DSGVO – Rekordstrafe für Google
« NewsübersichtDie französische Datenschutzbehörde CNIL verhängte diese Woche gegen Google eine Geldbuße in Höhe von 50 Millionen Euro, wie die Behörde auf ihrer Website am Montag bekannt gab.
Dies stellt bisher die höchste Strafzahlung für einen Verstoß gegen die DSGVO in der EU seit dem Inkrafttreten am 25.05.2018 dar.
Die Strafe erging auf Grund von Beschwerden gegen Googles Smartphone Betriebssystem Android. Bereits am 25. und 28. Mai 2018, kurz nach dem vollumfänglichen Inkrafttreten der Datenschutzgrundverordnung (DSGVO), gingen Beschwerden der Wiener Non-Profit-Organisation noyb und La Quadrature du Net aus Paris bei den zuständigen Behörden ein. Letztere agierte im Auftrag von 10.000 Personen aus ganz Frankreich.
Die CNIL informierte zunächst ihre europäischen Kollegen, insbesondere in Irland, da sich dort der europäische Hauptsitz des Konzerns befinde. Denn nach DSGVO ist die Behörde des EU-Mitgliedstaates zuständig, in dem ein Unternehmen seine Hauptniederlassung hat. Nach gemeinsamer Auffassung habe Google jedoch gar keine Hauptniederlassung i.S.d. Art. 4 Nr. 16 a) DSGVO in der EU.
Nach ausführlicher Prüfung der französischen Aufsichtsbehörde werden schwere datenschutzrechtliche Vorwürfe gegen Google erhoben: Fehlende Transparenz, Benachteiligung, keine gültige Rechtsgrundlage.
Zum einen sah die Behörde weitreichende Verstöße gegen die Informations- und Transparenzpflichten, gem. Artt. 5 und 13 DSGVO. Die verpflichtenden Informationen, wie die Zwecke der Verarbeitung, Aufbewahrungsfristen oder die verarbeiteten Kategorien von personenbezogenen Daten des Nutzers, die für die Personalisierung der Anzeigen verwendet werden, sind teilweise über mehrere verlinkte Seiten verstreut. Um zu den relevanten Informationen zu gelangen, bedarf es teilweise 5 oder 6 Aktionen. Dies ist z.B. der Fall wenn Nutzer Informationen über die Verarbeitung und Personalisierung oder den Geo-Tracking-Service erhalten möchten.
Benutzern sei es nach Auffassung der CNIL dementsprechend nur schwerlich möglich den Umfang der Verarbeitung durch die etwa zwanzig verschiedenen Dienste (Google-Suche, Youtube, Google home, Google maps, Playstore, Google pictures etc.) des Betriebssystems vollständig zu verstehen. Jedoch sei das Angebot und die Art der kombinierten Daten besonders umfangreich und aufdringlich.
Zudem seien die Zwecke der Verarbeitung oft nur allgemein und vage beschrieben und der Nutzer könne schwerlich erkennen, dass die Verarbeitung seiner Daten der ausdrücklichen Zustimmung (Art. 6 Abs. 1 lit. a DSGVO) bedürfe.
Zum anderen stellte die CNIL fest, dass Google keine Rechtsgrundlage für die Verarbeitung der Nutzerdaten habe. Die über die Einstellungen eingeholte Einwilligung sei aus zwei Gründen ungültig.
Einerseits werde über die Einwilligung aus den bereits beschriebenen Mängeln nicht hinreichend informiert. Andererseits sei die Einwilligung weder spezifisch noch eindeutig. So sind beispielsweise mehrere Optionen zur Personalisierung bereits angekreuzt. Nach der DSGVO erfordert die Einwilligung jedoch eine ausdrückliche Zustimmung durch ankreuzen einer nicht angekreuzten Option (sog. „Opt-In-Verfahren“).
Insgesamt seien die Verstöße weder zeitlich begrenzt noch bereits abgeschlossen, sondern laufen fortwährend. So erstellen allein in Frankreich jeden Tag tausende Menschen ein Android-Konto.
Interessant an der Auffassung der Datenschutzbehörde ist nach unserer Auffassung vor allem, dass zugunsten von Google nicht das berechtige Unternehmensinteresse nach Art. 6 Abs. 1 lit. f DSGVO als ausreichende Rechtsgrundlage angenommen wurde. Dies stellt insofern eine klare Positionierung der Aufsichtsbehörde gegen das Geschäftsfeld großer IT-Konzerne im Bereich der Datenvermarktung dar.
Auch wenn die Höhe der Geldbuße für das Unternehmen eher gering ausfallen dürfte, gem. Art. 83 Abs. 5 DSGVO wäre eine Sanktion von bis zu 4 % des letzten Jahresumsatzes von Google möglich gewesen (entspricht ca. 4 Milliarden EURO), setzte die Höhe der Geldbuße neue Maßstäbe und zeigt das auch große Konzerne den Datenschutz nicht eigenmächtig interpretieren sollten. Es bleibt nun abzuwarten, ob Google Rechtsmittel einlegt.