Nach Beschwerden des österreichischen Vereins noyb und der französischen NGO "La Quadrature du Net" hat die französische Datenschutzbehörde (CNIL) im Jänner 2020 eine Geldstrafe von 50 Millionen Euro gegen Google verhängt. Diese Entscheidung wurde nun von einem französischen Höchstgericht bestätigt.

Es ist die bisher die höchste endgültige Geldstrafe im Rahmen der Datenschutz-Grundverordnung (DSGVO). Doch liegen die 50 Millionen Euro weit unter der vorgesehenen Höchststrafe von 4 % des weltweiten Umsatzes, betont man bei nyob - dies wären 3,7 Milliarden Euro bei Google. Die Entscheidung der CNIL konzentrierte sich hauptsächlich auf zwei spezifische Verstöße gegen die DSGVO: die mangelhafte Information der Nutzer und die fehlende Rechtsgrundlage für die Verarbeitung personenbezogener Daten zu Werbezwecken. Max Schrems, Ehrenvorsitzender von noyb: "Der Geldbetrag ist für Google zwar winzig, aber dennoch zeigt diese Strafe, dass DSGVO-Strafen beträchtliche Summen erreichen können".

Die Entscheidung wurde von Google vor dem französischen Conseil d'Etat (dem höchsten Verwaltungsgericht) mit der Begründung angefochten, dass die CNIL nicht für den europäischen Hauptsitz von Google zuständig sei. Google behauptete unter anderem, dass die irische Datenschutzbehörde alle Untersuchungen leiten sollte. Der Conseil d'Etat hält die Entscheidung der CNIL jedoch in allen Punkten aufrecht.

Nicht zuständig für Google
In der Entscheidung bestätigte der Conseil d'Etat die Strafe und ebenso die Zuständigkeit der französischen Datenschutzbehörde. "Google wollte nach Irland fliehen, da die irische Datenschutzbehörde ("DPC") bisher keine einzige Geldstrafe nach der DSGVO gegen ein privates Unternehmen verhängt hat", heißt es in einer Aussendung von nyob weiter. Im Gegensatz zur irischen DPC, die mehr als 18 Monate brauchte, um eine Bericht zu den laufenden Beschwerden gegen Facebook, Instagram und Whatsapp zu verfassen, traf die CNIL innerhalb von acht Monaten eine endgültige Entscheidung.

Innerhalb der EU definiert die Hauptniederlassung des Unternehmens, welche Mitgliedstaaten für die Durchsetzung der DSGVO zuständig sind. Wenn es keine Hauptniederlassung gibt, kann jede Behörde selbst entscheiden. Der Conseil d'Etat bestätigte, dass die irische DPC zum Zeitpunkt der Entscheidung keine Entscheidungsbefugnis über die fraglichen Verarbeitungsvorgänge habe, selbst wenn sich der europäische Hauptsitz von Google in Irland befände. Da das "One-Stop-Shop-Prinzip" daher nicht anwendbar war, war die CNIL - wie auch jede andere Datenschutzbehörde in der EU - befugt, eine Entscheidung über Googles Datenverarbeitung zu treffen.

Informationen nur schwer zugänglich
Der Conseil d'Etat bestätigte die Einschätzung der CNIL: Die relevanten Informationen in den Datenschutzbestimmungen von Google waren für die Nutzer nur schwer zugänglich. Die notwendigen Basisinformationen sind über viele Dokumente verteilt und erst nach mehreren Schritten, manchmal bis zu fünf oder sechs Aktionen, zugänglich. Sie entsprach daher nicht den Vorgaben der DSGVO.

Die CNIL kam auch zu dem Schluss, dass viele Informationen nicht klar und umfassend sind. Die User können nicht realistisch nachvollziehen, was Google mit ihren personenbezogenen Daten macht. So wurden beispielsweise die Gründe, warum Google Daten verwendet, die Rechtsgrundlage für deren Verarbeitung oder die Datenkategorien als zu vage erachtet.

Während Google der Ansicht ist, dass die Zustimmung der Nutzer zur Verarbeitung der Daten für personalisierte Werbung eingeholt wurde, kam die CNIL zu dem Schluss, dass diese Zustimmung aus zwei Gründen nicht gültig ist:

1. Bei mangelhafter Information kann eine Einwilligung weder "spezifisch" noch "eindeutig" sein
2. Darüber hinaus sieht die DSGVO vor, dass die Zustimmung nur dann "spezifisch" ist, wenn sie für jeden Zweck gesondert erteilt wird. Google hat jedoch eine Zustimmung zu allen Verarbeitungsvorgängen eingefordert.

Max Schrems: "Diese Entscheidung erfordert wesentliche Verbesserungen durch Google. Ihre Datenschutzbestimmungen müssen jetzt wirklich glasklar darlegen, was sie mit den Daten der Nutzer machen. Die User müssen auch die Möglichkeit erhalten, nur einem Teil dessen zuzustimmen, was Google mit ihren Daten macht, und andere Dinge abzulehnen".