Frankreich verhängt erste große Strafe wegen eines DSGVO-Verstoßes, und zwar gegen Google. Der Internet-Gigant habe die neuen Anforderungen, die seit dem 25. Mai vergangenen Jahres gelten, nicht ausreichend erfüllt. So sieht das die französische Datenschutzbehörde und bittet das Unternehmen aus Mountain View zur Kasse.
Die Datenschutzbehörde CNIL sieht Anforderungen seitens Google für nicht erfüllt, und verhängt die Strafe gemäß der im vergangenen Jahr in kraftgetretene Datenschutz-Grundverordnung (DSGVO). CNIL ist damit die erste europäische Regulierungsinstanz, die auf Grundlage der DSGVO Google zur Geldbuße von 50 Millionen Euro verdonnert. Für Google ist das allerdings ein Betrag, der aus der Portokasse gezahlt werden kann.
Nicht ausreichende Information über persönliche Daten
Was CNIL anprangert, ist die Tatsache, dass Google seine User nicht deutlich genug über die Nutzung ihrer persönlichen Daten informiere. Die Datenschützer haben die Anmeldung eines Nutzers in einem Google-Account Schritt für Schritt auf einem Android-Smartphone reproduziert. Google informiere zwar die User, allerdings müssten diese sich über mehrere Klicks zu den relevanten Infos durchklicken, denn diese seien in „verschiedenen Dokumenten“ nachzulesen.
🔴 La CNIL sanctionne financièrement GOOGLE → https://t.co/QmAEwAjbOC pic.twitter.com/Ymhd7biMQa
— CNIL (@CNIL) 21. Januar 2019
Demnach seien Informationen zur Verwendung der erhobenen Daten und dem Speicherzeitraum für die User nicht einfach genug zu erreichen, so CNIL. Außerdem sei das Akzeptieren der Nutzer für die Anzeige personalisierter Werbung in der jetzigen Form nicht zulässig, da keine ausreichenden Informationen angezeigt würden. Dass die Google-Dienste wie Google Maps, die Suchmaschine, YouTube beispielsweise beteiligt sind, sei nicht ersichtlich. Darüber hinaus seien Häkchen in Checkboxen bereits aktiviert, was gegen die in der DSGVO geforderte „positive“ Akzeptanz durch den User verstoße – hier müsse der Nutzer proaktiv selbst einwilligen.
Google ließ verlautbaren, den Beschluss genau prüfen zu wollen, um dann über das weitere Vorgehen zu entscheiden. Stellte gleichzeitig klar, stets entschlossen zu sein, die hohen Erwartungen der User hinsichtlich Kontrolle und Transparenz ihrer Daten zu erfüllen.
Geldbuße vergleichsweise niedrig
Für den Internetkonzern sind die 50 Millionen Euro eher Peanuts. Die im Juni 2017 von der EU verhängte Wettbewerbsstrafe von 2,42 Milliarden Euro hatte Google direkt in nur einem Quartal hinter sich gelassen. Bei den Umsätzen kein Wunder: Alphabet – der Mutterkonzern – erwirtschaftete im Jahr 2017 einen Umsatz von knapp 111 Milliarden Dollar (97,56 Milliarden Euro) und machte damit einen Gewinn von 12,7 Milliarden Dollar. Gemäß der DSGVO müssen internationale Unternehmen Strafen von bis zu vier Prozent ihres weltweiten Jahresumsatzes zahlen, wenn diese gegen die neuen Datenschutzbestimmungen verstoßen.
Our first #GDPR complaint over invalid consent from May 25th last year has lead to a € 50 Mio fine for #Google by the #CNIL today! 🥳
— noyb (@NOYBeu) 21. Januar 2019
⏩ More Information: https://t.co/YJMwkTfPtD
⏩ Support our work: https://t.co/9hmQrVlAUa pic.twitter.com/PnLh7i5hVb
CNIL folgte mit den Sanktionen zwei Einzelklagen. Für das eine wandte sich die Organisation None Of Your Business (NOYB) des österreichischen Datenschutzaktivisten Max Schrems und für das andere die Organisation Quadrature du Net, die knapp 10.000 Internetuser in Frankreich vertritt, an die Behörde. Eingereicht wurden die Klagen direkt nach Inkrafttreten der DSGVO. Geprüft hat CNIL diese im September vergangenen Jahres.
La CNIL considère qu’Android de Google ne respecte pas le RGPD et le sanctionne à 50 millions d’euros d’amende.
— La Quadrature du Net (@laquadrature) 21. Januar 2019
Lisez notre réaction : https://t.co/hCqOnL1ewM
Schrems bemängelte nach der Entscheidung der französischen Datenschutzbehörde, dass große Internetkonzerne ihre Angebote lediglich oberflächlich angepasst hätten. Es sei wichtig, dass Behörden aufzeigten, dass so eine oberflächliche Anpassung nicht ausreiche, so der Datenschutzaktivist. Die Organisation des Österreichers hatte darüber hinaus weitere DSGVO-Beschwerden gegen diverse Unternehmen eingereicht.
(dpa, afp)