Die DSGVO zeigt erste Zähne: 50-Millionen-Strafe gegen Google verhängt

Intransparent, unfair, ohne gültige Rechtsgrundlage: Frankreichs Datenschützer verurteilten Googles Datensammelei. Auf eine Beschwerde von Aktivist Max Schrems verhängten sie das größte Bußgeld in der Geschichte des europäischen Datenschutzes.

Google-Schriftzug an einem Gebäude in Wrocław, Polen. Gemeinfrei-ähnlich freigegeben durch unsplash.com Paweł Czerwiński

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat gegen Google eine Rekordstrafe in Höhe von 50 Millionen Euro verhängt. Die Behörde kreidet Google zwei Verstöße gegen die Datenschutzgrundverordnung (DSGVO) an. Erstens missachte der Konzern die Pflicht, seine Nutzer:innen transparent über die Datennutzung zu informieren. Zweitens könne der Konzern keine wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen.

Damit reagieren die Datenschützer auf zwei Beschwerden der Privacy-NGOs La Quadrature du Net aus Frankreich und None of Your Business (noyb) aus Österreich. noyb-Gründer Max Schrems hatte im Mai 2018 mehrere Beschwerden gegen die Datenschutzbestimmungen von Facebook, Google, Instagram und WhatsApp eingereicht. Google kann Beschwerde gegen die Strafe einlegen.

So verstößt Google gegen die DSGVO

Die Art und Weise, wie Google über die Nutzung von personenbezogenen Daten informiert, verstößt den französischen Datenschützern zufolge gegen die DSGVO. Die Informationen seien nur schwer zugänglich und in einigen Punkten unklar. In der Pressemitteilung der CNIL heißt es: „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“ Zudem sei der Zweck der Datenerhebung zu allgemein und vage beschrieben.

Außerdem werfen die Datenschützer Google vor, keine wirksame Einwilligung der Nutzer:innen für die Nutzung ihrer Daten zu Werbezwecken vorweisen zu können. Aufgrund der ungenügenden Informationen könnten Menschen nicht einschätzen, welche anderen Google-Dienste und Webseiten (Youtube, Maps, Drive) in die Auswertung ihrer persönlichen Daten involviert sind. Die Behörde kritisiert zudem: Beim Einrichten eines neuen Google-Kontos könnten Nutzer:innen zwar die Einstellungen zur Anzeige von personalisierter Werbung verändern, jedoch ist die Option versteckt und das betreffende Kästchen im Formular bereits vorausgefüllt. Einen grundsätzliche Widerspruch zur Datensammlung ermöglicht Google nicht.

Rekordstrafe

Das Millionenbußgeld der CNIL ist die erste Entscheidung einer Datenschutzbehörde gegen einen großen Datenkonzern wegen einer Beschwerde nach der DSGVO. Das seit Ende Mai 2018 wirksame Regelwerk ermöglicht empfindliche Strafen: Datenschutzsünder müssen jetzt mit Bußgeldern von bis zu vier Prozent des weltweiten Umsatzes rechnen. Strafen gegen Google können damit in die Milliarden gehen. In Frankreich war das Bußgeld vorher auf 150.000 Euro gedeckelt, in Deutschland auf 300.000 Euro. Die britische Datenschutzbehörde können Facebook wegen des Skandals um Cambridge Analytica lediglich mit 500.000 Pfund belangen.

Als größte in Europa verhängte Datenschutzstrafe galt bislang ein Bußgeld der italienischen Aufsicht in Höhe von knapp sechs Millionen Euro. Die französischen Datenschützer rechtfertigen die Höhe der aktuellen Strafe mit Googles Marktdominanz und fehlender Einsicht des Konzern. „Die Verstöße sind ständige Verletzungen der Verordnung, die bis heute noch zu beobachten sind. Es handelt sich nicht um eine einmalige, zeitlich begrenzte Verletzung“, schreibt die Behörde.

