DSGVO: Frankreich verhängt Millionenstrafe gegen Google

Der Ent­schei­dung lie­gen die Be­schwer­den zweier Verbände vom 25. bzw. 28.5.2018 zu Grunde. Die Verbände „None of Your Busi­ness (NOYB) und „La Qua­dra­ture du Net (LQDN) mach­ten zwei Ar­ten von Verstößen ge­gen die DS­GVO gel­tend. Die Vorwürfe rich­te­ten sich ge­gen die Ein­rich­tung ei­nes Google-Ac­counts auf einem An­droid-Smart­phone.

© Thinkstock

Die CNIL bemängelt, dass Google zum einen seine Trans­pa­renz- und In­for­ma­ti­ons­pflich­ten ver­letzt habe, in­dem die von Google be­reit­ge­stell­ten In­for­ma­tio­nen für die Nut­zer nicht leicht zugäng­lich wa­ren. Kon­kret seien „We­sent­li­che In­for­ma­tio­nen“, etwa zu Da­ten­ver­ar­bei­tungs­zwe­cken und zur Dauer von Da­ten­spei­che­run­gen, über meh­rere Do­ku­mente ver­teilt wor­den. Dazu müss­ten die Nut­zer auf Schaltflächen und Links kli­cken, um ergänzende In­for­ma­tio­nen zu er­hal­ten. Letzt­lich wären fünf bis sechs Ak­tio­nen er­for­der­lich ge­we­sen, um die In­for­ma­tio­nen zu er­hal­ten.

Zum an­de­ren kri­ti­siert die CNIL, dass ei­nige der In­for­ma­tio­nen un­klar for­mu­liert seien. Die Nut­zer seien nicht in der Lage, das Ausmaß der Ver­ar­bei­tungs­vorgänge von Google vollständig zu ver­ste­hen. Des­halb fehle Google eine gültige Zu­stim­mung der Nut­zer und da­mit eine Rechts­grund­lage, ih­nen per­so­na­li­sierte An­zei­gen aus­zu­spie­len. Den Nut­zern seien keine In­for­ma­tio­nen er­sicht­lich, wie viele Google-Dienste von der er­teil­ten Zu­stim­mung zur Ver­ar­bei­tung von Da­ten für die Per­so­na­li­sie­rung von An­zei­gen be­trof­fen sind. Sie seien nicht aus­rei­chend darüber in­for­miert ge­we­sen, wie viele Google-Dienste ihre Zu­stim­mung be­trifft. Des­halb sei die Zu­stim­mung der Nut­zer, die bei der An­mel­dung ei­nes Google-Ac­counts ein­ge­holt wird, we­der spe­zi­fi­sch noch ein­deu­tig. Dies ver­an­lasste die CNIL dazu, die von Google ein­ge­holte Zu­stim­mung zur An­zeige per­so­na­li­sier­ter Wer­bung für un­wirk­sam zu erklären.

Nach der DS­GVO können ge­gen Un­ter­neh­men Stra­fen von bis zu vier Pro­zent des welt­wei­ten (Kon­zern-)Jah­res­um­sat­zes des vor­an­ge­gan­ge­nen Ge­schäfts­jah­res verhängt wer­den. Im kon­kre­ten Fall wurde die Strafe von 50 Mil­lio­nen Euro mit der Schwere des Ver­stoßes ge­gen we­sent­li­che Grundsätze der DS­GVO, ins­be­son­dere Trans­pa­renz, In­for­ma­tion und Zu­stim­mung, begründet. Über­dies han­dele es sich um keine ein­ma­li­gen, zeit­lich be­grenz­ten Verstöße. Der Kon­zern kündigte an, Be­ru­fung ein­zu­le­gen.

Hinweis

Es ist die er­ste Straf­zah­lung in die­ser Höhe, die von ei­ner eu­ropäischen Da­ten­schutz­behörde verhängt wor­den ist. In Deutsch­land wur­den bis­her von den Da­ten­schutz­behörden der Länder nur Straf­zah­lun­gen im fünf­stel­li­gen Be­reich verhängt. Es ist zu befürch­ten, dass der Druck auf die deut­schen Behörden steigt, bei ih­ren Er­mes­sens­ent­schei­dun­gen die Trag­weite der Verstöße und die Be­deu­tung der Un­ter­neh­men hin­rei­chend zu würdi­gen.

Die Ent­schei­dung macht deut­lich, dass die In­for­ma­ti­ons­pflich­ten ge­rade im Zu­sam­men­hang mit Ein­wil­li­gun­gen in be­son­de­rem Maße ernst­ge­nom­men wer­den soll­ten. Ins­be­son­dere Un­ter­neh­men, die ähn­lich wie Google viele per­so­nen­be­zo­gene Da­ten ver­ar­bei­ten, oder ihre Ge­schäfts­mo­delle auf der per­so­na­li­sier­ten werb­li­chen An­spra­che auf­bauen und eine ent­spre­chende Markt­re­le­vanz in­ne­ha­ben, soll­ten ihre Pro­zesse vor dem Hin­ter­grund der von der CNIL for­mu­lier­ten Kri­te­rien überprüfen. Dies gilt auch für Un­ter­neh­men, de­ren Ge­schäfts­mo­dell nicht schwer­punktmäßig in der Da­ten­ver­ar­bei­tung liegt. Denn ver­mut­lich wer­den an­dere eu­ropäische Da­ten­schutz­behörden die Auf­ar­bei­tung durch die CNIL zum An­lass neh­men, ei­gene Prüfun­gen vor­zu­neh­men. Hier­bei sollte be­ach­tet wer­den, dass die Behörden eine Überprüfung auch ohne vor­he­rige Be­schwerde von Amts we­gen ver­an­las­sen können.