DSGVO Bußgelder: Was Sie aus der 50 Millionen € Strafe gegen Google lernen können

Während der allgemeine Eindruck in vielen Unternehmen ist, dass die DSGVO seit ihrem Inkrafttreten am 25. Mai 2018 nur schleppend angelaufen ist, scheint es, dass mehrere europäische Datenschutzbehörden im Stillen an einigen Bußgeldern gearbeitet haben: Der Tech-Riese Google wurde diese Woche mit einer Rekordstrafe von 50 Millionen Euro für Verstöße gegen die DSGVO abgestraft.

Unzureichende Zustimmungsrichtlinien

Die französische Datenschutzbehörde CNIL hat die Geldbuße am 21. Januar wegen "mangelnder Transparenz, unzureichender Informationen und mangelnder gültiger Zustimmung zur Personalisierung der Anzeigen" erlassen, wie sie in ihrem Statement sagte. Die CNIL klagt an, dass Google seinen Nutzern nicht genügend Informationen über ihre Einwilligungsrichtlinien zur Verfügung gestellt hat. Nach der DSGVO müssen die Nutzer eine spezifische, informierte und ausdrückliche Zustimmung erteilen, bevor Unternehmen ihre Daten erfassen dürfen. Dies bedeutet, dass die Zustimmung in den meisten Fällen durch ein Opt-in und nicht durch ein Opt-out-Verfahren durch den Nutzer erfolgen muss. Laut CNIL wurde der daraus resultierende DSGVO-Verstoß von Google bisher nicht behoben.

Die Geldbuße gilt als die größte Geldstrafe, die jemals für eine Verletzung der Datenschutzbestimmungen in Europa verhängt wurde. Allerdings hat CNIL Google nicht mit der laut DSGVO möglichen maximalen Geldstrafe von 4% des jährlichen weltweiten Umsatzes belegt.

Google kündigte an, die Entscheidung der CNIL vor dem Staatsrat, dem höchsten Verwaltungsgericht Frankreichs, anzufechten. Dieses Verfahren wird weitere Einblicke in die Auslegung der Zustimmung des Technologieunternehmens nach der DSGVO geben.

"Wir haben hart daran gearbeitet, einen DSGVO-Zustimmungsprozess für personalisierte Anzeigen zu schaffen, der so transparent und unkompliziert wie möglich ist, basierend auf regulatorischen Vorgaben und User Experience Tests. Wir sind auch besorgt über die Auswirkungen dieser Entscheidung auf Verlage, Autoren von Originalinhalten und Technologieunternehmen in Europa und darüber hinaus. Aus all diesen Gründen haben wir uns nun entschieden, Berufung einzulegen",

sagte ein Google-Sprecher in einem Statement an politico.eu (Englisch). Dies ist jedoch nicht die einzige Untersuchung einer Datenschutzbehörde gegen Google - sieben Verbraucherschutzorganisationen aus ganz Europa haben Klagen wegen DSGVO-Verletzungen im Zusammenhang mit Googles Praktiken zur Verfolgung von Nutzerstandorten (Englisch) gegen das Unternehmen eingereicht.

Erste Schlussfolgerungen

Trotz des anhängigen Gerichtsverfahrens, das noch eine Weile dauern kann, können wir bereits einige Lehren aus diesem Fall ziehen:

1. Zeitrahmen

Die Beschwerde wurde am 25. Mai eingereicht, als die DSGVO in Kraft trat. Aufgrund des Status von Google als eines der weltweit wichtigsten Technologieunternehmen können wir davon ausgehen, dass die Beschwerde von der CNIL priorisiert bearbeitet wurde. Dennoch verhängte die CNIL die Geldbuße erst Anfang dieser Woche - was auf eine Bearbeitungszeit von etwa 8 Monaten für hochkarätige DSGVO-Beschwerden hinweist. Dies könnte bedeuten, dass die Geldbuße gegen Google nur der Anfang ist und die Datenschutzbehörden auf viele bereits vor Monaten gemeldete DSGVO-Verletzungen mit Bußgeldern reagieren werden.

2. Art der Verletzung

Wie bereits erwähnt, wurde die Geldbuße mangels einer spezifischen, informierten und ausdrücklichen Zustimmung, wie sie nach der DSGVO erforderlich ist, verhängt. Die Einwilligung ist eines der Rechte von betroffenen Personen und, die Strafe für diese Art der DSGVO-Verletzung daher hebt die nach den Datenschutzgesetzen zu schützenden Interessen des Nutzers hervor. Die verhängte Geldbuße macht deutlich, dass eine Bewertung durch die Datenschutzbehörden davon abhängt, ob der Nutzer die Richtlinien eines Unternehmens erwartet und versteht. Unternehmen sollten die Rechte der betroffenen Personen als eines der Hauptanliegen betrachten, wenn sie über Compliance nachdenken.

3. Höhe des Bußgeldes

Obwohl bisher nur wenige DSGVO-Bußgelder in Europa verhängt wurden, beschloss die CNIL, eine Rekordstrafe von 50 Millionen Euro zu erlassen. Die Höhe der Geldbuße kann daher darauf hindeuten, dass sich die künftigen Geldbußen der Datenschutzbehörden in Europa an dieser Höhe orientieren werden.

Benötigen Sie Unterstützung bei der Einhaltung der DSGVO, möchten Sie eine Datenschutz-Folgenabschätzung durchführen oder benötigen Sie Ad-hoc-Datenschutzberatung? Kontaktieren Sie uns!

Author image
Jill Baehring
Datenschutzberaterin und externe DSB bei Privacy Company