Google muss wegen DSGVO-Verstößen 50 Millionen Euro Strafe zahlen

Die DSGVO zeigt für die großen Tech-Unternehmen ihren harten Kern. Während Facebook beispielsweise von der Verbraucherschutzzentrale in Sachsen auf Grundlage der Verordnung verklagt wurde, ist Google von der Commission Nationale de l’Informatique et des Libertés, der französischen Datenschutzbehörde, zu einer Rekordstrafe verurteilt worden. 50 Millionen Euro sind zu zahlen, weil die Anforderungen an die Transparenz bei der Nutzung persönlicher Daten für Ads nicht erfüllt wurden. Anderen Tech-Riesen drohen durch DSGVO-Verstöße ebenfalls Strafen.

50 Millionen Euro: Rekordstrafe für Google

Bereits am Tag, als die DSGVO inkrafttrat, wurden von zwei Verbraucherschutzorganisationen Beschwerden gegen Google im Kontext der Verordnung eingereicht, wie die BBC berichtet. Sie beanstandeten, dass Google keine legale Basis habe, um persönliche Nutzerdaten für Werbepersonalisierung zu nutzen. Nach Art. 5, Abs.1 a) DSGVO müssen personenbezogene Daten

auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden (,Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz’);

und genau diese Transparenz soll Google nicht gewährleistet haben. Dieser Ansicht war auch die Datenschutzbehörde in Frankreich, die den Fall übernahm, obwohl Googles europäischer Sitz in Irland liegt.

Als Begründung für die Forderung nach 50 Millionen Euro nennt die Behörde neben einem Mangel an Transparenz eine ungenügende Einwilligungsstruktur im Hinblick auf Werbepersonalisierung. Nutzer würden nicht ausreichend darüber informiert, wie ihre Daten verarbeitet und zu Werbezwecken eingesetzt werden. Zu diesem Ergebnis führten online durchgeführte Untersuchungen der CNIL. Google selbst prüft die Entscheidung.

Warum Googles Praktik laut CNIL gegen die DSGVO verstößt

Die Behörde aus Frankreich nennt zwei Gründe, die den DSGVO-Verstoß Googles erklären:

The company GOOGLE states that it obtains the user’s consent to process data for ads personalization purposes. However, the restricted committee considers that the consent is not validly obtained for two reasons.

Einer ist, dass ein Nutzer sich des Ausmaßes der vielfältigen Datenverarbeitung Googles bei der Personalisierung von Ads nicht unmittelbar bewusst ist.

For example, in the section ’Ads Personalization’, it is not possible to be aware of the plurality of services, websites and applications involved in these processing operations (Google search, You tube, Google home, Google maps, Playstore, Google pictures…) and therefore of the amount of data processed and combined.

Weiterhin gibt die Behörde an, die Einwilligung der Nutzer sei weder spezifisch noch unmissverständlich. Denn im Bereich Anzeigenpersonalisierung ist die Option zur personalisierten Werbung per Default aktiviert. Darin sieht die CNIL jedoch keine eindeutige Einwilligung. Zudem geht man davon aus, dass eine universelle Einwilligung, wie sie beim Erstellen eines Google-Kontos vonnöten ist, eine je spezifische und an die jeweilige Verarbeitung geknüpfte Einwilligung nicht ersetzt.

Da es sich um schwerwiegende Verstöße gegen die DSGVO handle, die darüber hinaus andauerten, sei die Strafe in Höhe von 50 Millionen Euro gerechtfertigt, heißt es in der Erklärung.

Auch Unternehmen wie Facebook, Apple oder Netflix könnten vor Problemen stehen

Facebook gilt im Kontext der Verarbeitung personenbezogener Daten als Negativbeispiel und muss sich auf weitere Verfahren im Rahmen der DSGVO einstellen. Bereits im Dezember wurde das Unternehmen in Italien zu einer Strafzahlung von zehn Millionen Euro verurteilt. Dabei war angeprangert worden, Nutzer würden beim Registrierungsprozess nicht genug darüber aufgeklärt, wie ihre persönlichen Daten zu kommerziellen Zwecken verarbeitet werden. Insbesondere der Austausch solcher Daten mit Dritten wurde als Grundlage für die Entscheidung angegeben. Der Guardian berichtete.

Doch auch Streamingdienste scheinen die Anforderungen der Verordnung nicht zu erfüllen. Die Verbraucherschutzorganisation noyb (none of your business) hat Dienste wie Netflix, Spotify, DAZN, Apple Music oder Amazon Prime überprüft. Dabei wurde deutlich, dass sie alle in gewissem Maße gegen die DSGVO verstoßen. Denn nach Art. 15 DSGVO haben Personen „das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so ha[ben] sie ein Recht auf Auskunft über diese personenbezogenen Daten“.

Der Einforderung dieses Rechts vonseiten noybs waren die Unternehmen jedoch nicht zufriedenstellend nachgekommen. Das dokumentiert die Non-Profit-Organisation auch grafisch.

Der Geschäftsführer von noyb, Max Schrems, erklärt das Problem:

Viele Unternehmen richten automatisierte Systeme ein, um auf Zugriffsanfragen zu reagieren. Oft liefern sie jedoch nicht einmal ansatzweise die Daten, auf die jeder Benutzer und jede Benutzerin ein Recht hat. In den meisten Fällen erhielten Benutzer und Benutzerinnen nur die Rohdaten, jedoch keine Informationen darüber, mit wem diese Daten geteilt wurden. Dies führt zu strukturellen Verletzungen der Benutzerrechte und Benutzerinnenrechte, da diese Systeme dazu dienen, die relevanten Informationen zurückzuhalten.

Diese Verstöße laufen dem Gedanken der DSGVO zuwider

Während ein populärer Dienst wie DAZN die Anfrage sogar gänzlich ignoriert hat, haben andere zumindest Rohdaten bereitgestellt. Diese enthielten jedoch kaum ausreichend Informationen, um eine Transparenz bei der Datenverarbeitung und -speicherung darstellen zu können. Dementsprechend hat noyb inzwischen bei der Datenschutzbehörde in Österreich Beschwerden gegen acht Unternehmen eingereicht. Die Organisation sieht diese Verstöße als besonders schwerwiegend, da sie der Grundidee der Auskunft über die Verarbeitung der personenbezogenen Daten abträglich sind.

Das Auskunftsrecht ist ein Eckpfeiler des Datenschutzgerüsts. Nur wenn sich Benutzer und Benutzerinnen ein Bild davon machen können, wie und warum ihre Daten gespeichert oder weitergegeben werden, können sie Verstöße gegen die DSGVO tatsächlich aufdecken und entsprechend handeln.

Es wird darauf hingewiesen, dass jeder Nutzer das Recht hat, eine Einsicht in die Verarbeitung seiner Daten zu erlangen.

Nach Google dürften künftig wohl auch auf andere Player Strafzahlungen zukommen. Die Einhaltung der DSGVO wird im EU-Raum immer stärker eingefordert; da der Diskurs über die Datensicherheit ebenfalls an Gewicht gewinnt. Für Google mag die Zahlung von 50 Millionen Euro noch keinen Einschnitt bedeuten. Wird jedoch häufiger gegen das Unternehmen geurteilt, muss es sich langfristig doch um eine Änderung der Einstellungen für seine Nutzer bemühen – zumindest in der EU. Und für andere Dienste gilt das nicht weniger.