de en
Nexia Ebner Stolz

Rechtsberatung

DSGVO: Frankreich verhängt Millionenstrafe gegen Google

Am 21.1.2019 hat die französische Datenschutzbehörde CNIL gegen Google eine Strafe von 50 Millionen Euro wegen Verstoßes gegen die Datenschutzgrundverordnung (DSGVO) verhängt. Die CNIL ist die erste europäische Regulierungsbehörde, die einen globalen Internetkonzern mit Bezug auf die DSGVO bestraft.

Der Ent­schei­dung lie­gen die Beschwer­den zweier Ver­bände vom 25. bzw. 28.5.2018 zu Grunde. Die Ver­bände „None of Your Busi­ness (NOYB) und „La Quad­ra­ture du Net (LQDN) mach­ten zwei Arten von Ver­stö­ßen gegen die DSGVO gel­tend. Die Vor­würfe rich­te­ten sich gegen die Ein­rich­tung eines Google-Acco­unts auf einem And­roid-Smart­phone.

DSGVO: Frankreich verhängt Millionenstrafe gegen Google© Thinkstock

Die CNIL bemän­gelt, dass Google zum einen seine Tran­s­pa­renz- und Infor­ma­ti­onspf­lich­ten ver­letzt habe, indem die von Google bereit­ge­s­tell­ten Infor­ma­tio­nen für die Nut­zer nicht leicht zugäng­lich waren. Kon­k­ret seien „Wesent­li­che Infor­ma­tio­nen“, etwa zu Daten­ver­ar­bei­tungs­zwe­cken und zur Dauer von Daten­spei­che­run­gen, über meh­rere Doku­mente ver­teilt wor­den. Dazu müss­ten die Nut­zer auf Schalt­flächen und Links kli­cken, um ergän­zende Infor­ma­tio­nen zu erhal­ten. Letzt­lich wären fünf bis sechs Aktio­nen erfor­der­lich gewe­sen, um die Infor­ma­tio­nen zu erhal­ten.

Zum ande­ren kri­ti­siert die CNIL, dass einige der Infor­ma­tio­nen unklar for­mu­liert seien. Die Nut­zer seien nicht in der Lage, das Aus­maß der Ver­ar­bei­tungs­vor­gänge von Google voll­stän­dig zu ver­ste­hen. Des­halb fehle Google eine gül­tige Zustim­mung der Nut­zer und damit eine Rechts­grund­lage, ihnen per­so­na­li­sierte Anzei­gen aus­zu­spie­len. Den Nut­zern seien keine Infor­ma­tio­nen ersicht­lich, wie viele Google-Dienste von der erteil­ten Zustim­mung zur Ver­ar­bei­tung von Daten für die Per­so­na­li­sie­rung von Anzei­gen betrof­fen sind. Sie seien nicht aus­rei­chend dar­über infor­miert gewe­sen, wie viele Google-Dienste ihre Zustim­mung betrifft. Des­halb sei die Zustim­mung der Nut­zer, die bei der Anmel­dung eines Google-Acco­unts ein­ge­holt wird, weder spe­zi­fisch noch ein­deu­tig. Dies ver­an­lasste die CNIL dazu, die von Google ein­ge­holte Zustim­mung zur Anzeige per­so­na­li­sier­ter Wer­bung für unwirk­sam zu erklä­ren.

Nach der DSGVO kön­nen gegen Unter­neh­men Stra­fen von bis zu vier Pro­zent des welt­wei­ten (Kon­zern-)Jah­re­s­um­sat­zes des vor­an­ge­gan­ge­nen Geschäfts­jah­res ver­hängt wer­den. Im kon­k­re­ten Fall wurde die Strafe von 50 Mil­lio­nen Euro mit der Schwere des Ver­sto­ßes gegen wesent­li­che Grund­sätze der DSGVO, ins­be­son­dere Tran­s­pa­renz, Infor­ma­tion und Zustim­mung, begrün­det. Über­dies han­dele es sich um keine ein­ma­li­gen, zeit­lich beg­renz­ten Ver­stöße. Der Kon­zern kün­digte an, Beru­fung ein­zu­le­gen.

Hin­weis

Es ist die erste Straf­zah­lung in die­ser Höhe, die von einer euro­päi­schen Daten­schutz­be­hörde ver­hängt wor­den ist. In Deut­sch­land wur­den bis­her von den Daten­schutz­be­hör­den der Län­der nur Straf­zah­lun­gen im fünf­s­tel­li­gen Bereich ver­hängt. Es ist zu befürch­ten, dass der Druck auf die deut­schen Behör­den steigt, bei ihren Ermes­sens­ent­schei­dun­gen die Trag­weite der Ver­stöße und die Bedeu­tung der Unter­neh­men hin­rei­chend zu wür­di­gen.

Die Ent­schei­dung macht deut­lich, dass die Infor­ma­ti­onspf­lich­ten gerade im Zusam­men­hang mit Ein­wil­li­gun­gen in beson­de­rem Maße ernst­ge­nom­men wer­den soll­ten. Ins­be­son­dere Unter­neh­men, die ähn­lich wie Google viele per­so­nen­be­zo­gene Daten ver­ar­bei­ten, oder ihre Geschäfts­mo­delle auf der per­so­na­li­sier­ten werb­li­chen Anspra­che auf­bauen und eine ent­sp­re­chende Markt­re­le­vanz inne­ha­ben, soll­ten ihre Pro­zesse vor dem Hin­ter­grund der von der CNIL for­mu­lier­ten Kri­te­rien über­prü­fen. Dies gilt auch für Unter­neh­men, deren Geschäfts­mo­dell nicht schwer­punkt­mä­ßig in der Daten­ver­ar­bei­tung liegt. Denn ver­mut­lich wer­den andere euro­päi­sche Daten­schutz­be­hör­den die Auf­ar­bei­tung durch die CNIL zum Anlass neh­men, eigene Prü­fun­gen vor­zu­neh­men. Hier­bei sollte beach­tet wer­den, dass die Behör­den eine Über­prü­fung auch ohne vor­he­rige Beschwerde von Amts wegen ver­an­las­sen kön­nen.

nach oben