Am 2. Juli 2024 beschloss die litauische Datenschutzaufsichtsbehörde – die staatliche Datenschutzinspektion (SDPI), eine Verwaltungsstrafe in Höhe von 2.385.276 EUR gegen Vinted, UAB (das Unternehmen), den Betreiber der Online-Handels- und Tauschplattform für Secondhand-Kleidung „Vinted“, zu verhängen. Die Geldbuße wurde von der SDPI verhängt, nachdem sie die von den französischen und polnischen Aufsichtsbehörden weitergeleiteten Beschwerden der Antragsteller geprüft und Verstöße gegen Artikel 5 Absatz 1 Buchstabe a der Datenschutz-Grundverordnung (DSGVO) (Grundsätze der Rechtmäßigkeit, Fairness und Transparenz), Artikel 5 Absatz 2 der DSGVO (Grundsatz der Rechenschaftspflicht) und Artikel 12 Absatz 1 und 4 der DSGVO (transparente Informationen, Kommunikation und Bedingungen für die Ausübung der Rechte der betroffenen Person) festgestellt hatte.
Das SDPI führte eine Untersuchung im Anschluss an die Beschwerden der Antragsteller durch, die von den französischen und polnischen Aufsichtsbehörden in den Jahren 2021 bzw. 2022 weitergeleitet wurden und in denen behauptet wurde, dass das Unternehmen ihre Anträge in Bezug auf das Recht auf Löschung („Recht auf Vergessenwerden“) und das Recht auf Zugang nicht ordnungsgemäß umgesetzt habe.
Während der Prüfung der Beschwerden wurde festgestellt, dass das Unternehmen in seiner Antwort auf die Anträge der Antragsteller angegeben hatte, dass es einem spezifischen Antrag auf Löschung von Daten nicht nachkommen würde, da der betreffende Antragsteller in seinem Antrag die „spezifischen Gründe“ gemäß Artikel 17 der DSGVO nicht angegeben hatte, d. h. er keinen spezifischen Grund gemäß Artikel 17 Absatz 1 der DSGVO nannte, und das Unternehmen nicht alle Gründe für die Untätigkeit angab, d. h. die Zwecke, für die die Daten der Antragsteller in einem bestimmten Umfang nach Stellung des Antrags weiterhin verarbeitet würden.
Die Prüfung der Beschwerden ergab außerdem, dass das Unternehmen, um die Sicherheit der Plattform und ihrer Nutzer zu gewährleisten, gegenüber einigen der Antragsteller rechtswidrig „Shadow Blocking“ (die Verarbeitung personenbezogener Daten mit der Absicht, dass eine Person, die angeblich gegen die Betriebsgrundsätze der „Vinted“-Plattform verstößt, die Plattform verlassen soll, ohne von einer solchen Verarbeitung ihrer personenbezogenen Daten Kenntnis zu haben) anwandte, was gegen die Grundsätze der Fairness und Transparenz verstieß. Es ist anzumerken, dass die unsachgemäße Umsetzung der oben genannten Grundsätze die Möglichkeit der Nutzer der Plattform, andere Rechte auszuüben und Rechtsmittel gemäß der DSGVO einzulegen, beeinträchtigt hat.
Darüber hinaus hat das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen, um die Umsetzung des Grundsatzes der Rechenschaftspflicht sicherzustellen und nachweisen zu können, dass es im Hinblick auf das Auskunftsrecht Maßnahmen ergriffen (oder dies aus vernünftigen Gründen verweigert) hat.
Bei der Entscheidung über die Höhe der Geldbuße stützte sich der SDPI auf die Leitlinien 04/2022 des Europäischen Datenschutzausschusses vom 24. Mai 2023 zur Berechnung von Verwaltungsgeldbußen gemäß der DSGVO und berücksichtigte dabei beispielsweise den grenzüberschreitenden Umfang der vom Unternehmen durchgeführten Verarbeitung, die Verstöße, die eine große Zahl betroffener Personen betrafen und über einen langen Zeitraum andauerten.
Der Fall bezüglich der Verhängung einer Verwaltungsstrafe durch den SDPI wurde in einer geschlossenen Sitzung in Anwesenheit von Vertretern des SDPI und von Vertretern des Unternehmens mündlich verhandelt. Da die Beschwerden gemäß der DSGVO auch personenbezogene Daten von Bürgern anderer Mitgliedstaaten der Europäischen Union betrafen, wurde die getroffene Entscheidung auch mit den Aufsichtsbehörden für den Schutz personenbezogener Daten dieser Mitgliedstaaten abgestimmt, wobei das Prinzip der „One-Stop-Shop-Regelung“ angewendet wurde. Die Aufsichtsbehörden Deutschlands, Frankreichs, Polens, der Niederlande und Spaniens identifizierten sich als die betroffenen Aufsichtsbehörden.
Gegen die Entscheidung des SDPI kann innerhalb eines Monats nach Zustellung der Entscheidung gemäß dem im Gesetz der Republik Litauen über Verwaltungsverfahren festgelegten Verfahren Berufung beim Verwaltungsgericht der Regionen eingelegt werden.