Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat gegen Google eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt. Die Behörde kreidet Google zwei Verstöße gegen die Datenschutzgrundverordnung (DSGVO) an. Erstens missachte der Konzern die Pflicht, seine Nutzer:innen transparent über die Datennutzung zu informieren. Zweitens könne der Konzern keine wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen.

Damit reagieren die Datenschützer auf zwei Beschwerden der Privacy-NGOs La Quadrature du Net aus Frankreich und None of Your Business (noyb) aus Österreich. noyb-Gründer Max Schrems hatte im Mai 2018 mehrere Beschwerden gegen die Datenschutzbestimmungen von Facebook, Google, Instagram und WhatsApp eingereicht. Google kann Beschwerde gegen die Strafe einlegen.

So verstößt Google gegen die DSGVO

Die Art und Weise, wie Google über die Nutzung von personenbezogenen Daten informiert, verstößt den französischen Datenschützern zufolge gegen die DSGVO. Die Informationen seien nur schwer zugänglich und in einigen Punkten unklar. In der Pressemitteilung der CNIL heißt es: „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“ Zudem sei der Zweck der Datenerhebung zu allgemein und vage beschrieben.

Außerdem werfen die Datenschützer Google vor, keine wirksame Einwilligung der Nutzer:innen für die Nutzung ihrer Daten zu Werbezwecken vorweisen zu können. Aufgrund der ungenügenden Informationen könnten Menschen nicht einschätzen, welche anderen Google-Dienste und Webseiten (Youtube, Maps, Drive) in die Auswertung ihrer persönlichen Daten involviert sind. Die Behörde kritisiert zudem: Beim Einrichten eines neuen Google-Kontos könnten Nutzer:innen zwar die Einstellungen zur Anzeige von personalisierter Werbung verändern, jedoch ist die Option versteckt und das betreffende Kästchen im Formular bereits vorausgefüllt. Einen grundsätzliche Widerspruch zur Datensammlung ermöglicht Google nicht.

Rekordstrafe

Das Millionenbußgeld der CNIL ist die erste Entscheidung einer Datenschutzbehörde gegen einen großen Datenkonzern wegen einer Beschwerde nach der DSGVO. Das seit Ende Mai 2018 wirksame Regelwerk ermöglicht empfindliche Strafen: Datenschutzsünder müssen jetzt mit Bußgeldern von bis zu vier Prozent des weltweiten Umsatzes rechnen. Strafen gegen Google können damit in die Milliarden gehen. In Frankreich war das Bußgeld vorher auf 150.000 Euro gedeckelt, in Deutschland auf 300.000 Euro. Die britische Datenschutzbehörde können Facebook wegen des Skandals um Cambridge Analytica lediglich mit 500.000 Pfund belangen.

Als größte in Europa verhängte Datenschutzstrafe galt bislang ein Bußgeld der italienischen Aufsicht in Höhe von knapp sechs Millionen Euro. Die französischen Datenschützer rechtfertigen die Höhe der aktuellen Strafe mit Googles Marktdominanz und fehlender Einsicht des Konzern. „Die Verstöße sind ständige Verletzungen der Verordnung, die bis heute noch zu beobachten sind. Es handelt sich nicht um eine einmalige, zeitlich begrenzte Verletzung“, schreibt die Behörde.

Datenkonzerne zur Verantwortung ziehen

In der Öffentlichkeit hatten die enorm gestiegenen Sanktionsmöglichkeit in der Vergangenheit für Verunsicherung gesorgt, weil windige Berater ihr Geschäft durch Warnungen vor unverhältnismäßigen Sanktionen befeuerten. Mit ihrer Entscheidung zeigt die französische Behörde nun, wofür die hohen Bußgelder gedacht sind: Große Datenkonzerne zur Verantwortung zu ziehen. Entsprechend erfreut zeigt sich noyb-Vorstand Max Schrems:

Wir sind sehr erfreut, dass eine europäische Datenschutzbehörde erstmalig die Möglichkeiten der DSGVO nutzt, um klare Rechtsverstöße zu bestrafen. Wir haben festgestellt, dass große Unternehmen wie Google nach Wirksamwerden der DSGVO einfach nur „das Recht anders interpretieren“ und oftmals lediglich oberflächliche Änderungen an ihren Produkten vorgenommen haben. Es ist wichtig, dass die Behörden deutlich machen, dass es nicht reicht, einfach nur zu behaupten, gesetzeskonform zu handeln. [Eigene Übersetzung]

In Deutschland zeigen sich die Datenschutzbehörden in Hinblick auf ihre neuen Möglichkeiten noch zögerlich. Zwar ist die Zahl der Beschwerden und der verhängten Bußgelder gestiegen, einer Recherche des Handelsblatt zufolge lässt die Aufsicht in Bezug auf die Höhe aber noch eine Art Schonfrist gelten. Das höchste Bußgeld nach der DSGVO liegt hierzulande demnach bei 80.000 Euro, verhängt durch die baden-württembergische Aufsichtsbehörde.

