Google sendet Daten von EU-Webseiten in die USA - trotz zweier Urteile des Europäischen Gerichtshofs. Die österreichische Datenschutzbehörde könnte Google nun mit einer Geldstrafe von bis zu 6 Milliarden Euro belegen.
Der EuGH hat letzten Sommer - im bereits zweiten Urteil - festgehalten, dass US-Überwachungsgesetze die Übermittlung von personenbezogenen Daten aus der EU in die USA generell illegal machen. Google ignoriert diese Entscheidung und argumentiert in einer Stellungnahme (PDF) nun, dass es weiter Daten über Millionen Besucher:innen von EU-Webseiten in die USA übermitteln dürfte - im krassen Widerspruch zur DSGVO. Die österreichische Datenschutzbehörde (DSB) kann gegen Google nun eine Strafe von bis zu € 6 Mrd verhängen.
noyb-Beschwerden gegen Google. Nach dem sogenannten "Schrems II"-Urteil vom 16.07.2020 hat der Verein noyb von Max Schrems im August 2020 Beschwerden gegen 101 EU-Webseiten eingebracht, die weiterhin Daten zu allen Besucher:innen an Google und Facebook weitergeben. Die Beschwerden richten sich nicht nur gegen die Webseitenbetreiber, sondern jeweils auch gegen die US-Mutterunternehmen von Google und Facebook als Datenemfpänger. Die Europäischen Datenschutzbehörden haben daraufhin im September 2020 eine "Task Force" gebildet. Die erste dieser Beschwerden könnte schon bald von der österreichischen Datenschutzbehörde (DSB) entschieden werden - und eine massive Strafe für Google zur Folge haben.
Google: Zäune und Schilder gegen US-Gesetze. Google argumentiert primär mit "zusätzlichen Maßnahmen", die ergriffen wurden und gegen die NSA-Überwachung helfen sollen (siehe Seite 23 bis 26 der Stellungnahme). Keine dieser Maßnahmen ist neu, noch irgendwie effektiv: Google argumentiert sogar mit Schildern und Zäunen rund um Datenzentren. Auch ganz normale HTTPS-Verschlüsselung ist nur Mindeststandard - sogar bei kleinen Webseiten. Dass diese Maßnahmen keinerlei Einfluss auf US-Überwachungsgesetze haben, zeigt sich schon in Googles eigenem "Transparenzbericht": Allein 2019 wurden mehr als 201.000 Anfragen nach den US-Überwachungsgesetz "FISA" von Google beantwortet. Neuere Statistiken fehlen.
"Google muss nach US-Recht alle Daten rausrücken. Es ist absurd, dass Google nun hilflos argumentiert, Zäune und Schilder zu haben - das US-Gesetz gilt auch hinter Zäunen und Schildern. Auch Standard-Verschlüsselung hilft nichts, da Google die passenden Schlüssel hat und übergeben muss. Allein 2019 haben sie mehr als 201.000 mal Daten von Ausländern an die US Regierung weitergegeben." - Max Schrems, Vorsitzender von noyb.eu
noyb-Stellungnahme eingebracht. Die österreichische Datenschutzbehörde hat noyb aufgefordert, auf die Stellungnahme von Google zu antworten. noyb hat auf 36 Seiten den offensichtlichen Verstoß gegen die DSGVO abermals aufgearbeitet und die Stellungnahme (PDF) eingebracht.
"Google macht keinen wirklichen Hehl aus dem Verstoß gegen die DSGVO und die Beweise sind erdrückend. Der Fall liegt nun wie auf dem Silbertablett vor der österreichischen Datenschutzbehörde." - Max Schrems, Vorsitzender von noyb.eu
Strafrahmen von mehr als € 6 Mrd. Da sich die Beschwerde gegen Google LLC (die US-amerikanische Muttergesellschaft des Google-Konzerns) richtet und diese getrennt von der europäischen Niederlassung (Google Ireland Ltd) arbeitet, kann jede Datenschutzbehörde in der EU eine Strafe verhängen. In diesem konkreten Fall hat die österreichische Datenschutzbehörde (DSB) die Möglichkeit, eine Strafe von bis zu 4% des weltweiten Umsatzes von Google LLC auszusprechen - umgerechnet die Rekordumme von etwas mehr als € 6 Mrd.
"Es ist eine einmalige Möglichkeit, gleichzeitig etwas für den Grundrechtsschutz und für das Staatsbudget zu tun. Die mögliche Strafe gegen Google ist höher als der österreichsiche Anteil am Brenner-Basistunnel. Nach der DSGVO haben die Behörden sogar die Pflicht, angemessene Strafen auszusprechen und Google erfüllt wirklich jede Bedingung, um den Strafrahmen voll auszunutzen." - Max Schrems, Vorsitzender von noyb.eu
Wie die Stellungnahme von noyb aufzeigt, gibt es rechtliche Instrumente, um jede Entscheidung der DSB in der gesamten EU durchzusetzen und jegliches Vermögen der Google LLC auch bei Dritten (etwa internationalen Banken) zu verwerten.
Hintergrund: Der EuGH hat in zwei Urteilen (bekannt als "Schrems I" und "Schrems II") entschieden, dass Daten aus der EU nicht mehr bei US-Unternehmen gespeichert werden dürfen, wenn diese unter US-Überwachungsgesetze fallen (insbesondere 50 USC § 1881a, auch als "FISA" bekannt). Google fällt unstrittig unter diese US-Gesetze und das EuGH-Urteil. Weite Teile der Industrie ignorieren die EuGH-Rechtsprechung aber oft, um die nötigen Investitionen in sichere Datenzentren zu vermeiden.