CNIL verhängt Strafe von 50 Millionen über Google
Die Beschwerden gegen Google wurden vom Verein NOYB (None Of Your Business) und der LQDN (La Quadrature du Net) bei der französischen Datenschutzbehörde (CNIL) eingereicht. Beide kritisierten, dass Google für die Verarbeitung von personenbezogenen Daten, insbesondere zum Zweck der Personalisierung von Werbung, keine gültige Rechtsgrundlage habe.
Die gefundenen Mängel
Die CNIL fand heraus, dass die bereitgestellten Informationen für die Nutzer nicht leicht zugänglich sind. Wesentliche Informationen, wie die Zwecke, zu denen die Daten verarbeitet werden, die Dauer der Speicherung der Daten und die zur Personalisierung der Werbung verwendeten Datenkategorien, sind über mehrere Dokumente verstreut und nur über mehrere Links und Buttons erreichbar.
Ebenso sind die Informationen für den Nutzer nicht immer klar und verständlich. Der Umfang der Verarbeitung von Google war für die Nutzer auch nicht nachvollziehbar. Die bereitgestellten Informationen sind nicht klar genug, damit die Nutzer verstehen, dass die Rechtsgrundlage für die Personalisierung der Werbung die Einwilligung der Nutzer und nicht das berechtigte Interesse von Google ist.
Außerdem wurde die Einwilligung der Nutzer nicht wirksam eingeholt, weil diese nicht richtig darüber informiert worden sind und die Einwilligung nicht spezifisch und eindeutig war. Es war den Nutzern nicht möglich die Vielzahl der Dienste, die an dieser Verarbeitung beteiligt sind, zu ermitteln (zB Youtube, Google Maps, Google- Suche, etc.). Die Einwilligung zur personalisierten Werbung ist auch nicht eindeutig, weil sie als Voreinstellung erlaubt wird. Laut DSGVO muss der Benutzer eine positive Handlung vornehmen, um der Einwilligung zuzustimmen (zB ein Kontrollkästchen anhaken).
Die Einwilligung ist auch nicht spezifisch, weil die Nutzer für alle Verarbeitungen nur eine gemeinsame Einwilligung geben. Jedoch muss der Nutzer, laut DSGVO, seine Zustimmung für jede Verarbeitung einzeln geben, damit diese rechtswirksam ist.
Warum die Strafe so hoch ausfiel
Die französische Datenschutzbehörde entschied daher, Google zu einer Strafe von 50 Millionen Euro zu verurteilen. Die hohe Geldbuße ergab sich aus der Schwere der festgestellten Mängel, nämlich der Verletzung der Grundsätze für die Verarbeitung personenbezogener Daten.
Update: Google hat Berufung gegen die Strafe eingelegt.
Datum der Entscheidung:
21.01.2019
Land:
Frankreich
Art des Datenschutzvorfalls:
Informationspflicht verletzt
Anzahl der betroffenen Datensätze:
unbekannt
Sensible Daten betroffen:
Nein
Höhe der Geldstrafe:
€ 50,000,000,-
Verstoß gegen DSGVO Paragraph:
12. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
13. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
14. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
21. Widerspruchsrecht
25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
31. Zusammenarbeit mit der Aufsichtsbehörde
5. Grundsätze für die Verarbeitung personenbezogener Daten
6. Rechtmäßigkeit der Verarbeitung
7. Bedingungen für die Einwilligung
83. Allgemeine Bedingungen für die Verhängung von Geldbußen
Quelle:
Pressemitteilung der französischen Datenschutzbehörde CNIL (englisch)