Bußgeld in letzter Sekunde

Der Privacy-Forscher Wolfie Christl weist gegenüber netzpolitik.org darauf hin, dass die CNIL mit ihrer heute bekannt gegebenen Entscheidung ein Gefühl für gutes Timing beweist. Erst im Dezember hatte Google überraschend bekanntgegeben, dass künftig nicht mehr die US-Hauptfirma für die Verarbeitung der Daten von EU-Bürger:innen verantwortlich sein wird, sondern das irische Tochterunternehmen. Und zwar ab dem 22. Januar, erklärt Christl: „Ab morgen wird die irische Datenschutzbehörde für Google hauptzuständig sein, die seit Jahren für ihr sanftes Vorgehen bekannt ist. Die Behörden anderer EU-Staaten können ab morgen bezüglich Google nicht mehr alleine handeln, sondern müssen sich eng mit der irischen Behörde abstimmen.“

In Hinblick auf die europäische Zusammenarbeit muss die DSGVO sich tatsächlich erst noch beweisen. Zwar können Bürger:innen sich nun in jedem Land an eine Datenschutzbehörde wenden. Federführend zuständig bleibt aber die die Aufsicht in dem Land, in dem das Unternehmen den Hauptsitz hat. Datenkonzerne setzen im großen Stil darauf, dass die irische Datenschutzaufsicht weiterhin nachsichtig ist. Das führt beispielsweise dazu, dass der Hamburger Datenschutzbeauftragte ein Verfahren gegen WhatsApp wegen der Datenweitergabe an Facebook mit der Begründung einstellte, dass die irischen Kolleg:innen zuständig seien. Andere Behörden haben zwar ein Mitspracherecht, doch bis im neuen Europäischen Datenschutzausschuss eine Einigung erzielt wurde, kann es dauern. Solange wollte man in Frankreich offenbar nicht warten.

Reaktionen: „Startschuss für Welle an Strafen“

Die Nichtregierungsorganisation Privacy International aus London betont, vom wem die Beschwerden kamen: „Dass die Entscheidung als Reaktion auf Beschwerden von zwei Nichtregierungsorganisationen, die 10.000 Personen repräsentieren, getroffen wurde, zeigt auch die Bedeutung der Zivilgesellschaft bei der Behandlung dieser Fragen“, kommentiert Ailidh Callander gegenüber netzpolitik.org. Die Entscheidung sei eine Aufforderung an die gesamte Branche:

Diese Geldbuße sollte allen Unternehmen, deren Geschäftsmodelle auf Datenverwertung basieren, als Weckruf dienen, den Datenschutz und die Betroffenenrechte ernst zu nehmen. Einer der wichtigsten Punkte bei der Entscheidung der CNIL ist der Mangel an Transparenz und einer wirksamen Einwilligung in die Personalisierung von Anzeigen. Die Nutzung personenbezogener Daten im Anzeigen-Ökosystem, von Google über Datenbroker bis hin zu AdTech-Unternehmen, ist für Privacy International von großer Bedeutung.

Wolfie Christl kommentiert die Strafe gegenüber netzpolitik.org:

Das ist eine wichtige Entscheidung. Zwar wird Google diese 50 Millionen Euro immer noch aus der Portokasse bezahlen. Aber erstens betont die Behörde, dass der Gesetzesverstoß nicht in der Vergangenheit liegt, sondern bis zum heutigen Tag andauert. Wir werden sehen, was passiert, wenn Google nicht sofort einige Dinge massiv verändert. Zweitens geht es hier erst mal nur um französische NutzerInnen, und nicht um die anderer EU-Staaten. Drittens ist auch die genaue Begründung für die Strafe sehr interessant. Daraus könnten sich unmittelbare Auswirkungen auf die Datenpraktiken anderer Firmen ergeben. Und viertens ist es die erste Strafe gegen einen der großen Tech-Giganten auf Basis der DSGVO. Das wurde auch Zeit. Ich hoffe, das ist der Startschuss für eine ganze Welle an Strafen in den nächsten Wochen und Monaten. Die DSGVO muss durchgesetzt werden. Nicht nur, aber vor allem gegen die Großen.“

Die französische Nichtregierungsorganisation La Quadrature du Net, die mit ihrer Beschwerde für das Bußgeld gesorgt hat, begrüßt die Entscheidung der CNIL, bedauert aber die verhältnismäßig geringe Höhe der Strafe. Außerdem kritisiert der Verein, dass die Behörde nicht deutlicher Stellung zu der Frage bezogen hat, ob die von Google gesammelten Einwilligungen als freiwillig erteilt gelten können, da der Konzern keine echte Alternative anbietet:

In conclusion, while we welcome this first sanction based on our collective complaints, especially because this decision cuts short the attempted escape of Google to Ireland, we expect above all from the CNIL to issue as soon as possible its next decisions. These will have to address the issue of « freely given consent » and provide for a sanction that will be proportionate to the situation, well beyond 50 million euros.

Google selbst will die Entscheidung der CNIL einer DPA-Meldung zufolge rechtlich anfechten.