Datenkonzerne zur Verantwortung ziehen

In der Öffentlichkeit hatten die enorm gestiegenen Sanktionsmöglichkeit in der Vergangenheit für Verunsicherung gesorgt, weil windige Berater ihr Geschäft durch Warnungen vor unverhältnismäßigen Sanktionen befeuerten. Mit ihrer Entscheidung zeigt die französische Behörde nun, wofür die hohen Bußgelder gedacht sind: Große Datenkonzerne zur Verantwortung zu ziehen. Entsprechend erfreut zeigt sich noyb-Vorstand Max Schrems:

Wir sind sehr erfreut, dass eine europäische Datenschutzbehörde erstmalig die Möglichkeiten der DSGVO nutzt, um klare Rechtsverstöße zu bestrafen. Wir haben festgestellt, dass große Unternehmen wie Google nach Wirksamwerden der DSGVO einfach nur „das Recht anders interpretieren“ und oftmals lediglich oberflächliche Änderungen an ihren Produkten vorgenommen haben. Es ist wichtig, dass die Behörden deutlich machen, dass es nicht reicht, einfach nur zu behaupten, gesetzeskonform zu handeln. [Eigene Übersetzung]

In Deutschland zeigen sich die Datenschutzbehörden in Hinblick auf ihre neuen Möglichkeiten noch zögerlich. Zwar ist die Zahl der Beschwerden und der verhängten Bußgelder gestiegen, einer Recherche des Handelsblatt zufolge lässt die Aufsicht in Bezug auf die Höhe aber noch eine Art Schonfrist gelten. Das höchste Bußgeld nach der DSGVO liegt hierzulande demnach bei 80.000 Euro, verhängt durch die baden-württembergische Aufsichtsbehörde.

Bußgeld in letzter Sekunde

Der Privacy-Forscher Wolfie Christl weist gegenüber netzpolitik.org darauf hin, dass die CNIL mit ihrer heute bekannt gegebenen Entscheidung ein Gefühl für gutes Timing beweist. Erst im Dezember hatte Google überraschend bekanntgegeben, dass künftig nicht mehr die US-Hauptfirma für die Verarbeitung der Daten von EU-Bürger:innen verantwortlich sein wird, sondern das irische Tochterunternehmen. Und zwar ab dem 22. Januar, erklärt Christl: „Ab morgen wird die irische Datenschutzbehörde für Google hauptzuständig sein, die seit Jahren für ihr sanftes Vorgehen bekannt ist. Die Behörden anderer EU-Staaten können ab morgen bezüglich Google nicht mehr alleine handeln, sondern müssen sich eng mit der irischen Behörde abstimmen.“

In Hinblick auf die europäische Zusammenarbeit muss die DSGVO sich tatsächlich erst noch beweisen. Zwar können Bürger:innen sich nun in jedem Land an eine Datenschutzbehörde wenden. Federführend zuständig bleibt aber die die Aufsicht in dem Land, in dem das Unternehmen den Hauptsitz hat. Datenkonzerne setzen im großen Stil darauf, dass die irische Datenschutzaufsicht weiterhin nachsichtig ist. Das führt beispielsweise dazu, dass der Hamburger Datenschutzbeauftragte ein Verfahren gegen WhatsApp wegen der Datenweitergabe an Facebook mit der Begründung einstellte, dass die irischen Kolleg:innen zuständig seien. Andere Behörden haben zwar ein Mitspracherecht, doch bis im neuen Europäischen Datenschutzausschuss eine Einigung erzielt wurde, kann es dauern. Solange wollte man in Frankreich offenbar nicht warten.

