Das oberste französische Verwaltungsgericht hat entschieden. Die Sanktionen der nationalen Datenschutzbehörde CNIL waren rechtmäßig und angemessen. Googles Berufung wurde abgewiesen. Der Konzern muss nun 50 Millionen Euro Strafe zahlen. Die Verstöße beziehen sich auf Einstellungen zur Privatsphäre und die fehlende Zustimmung zu personalisierter Werbung.
Rekordstrafe vom Januar 2019
Es handelt sich um das höchste Bußgeld gegen einen IT-Riesen, das in Europa seit Inkrafttreten der DSGVO verhängt worden ist. Zwei Verstöße hatte die Commission Nationale de l’Informatique et des Libertés festgestellt. Zunächst klärt der Konzern Nutzer nicht transparent über den Umgang mit Daten auf. Laut DSGVO müssen Angaben über den Zweck der Verarbeitung, die Art der erhobenen Informationen und die Speicherdauer gemacht werden. Bei Google müssen entsprechende Hinweise in vielen verschiedenen Seiten und Dokumenten zusammengesucht werden. Und wirklich aussagekräftig sind sie nicht, so die französischen Datenschützer.
Google zweifelte an Zuständigkeit der CNIL
Derart schlecht informierte Verbraucher sind aber gar nicht in der Lage, wirksam in die Nutzung ihrer Daten einzuwilligen, meint die Behörde weiter. Heißt auch: Eine Rechtsgrundlage für die Verarbeitung der sensiblen Informationen fehlt. Google sah das erwartungsgemäß anders und legte Widerspruch ein. Schon allein deshalb, weil die französische Aufsichtsbehörde gar nicht zuständig sei für ein Unternehmen, dessen europäischer Sitz in Dublin liege. Dort kontrolliere schließlich die irische Data Protection Commission. In diesem Fall allerdings nicht, entschied nun das oberste französische Verwaltungsgericht, der sogenannte Staatsrat. Denn die kritisierten Einstellungen zum Datenschutz seien nicht in Irland beschlossen worden, sondern von der Google LLC mit Sitz in Kalifornien.
Einspruch abgewiesen
Auch die übrigen Einwände des Konzerns wies der Staatsrat zurück. Die Richter bestätigten, dass das Einholen einer Zustimmung zur Verarbeitung privater Daten nicht den Vorgaben der DSGVO entspricht. Die Verstöße seien als besonders schwer einzustufen und die Höhe der Strafe nicht unverhältnismäßig. Tatsächlich sieht die DSGVO weit höhere Maximalstrafen bei Datenschutzverstößen vor: Vier Prozent des weltweiten Jahresumsatzes; das wären bei Google rund 3,7 Milliarden Euro gewesen.
Fazit
Vorausgegangen waren der CNIL-Untersuchung mehrere Beschwerden, unter anderem vom österreichischen Datenschützer Max Schrems und seiner Organisation „None of Your Business (noyb)“. Schrems selbst zeigte sich erfreut über die Entscheidung des Staatsrats. Zwar handele es sich aus Sicht von Google um einen „winzigen“ Geldbetrag. Trotzdem zeige sich damit, dass DSGVO-Strafen beträchtliche Summen erreichen könnten.
Anzeige
Sören Siebert ist Rechtsanwalt mit Kanzleien in Berlin und Potsdam.
