Hintergrund. Nach einer Beschwerde von noyb und einer ähnlichen Beschwerde durch die französische NGO "La Quadrature du Net" verhängt die CNIL (die französische Datenschutzbehörde) eine Geldstrafe von 50 Millionen Euro gegen Google wegen undurchsichtiger Datenschutzbestimmungen und der fehlenden rechtlichen Grundlage für personalisierte Werbung. Dies ist bisher die höchste endgültige Geldstrafe im Rahmen der DSGVO. Dennoch liegt sie weit unter der vorgesehenen Höchststrafe von 4% des weltweiten Umsatzes von Google (dies wären 3,7 Milliarden Euro). Die Entscheidung der CNIL konzentrierte sich hauptsächlich auf zwei spezifische Verstöße gegen die DSGVO: die mangelhafte Information für Nutzer und die fehlende Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu Werbezwecken.
Max Schrems, Ehrenvorsitzender von noyb: "Der Geldbetrag ist für Google zwar winzig, aber dennoch zeigt sie, dass DSGVO-Strafen beträchtliche Summen erreichen können".
Die Entscheidung wurde von Google vor dem französischen Conseil d'Etat (dem höchsten Verwaltungsgericht) mit der Begründung angefochten, dass die CNIL nicht für den europäischen Hauptsitz von Google zuständig sei. Google behauptete u.a., dass die irische Datenschutzbehörde alle Untersuchungen leiten sollte. Der Conseil d'Etat hält die Entscheidung der CNIL jedoch in allen Punkten aufrecht.
Irische DPC nicht zuständig für Google. In der heutigen Entscheidung bestätigte der Conseil d'Etat die Strafe und ebenso die Zuständigkeit der französischen Datenschutzbehörde. Google wollte nach Irland fliehen, da die irische Datenschutzbehörde ("DPC") bisher keine einzige Geldstrafe nach der DSGVO gegen ein privates Unternehmen verhängt hat. Im Gegensatz zur irischen DPC, die mehr als 18 Monate brauchte, um eine Bericht zu den laufenden Beschwerden gegen Facebook, Instagram und Whatsapp zu verfassen, traf die CNIL innerhalb von acht Monaten eine endgültige Entscheidung.
Max Schrems: "Es ist sehr wichtig, dass Unternehmen wie Google sich nicht einfach als 'irisch' deklarieren können, um der Aufsicht durch die Datenschutzbehörden zu entgehen"
Kampf um nationale Kompetenzen. Innerhalb der EU definiert die Hauptniederlassung des Unternehmens, welche Mitgliedstaaten für die Durchsetzung der DSGVO zuständig sind. Wenn es keine Hauptniederlassung gibt, kann jede Behörde selbst entscheiden. Der Conseil d'Etat bestätigte, dass die irische DPC zum Zeitpunkt der Entscheidung keine Entscheidungsbefugnis über die fraglichen Verarbeitungsvorgänge habe, selbst wenn sich der europäische Hauptsitz von Google in Irland befände. Da das "One-Stop-Shop-Prinzip" daher nicht anwendbar war, war die CNIL - wie auch jede andere Datenschutzbehörde in der EU - befugt, eine Entscheidung über Googles Datenverarbeitung zu treffen.
Informationen nur schwer zugänglich. Der Conseil d'Etat bestätigte die Einschätzung der CNIL: Die relevanten Informationen in den Datenschutzbestimmungen von Google waren für die Nutzer nur schwer zugänglich. Die notwendigen Basisinformationen sind über zu viele Dokumente verteilt und erst nach mehreren Schritten, manchmal bis zu 5 oder 6 Aktionen, zugänglich. Sie entsprach daher nicht den Vorgaben der DSGVO.
Unklare Informationen. Die CNIL kam auch zu dem Schluss, dass viele Informationen nicht klar und umfassend sind. Die User können nicht realistisch nachvollziehen, was Google mit ihren personenbezogenen Daten macht. So wurden beispielsweise die Gründe, warum Google Daten verwendet, die Rechtsgrundlage für deren Verarbeitung oder die Datenkategorien als zu vage erachtet
Keine gültige Zustimmung für personalisierte Werbung. Während Google der Ansicht ist, dass die Zustimmung der Nutzer zur Verarbeitung der Daten für personalisierte Werbung eingeholt wurde, kam die CNIL zu dem Schluss, dass diese Zustimmung aus zwei Gründen nicht gültig ist:
(1) Bei mangelhafter Information kann eine Einwilligung weder "spezifisch" noch "eindeutig" sein
(2) Darüber hinaus sieht die DSGVO vor, dass die Zustimmung nur dann "spezifisch" ist, wenn sie für jeden Zweck gesondert erteilt wird. Google hat jedoch eine Zustimmung zu allen Verarbeitungsvorgängen eingefordert
Konsequenzen. Max Schrems: "Diese Entscheidung erfordert wesentliche Verbesserungen durch Google. Ihre Datenschutzbestimmungen müssen jetzt wirklich glasklar darlegen, was sie mit den Daten der Nutzer machen. Die User müssen auch die Möglichkeit erhalten, nur einem Teil dessen zuzustimmen, was Google mit ihren Daten macht, und andere Dinge abzulehnen".