Die Datenschutzaufsicht macht Ernst: 50 Millionen Euro Geldbuße

24.01.2019

Am 21.01.2019 hat die französische Datenschutzaufsichtsbehörde CNIL gegen GOOGLE LLC eine Geldbuße von 50 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung verhängt.

Bildrechte: sdecoret – fotolia.com

Das Bußgeldverfahren war nach mehreren Sammelbeschwerden eröffnet worden, die bei der CNIL bereits kurz nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) eingingen. Zunächst stellte die CNIL fest, dass GOOGLE über keine Niederlassung in der EU verfügt, die eigenständig Entscheidungen über die Datenverarbeitung treffen kann. Daher gilt das Prinzip des „one stop shop“ nicht, wonach für Unternehmen mit Sitz in der EU nur die lokale Datenschutzaufsicht zuständig ist. Vielmehr ist jede Datenschutzaufsichtsbehörde in der EU berechtigt, Verstöße zu verfolgen.

Daher untersuchte die CNIL die Neueinrichtung eines GOOGLE Accounts während der Konfiguration eines Mobile Device mit dem Betriebssystem Android. Dabei wurden mehrere Verstöße festgestellt:

Zum einen würden die Anforderungen an die transparente Information des Nutzers nicht eingehalten. Wesentliche Informationen (Verarbeitungszwecke, Speicherdauern, Kategorien personenbezogener Daten für die Personalisierung von Anzeigen) sind breit über mehrere Dokumente verstreut mit Buttons und Links, die zur Anzeige weiterer Informationen genutzt werden müssen. Die relevanten Informationen wären erst nach mehreren Schritten zugänglich, teilweise erst nach fünf oder sechs Aktionen. Zudem wären die so dargestellten Informationen nicht stets klar und umfassend.

Zum anderen würde eine Einwilligung des Betroffenen nicht wirksam eingeholt. Einerseits sei der Betroffene vor seiner (unwirksamen) Einwilligungserklärung nicht ausreichend informiert. Zum anderen sei eine pauschale Einwilligung bereits als Voreinstellung ausgewählt und der Nutzer könne Einschränkungen nur über gesondert aufzurufende Menüoptionen vornehmen.

Die Entscheidung über das Bußgeld in Höhe von 50 Millionen Euro ist noch nicht rechtskräftig und kann noch angefochten werden.

Praxistipp:
Die Datenschutzaufsicht macht nun Ernst mit den Sanktionen der DSGVO. Mit dem Bußgeld von 50 Millionen Euro werden nur Verstöße bei der Ersteinrichtung von Nutzeraccounts in Android sanktioniert, nicht etwa denkbare andere Verstöße. Auch in Deutschland sind bereits über vierzig Bußgelder nach DSGVO verhängt worden und wohl über hundert weitere Bußgeldverfahren laufen. Auch aus finanziellen Gründen empfiehlt es sich, die Anforderungen der DSGVO vollständig und genau umzusetzen.