„Monsieur Google, bitte zur Kasse“ – 50 Mio. Euro Bußgeld wegen DSGVO-Verstoß

In Frankreich klingeln die Kassen. Frankreichs Datenschutzbehörde, die Commission Nationale de l’Informatique et des Libertés (CNIL), hat gegen Google ein Bußgeld in Höhe von 50 Millionen Euro verhängt. Der Grund: Verstöße gegen die DSGVO.

Die Behörde bemängelt, dass der Konzern seine Nutzerinnen und Nutzer nicht transparent genug über die Datennutzung informiere. Die Informationen seitens des Internetgiganten seien nur schwer zugänglich und in einigen Punkten unklar. Entsprechenden Informationen verteilen sich über eine Vielzahl verschiedener Dokumente. Ferner seien einige Formulierungen nicht  hinreichend verständlich, so die französische Datenschutzhüterin.

Außerdem könne Google keine wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen. Dies betreffe vor allem die personalisierte Werbung. Hinweise an die Nutzerinnen und Nutzer seien zu oberflächlich. Dies liege vor allem daran, dass die Vielfalt der beteiligten Google-Dienste wie etwa Google Maps, YouTube Play Store oder der Internetsuche für die Nutzer nicht klar genug sei.

Die Strafe ist in der Höhe zwar bislang eine Rekordstrafe. In Frankreich ergeht damit auch die erste Entscheidung einer Datenschutzbehörde gegen einen Konzern wegen einer DSGVO-Beschwerde. Die DSGVO, in Kraft seit Mai 2018, erlaubt Datenschutzbehörden empfindliche Strafen zu verhängen. So können sich diese auf bis zu 4 Prozent des weltweiten Umsatzes belaufen. Bei Google kann das also mit Leichtigkeit in die Milliarden gehen.

Google hat angekündigt die Entscheidung zu prüfen. Danach sei zu entscheiden, wie weiter verfahren werde. Die derzeitig verhängte Summe dürfte für einen Giganten wie Google „peanuts“ sein. Allerdings gilt die Entscheidung der CNIL als Ouvertüre für eine Welle von vergleichbaren Verfahren in ganz Europa. Initiatoren waren verschiedene NGOs, aber auch der österreichische Datenschutzaktivist Max Schrems.

Die französische Behörde lässt erkennen, dass sie – und ihr folgend vermutlich eine Vielzahl anderer – den Datenschutz in Europa künftig sehr ernst nehmen will. Zielobjekt solcher Paradeverfahren werden vorerst wohl die großen sogenannten „Datenkraken“ sein. Aber auch die „Kleinen“ sollten sich nicht zurücklehnen.

Florian Güster - Ass.iur. - Wissenschaftlicher Mitarbeiter