somit nicht.
Der HBDI ist bereits an das Hessische Kultusministerium herangetreten und hat empfohlen, eine entsprechende Lösung für dieses Problem zu finden. Es bleibt daher abzuwarten, wann diese umgesetzt wird und ob auch hier eine bundeseinheitliche Regelung getroffen wird.
12. November 2021
In mehreren Berliner Corona-Testzentren hatten die Betreiber eine unsichere Software-Lösung benutzt. Dies hat dazu geführt hat, dass hunderttausende Nutzerdaten von Getesteten im Internet aufgetaucht sind. Betroffen sind diejenigen Kunden, die sich bei Testzentren “Schnelltest Berlin” haben testen lassen. Das IT-Kollektiv „Zerforschung“ fand heraus, dass aufgrund einer nicht geschützten Schnittstelle verschiedener Testanbieter die Daten ins Netz gelangen konnten und somit für Dritte einsehbar waren.
Neben sensiblen, personenbezogenen Daten wie Name, Anschrift oder Telefonnummer befanden sich darunter offenbar auch Testergebnisse und Zertifikate des Robert-Koch-Instituts (RKI). Weiter fand Zerforschung heraus, dass sich auch Testzertifikate für PCR-Tests erstellen ließen. So konnten die Programmierer ein Zertifikat über ein negatives Corona-Testergebnis für einen von ihnen frei gewählten Namen ausstellen. In einem Versuch generierten sie einen PCR-Test, der mit negativem Ergebnis für einen fiktiven 177 Jahre alten Mann ausgestellt werden konnte. Hinzu kommt, dass das manipulierte Testzertifikat selbst den sogenannten BärCODE enthielt. Dieser markiert Zertifikate im Normalfall als offiziell und gilt als Sicherheitsmerkmal.
Nach Aufdeckung der Sicherheitslücken informierte Zerforschung die zuständigen Stellen. Der Betreiber der in Rede stehenden IT-Datenbank „WeCare Services“ hat auf Nachfrage gegenüber dem rbb die Datenpanne zugegeben und versichert, die Lücken seien inzwischen geschlossen. Kunden wurden bisher nicht über die Datenlücke informiert.
Der Zusammenschluss “Schnelltest Berlin” ist nicht der einzige Anbieter, der Sicherheitsmängel aufweist. Auch andere Teststellen gehen unverantwortlich mit Daten um. Dementsprechend sind diese Fehler weitverbreitet, so Zerforschung gegenüber rbb24.
1. Oktober 2021
Gerichtsentscheidungen dürfen nur anonymisiert – d.h. ohne namentliche Nennung der betroffenen Personen – an andere Behörden weitergeleitet werden. Das entschied das Landgericht Köln unter Verweis auf die DSGVO mit Urteil vom 03.08.2021 (Az. 5 O 84/21). Einen Anspruch auf Schmerzensgeld für die unberechtigte Weiterleitung verneinte das Gericht.
Sachverhalt
Im Ursprungsfall wandte sich der Kläger gegen eine Allgemeinverfügung der Stadt Bergisch Gladbach, die ihm aufgrund der Corona-Pandemie die Schließung seines Geschäftslokals auferlegte. Nachdem das Verwaltungsgericht Köln zugunsten der Stadt entschieden hatte, leitete diese den Beschluss an andere Behörden zu deren Information weiter. Dabei unterließ sie jede Form der Anonymisierung, d.h. Unkenntlichmachung des Klägers.
In dem Verfahren vor dem LG Köln begehrte der Kläger deswegen von der Stadt Schmerzensgeld gem. Art. 82 DSGVO. Dazu behauptete er, durch die öffentliche Bekanntmachung des Beschlusses sei er Anfeindungen als Corona-Leugner ausgesetzt gewesen und seine Reputation habe gelitten. Die Stadt hingegen verwies darauf, dass der Fall bereits durch die Berichterstattung in einer Tageszeitung der Öffentlichkeit bekannt gewesen sei und dass es sich bei den personenbezogenen Daten des Klägers nicht um geheime Daten gehandelt habe.
Die Entscheidung
Nach Art. 82 DSGVO steht jeder Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, Anspruch auf Schadenersatz zu. Das LG Köln sah in der Weiterleitung des Beschlusses an andere Behörden auch einen Verstoß gegen die DSGVO. Die Stadt hätte jedenfalls den Beschluss anonymisieren und die Identität des Klägers unkenntlich machen müssen.
Es verneinte jedoch einen Anspruch auf Schmerzensgeld gem. Art. 82 DSGVO. Als Begründung dafür führte es an, dass die vom Kläger beschriebenen Beeinträchtigungen nicht notwendigerweise auf die Offenlegung des Berichts zurückzuführen seien. Zu dem Zeitpunkt hätten sich auch andere Geschäftsinhaber gegen die Schließung gewehrt, so dass auch diese an den Beschluss hätten gelangen können. Zudem seien die Mitarbeiter der Verwaltung zur Verschwiegenheit verpflichtet.
24. August 2021
Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.
Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.
Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es “keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.
Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.