Die französische Datenschutzbehörde CNIL sieht es als erwiesen an, dass Google seine Informations- und Transparenzpflicht im Sinne der EU-DSGVO verletzt. Die Behörde verdonnerte den Suchmaschinen-Giganten daher zu einem Bußgeld von 50 Millionen Euro.
Im Visier der Datenschützer: Google soll 50 Millionen Euro Bußgeld in Frankreich entrichten
Datenschutzbehörde prüft Einrichtungsroutine von Android-Geräten
Die CNIL (Commission Nationale de l’Informatique et des Libertés) ist die nationale Datenschutzbehörde in Frankreich. Laut eigener Meldung erhielt das Amt im Mai 2018 – also zum Inkrafttreten der DSGVO – zwei Gruppenbeschwerden gegen Google.
Beschwerdeführer waren einerseits die in Wien ansässige Non-Profit-Organisation „None of your Business“ (NOYB) und zweitens die französische Netzpolitik-Organisation „La Quadrature du Net“ (LQDN). Letztere trat als Vertreter von über 10.000 französischen Bürgerinnen und Bürgern auf, die sich der Beschwerde gegen Google angeschlossen hatten.
Verarbeitung von Nutzerdaten nicht DSGVO-konform
Der Vorgang in Frankreich ist ein spektakulärer Fall der immer strenger werdenden Datenschutzkontrollen im Zusammenhang mit der DSGVO. Unternehmen müssen sich darauf einstellen, dass bei diesen Kontrollen nicht nur die Serverstrukturen inspiziert werden, sondern eben auch Datenschutzkonzepte und deren Umsetzung auf mobilen Endgeräten zunehmend in den Fokus rücken.
Lesen Sie mehr zu DSGVO und „Bring your own Device“-Konzepten in unserem Whitepaper.
Gegenstand der Beschwerden gegen Google war unter anderem, dass Google keine gültige rechtliche Grundlage für die Verarbeitung von Nutzerdaten habe, insbesondere bei der Nutzung dieser Daten für personalisierte Werbung. Zudem verstoße das Unternehmen gegen seine Transparenzpflicht.
In Frankreich wurde das erste Mal überhaupt ein Bußgeld im Rahmen der DSGVO erhoben
Verstoß gegen Transparenz- und Informationspflicht
Dabei spielte der Vorwurf eine entscheidende Rolle, dass Informationen zur Speicherung und Weiterverarbeitung von Nutzerdaten nicht DSGVO-konform zugänglich gemacht wurden. Die Behörde monierte, dass diese Einstellungen hinter einem mit ‚Mehr Optionen“ beschrifteten Link versteckt seien. Dies ist nach Auffassung der CNIL ein Verstoß gegen die Datenschutz-Grundverordnung.
Zum Verstoß gegen die Transparenz- und Informationspflicht schreibt die CNIL:
„Essential information, such as the data processing purposes, the data storage periods or the categories of personal data used for the ads personalization, are excessively disseminated across several documents, with buttons and links on which it is required to click to access complementary information. The relevant information is accessible after several steps only, implying sometimes up to 5 or 6 actions. For instance, this is the case when a user wants to have a complete information on his or her data collected for the personalization purposes or for the geo-tracking service.“
Auf Deutsch etwa:
„Grundlegende Informationen, wie etwa der Zweck der Datenverarbeitung, die Dauer der Speicherung oder die Kategorien personenbezogener Daten, die für die Personalisierung von Werbeanzeigen herangezogen werden, sind über mehrere Dokumente außerordentlich verstreut. Zudem müssen Buttons und Links angeklickt werden, um weiterführende Informationen zu erlangen. Die relevanten Informationen sind nur nach mehreren Schritten zugänglich, was manchmal fünf oder sechs Aktionen erfordert. Dies ist beispielsweise der Fall, wenn ein Nutzer sich vollständig informieren möchte, wie seine Daten für die Personalisierung oder das Geo-Tracking genutzt werden.“
„Consent Bundling“ und DSGVO-Artikel 7
Weiter sei das sogenannte „Consent Bundling“ (auf Deutsch etwa „Einwilligungsbündelung“) unzulässig. Hier geht es darum, ob und in welcher Weise Einwilligungen zur Datenverarbeitung gebündelt abgefragt werden.
Die Datenschutz-Grundverordnung lautet hierzu (Art. 7 DSGVO):
„Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind.“
Genau diesen „Umstand“ sah die CNIL durch die Tatsache verletzt, dass Google Android-Nutzern beim Einrichten eines Android-Smartphones oder -Tablets suggeriere, die Nutzererfahrung sei ohne Einrichten eines Google-Accounts prinzipiell schlechter. Zudem sei die Einwilligung bereits voreingestellt und muss vom Nutzer aktiv wieder abgewählt werden.
50 Millionen Euro Strafe für Google
Die Höhe des Bußgelds begründet die CNIL mit der Schwere der Verstöße. Außerdem habe man Google bereits 2018 mitgeteilt, das Verstöße gegen die DSGVO vorlägen, das Unternehmen habe aber nur unzureichende Maßnahmen getroffen, diese abzustellen.
Internet-Aktivist Max Schrems, Vorsitzender von NOYB, begrüßt die Entwicklung in Frankreich: „Es ist wichtig, dass die Behörden klarstellen, dass das nicht reicht.“ Gemeint sind hier die unzureichenden Anpassungen, die Google an den Android-Einstellungen vorgenommen hatte.
Privacy-#BREAKING : The French @CNIL has just issued a fine of € 50 Mio against Google base on #GDPR complaints by @NOYBeu and @laquadrature!
⏩ More Information here: https://t.co/RIE0fd2YH9 https://t.co/CWy763lZWx— Max Schrems (@maxschrems) 21. Januar 2019
Weblinks zur DSGVO-Strafe für Google
- DSGVO in Frankreich: Google soll 50 Millionen Euro Strafe zahlen (SPIEGEL)
- Datenschutz-Verstoß: Google muss 50 Millionen Euro DSGVO-Bußgeld zahlen (Gründerszene)
- French data protection watchdog fines Google $57 million under the GDPR (Teccrunch, engl.)
- First sanction against Google following our collective complaints (La Quadrature du Net, engl.)
Setzen Sie Android-Geräte in Ihrem Unternehmen ein? Nutzen Ihre Mitarbeiter private Android-Geräte im Unternehmen? Dann sollten auch Sie ein hieb- und stichfestes Datenschutzkonzept aufbauen.
