Oostenrijkse gegevensbeschermingsautoriteit kan Google boete opleggen tot 6 miljard euro

Mei 06, 2021

Google blijft gegevens van EU-websites naar de VS sturen - ondanks twee arresten van het Hof van Justitie. Oostenrijkse gegevensbeschermingsautoriteit kan Google tot 6 miljard euro boete opleggen.


Afgelopen zomer oordeelde het Europees Hof van Justitie (HJEU) - nu al voor de tweede keer - dat de Amerikaanse surveillancewetten de doorgifte van persoonsgegevens van de EU naar de VS in het algemeen illegaal maken. Google blijft dit arrest negeren en betoogt nu voor de Oostenrijkse DSB (PDF) dat het gegevens over miljoenen bezoekers van EU-websites naar de VS mag blijven overdragen - in flagrante tegenspraak met de GDPR. De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft nu de mogelijkheid om Google op grond van de GDPR een boete op te leggen die kan oplopen tot 6 miljard euro.

klachten vannoyb tegen Google. Na de zogenaamde "Schrems II"-uitspraak van 16.07.2020 heeft de organisatie van Max Schrems, noyb, in augustus 2020 101 klachten ingediend tegen EU-websites die gegevens over elke bezoeker bleven doorgeven aan Google en Facebook. Alle klachten zijn ook gericht tegen de Amerikaanse moederbedrijven van Google en Facebook. Naar aanleiding daarvan hebben de Europese gegevensbeschermingsautoriteiten in september 2020 een "taskforce" gevormd. Over de eerste van deze klachten zou de Oostenrijkse gegevensbeschermingsautoriteit (DPA) binnenkort een besluit kunnen nemen - en dat zou kunnen leiden tot een enorme boete tegen Google.

Google: "borden" en "hekken" tegen de Amerikaanse wet. Google voert in de eerste plaats aan dat het gebruik maakt van "aanvullende maatregelen" die zouden moeten helpen tegen surveillance door de NSA (zie blz. 23 t/m 26). Geen van de maatregelen is echter nieuw, noch op een of andere manier effectief: Google betoogt zelfs met borden en hekken rond datacentra en gemiddelde HTTPS-encryptie die zelfs voor kleine websites slechts een minimumstandaard is. Dat deze maatregelen geen effect hebben op de Amerikaanse surveillancewetten blijkt al uit Google's eigen "transparantierapport": alleen al in 2019 werden meer dan 201.000 verzoeken in het kader van de Amerikaanse surveillancewet "FISA" door Google beantwoord. Recentere statistieken ontbreken.

"Google moet alle gegevens onder de Amerikaanse wet overhandigen. Het is grotesk dat ze pleiten voor hekken en borden - Amerikaanse overlevingswetten zijn ook van toepassing achter hekken. Standaard encryptie helpt ook niet, want Google moet ook encryptiesleutels overhandigen. Alleen al in 2019 hebben ze de Amerikaanse overheid meer dan 201.000 keer gegevens over buitenlanders gegeven." - Max Schrems, erevoorzitter van noyb.eu

noyb's indiening ingediend. De Oostenrijkse gegevensbeschermingsautoriteit heeft noyb gevraagd te reageren op het standpunt van Google. In de verklaring van 36 pagina's gaat noyb dieper in op de duidelijke schending van de GDPR. De juridische stukken van noyb(Duits, Engelse vertaling) zijn vandaag ingediend.

"Google geeft grotendeels toe dat ze de GDPR hebben geschonden en het bewijs is overweldigend. De autoriteit krijgt deze zaak op een presenteerblaadje." - Max Schrems, erevoorzitter van noyb.eu

Boete van meer dan 6 miljard euro mogelijk. Aangezien de klacht gericht is tegen Google LLC, dat los van zijn Europese dochteronderneming (Google Ireland Ltd) opereert, kan elke gegevensbeschermingsautoriteit in de EU een boete opleggen op grond van de GDPR. In dit specifieke geval kan de Oostenrijkse gegevensbeschermingsautoriteit (DPA) 4% van de wereldwijde omzet van Google LLC opleggen - een recordbedrag van iets meer dan 6 miljard euro.

"Het is een unieke kans om tegelijkertijd iets te doen voor de bescherming van de grondrechten en voor de begroting van een land. Onder de GDPR is er zelfs een verplichting voor autoriteiten om passende sancties op te leggen en Google voldoet werkelijk aan alle voorwaarden om de sanctiereeks volledig te benutten." - Max Schrems, erevoorzitter van noyb.eu

in de doornoyb ingediende stukken wordt ook gewezen op de juridische instrumenten om een uitspraak van het DSB in de hele EU af te dwingen en beslag te leggen op eventuele activa van Google LLC, ook bij derden (zoals internationale banken).

Achtergrond: Het HJEU heeft in twee zaken (bekend als"Schrems I" en"Schrems II") geoordeeld dat EU-gegevens niet langer bij Amerikaanse bedrijven mogen worden opgeslagen als zij onder de Amerikaanse surveillancewetten vallen (met name 50 USC § 1881a, ook bekend als "FISA"). Google valt onbetwistbaar onder deze Amerikaanse wetten en het arrest van het HJEU. Grote delen van de Amerikaanse industrie blijven de duidelijke jurisprudentie echter negeren om kostbare upgrades van hun systemen te vermijden.