Reaktionen: „Startschuss für Welle an Strafen“

Die Nichtregierungsorganisation Privacy International aus London betont, vom wem die Beschwerden kamen: „Dass die Entscheidung als Reaktion auf Beschwerden von zwei Nichtregierungsorganisationen, die 10.000 Personen repräsentieren, getroffen wurde, zeigt auch die Bedeutung der Zivilgesellschaft bei der Behandlung dieser Fragen“, kommentiert Ailidh Callander gegenüber netzpolitik.org. Die Entscheidung sei eine Aufforderung an die gesamte Branche:

Diese Geldbuße sollte allen Unternehmen, deren Geschäftsmodelle auf Datenverwertung basieren, als Weckruf dienen, den Datenschutz und die Betroffenenrechte ernst zu nehmen. Einer der wichtigsten Punkte bei der Entscheidung der CNIL ist der Mangel an Transparenz und einer wirksamen Einwilligung in die Personalisierung von Anzeigen. Die Nutzung personenbezogener Daten im Anzeigen-Ökosystem, von Google über Datenbroker bis hin zu AdTech-Unternehmen, ist für Privacy International von großer Bedeutung.

Wolfie Christl kommentiert die Strafe gegenüber netzpolitik.org:

Das ist eine wichtige Entscheidung. Zwar wird Google diese 50 Millionen Euro immer noch aus der Portokasse bezahlen. Aber erstens betont die Behörde, dass der Gesetzesverstoß nicht in der Vergangenheit liegt, sondern bis zum heutigen Tag andauert. Wir werden sehen, was passiert, wenn Google nicht sofort einige Dinge massiv verändert. Zweitens geht es hier erst mal nur um französische NutzerInnen, und nicht um die anderer EU-Staaten. Drittens ist auch die genaue Begründung für die Strafe sehr interessant. Daraus könnten sich unmittelbare Auswirkungen auf die Datenpraktiken anderer Firmen ergeben. Und viertens ist es die erste Strafe gegen einen der großen Tech-Giganten auf Basis der DSGVO. Das wurde auch Zeit. Ich hoffe, das ist der Startschuss für eine ganze Welle an Strafen in den nächsten Wochen und Monaten. Die DSGVO muss durchgesetzt werden. Nicht nur, aber vor allem gegen die Großen.“

Die französische Nichtregierungsorganisation La Quadrature du Net, die mit ihrer Beschwerde für das Bußgeld gesorgt hat, begrüßt die Entscheidung der CNIL, bedauert aber die verhältnismäßig geringe Höhe der Strafe. Außerdem kritisiert der Verein, dass die Behörde nicht deutlicher Stellung zu der Frage bezogen hat, ob die von Google gesammelten Einwilligungen als freiwillig erteilt gelten können, da der Konzern keine echte Alternative anbietet:

In conclusion, while we welcome this first sanction based on our collective complaints, especially because this decision cuts short the attempted escape of Google to Ireland, we expect above all from the CNIL to issue as soon as possible its next decisions. These will have to address the issue of « freely given consent » and provide for a sanction that will be proportionate to the situation, well beyond 50 million euros.

Google selbst will die Entscheidung der CNIL einer DPA-Meldung zufolge rechtlich anfechten.

27 Ergänzungen
    1. Hi Christian, da hast du natürlich Recht. Der Text war wie geschrieben in der Ursprungsfassung eine schnelle Meldung, die dann quasi-live zu einem normalen Artikel ausgebaut wurd. Wir haben den Link im Zuge dessen ergänzt.

          1. Aus Spanien kenne ich dieses Verfahren. Kannst du eine Quelle dafür nennen, dass es sich in Frankreich genauso verhält? Ich hatte bei Menschen mit direktem Draht zur CNIL nachgefragt, die die Auskunft gaben, das Bußgeld gehe in die Staatskasse und nicht direkt an die Behörde.

  1. Auch kleine Firmen werden inzwischen zwangsbeglückt. Jetzt muss jeder mit jedem wer mit wem wie welche Daten verabeitet und speichert auch über Landes- und Sprachgrenzen hinweg bis ins kleinste Detail einen separaten Vertrag abschließen, wenn Daten ausgetauscht werden.

    1. Möchtest du vorschlagen, dass Unternehmen die Daten ihrer Kunden einfach so an Drittfirmen weitergeben dürfen, ohne sich darum zu kümmern, wie diese Dienstleister mit den Daten umgehen? In dem von dir verlinkten Fall klärt die Datenschutzbehörde das betroffene Unternehmen darüber auf, dass genau dies nicht geht. Erst als dieses mitteilt, es sehe nicht ein, warum es darum kümmern soll, was der Dienstleister mit den Daten macht, gibt es ein Bußgeld.

      1. Ich glaube Du unterschätzt sowohl den administrativen / finanziellen Aufwand als auch die praktische Auswirkungen vor allem für kleine Betriebe: https://kolibri-image.com/causa-datenschutz/

        Im vorliegenden Fall geht es überhaupt nicht um „die Daten ihrer Kunden einfach so an Drittfirmen weitergeben“, sondern dass man schon in Haftung genommen werden kann, wenn man zum einen von Dritten unkontrollierbar falsche oder unvollständige Angaben erhält und zum anderen selbst dann noch, wenn man sich nur bei der zuständigen Stelle erkundigt, was man den unternehmen solle, wenn sich der Gegenpart uninteressiert zeigt und noch gar keine Geschäftsbeziehung besteht. Im genannten Fall geht es zudem um Versandpapiere.

        Da wird man doch verrückt, wenn europaweit mit zahllosen Versendern Einzelverträge abgeschlossen werden müssen, nur um ein / zwei Päckchen zu verschicken. Anstatt Paketaufkleber auszufüllen und die Versanddaten elektronisch zu übermitteln, braucht man jetzt erst mal ein dickes Vertragswerk. Zudem schreibt eine neue EU-Verordnung die EU-weite Belieferung vor. Als Gewerbe darf man Kunden in einem EU-Land nicht pauschal von der Belieferung ausschliessen.

        Aus obigem Link: „Da unser Versandgeschäft über mehrere Websites und Verkaufskanäle läuft (z.B. eBay, Amazon), haben und pflegen wir wie es die DSGVO vorschreibt zur Zeit insgesamt 6 z.T. unterschiedliche Datenschutzerklärungen an 6 “Orten” in 2 Sprachen.“

        Neben RMA, RoHS, WEEE (kostenpflichtig), EAR und VerpackG (kostenpflichtig) erschlägt einen jetzt noch die DSGVO. Der Aufwand ist in dieser Form für kleine Unternehmen irrsinnig und führt lediglich zu einer weiteren Konzentrationsbewegung hin zu Großunternehmen wie Amazon, die den Druck an ihre Mitarbeiter weitergeben können.

  2. Die vorgeworfenen Punkte stimmen echt wie die Faust auf das Auge. Allerdings bezweifle ich, dass solche willkürlichen Strafen Google in irgendwelcher Weise jucken. Wie wäre ein Geoblock von google? Ende der Welt? Oder zumindest irgendein Betriebsverbot?

  3. Die festgesetzten Strafen kommen grundsätzlich dem Staatshaushalt zugute, hier der EU.

    In Deutschland gibt es aber auch noch ein anderes Modell: Ermittlungsverfahren können z.B. wegen geringer Schuld bei Zahlung einer Geldbuße eingestellt werden. Dann kann der Staatsanwalt mit Genehmigung des Gerichtes vorschlagen, dass der Angeschuldigte das Bußgeld an eine soziale Einrichtung leistet. Dahinter steht der Gedanke der Wiedergutmachung, in dem der Angeschuldigte z.B. An den Verein zahlt, der sich um die Opfer seines Fehlverhaltens kümmert. Etwa an die DUH bei Umweltvergehen oder an den weissen Ring bei Betrug oä.

    1. Dass die Bußgelder an die EU gehen, kann ich nicht bestätigen. Nach meinem Kenntnisstand geht das an den Staat, dessen Aufsichtsbehörde das Bußgeld verhängt.

      1. DAs stimmt!
        Wer lesen kann ist klar im Vorteil. Beim zweiten Leseversuch auf Deinen Hinweis habe ich herausgefunden : Frankreich hat das Bußgeld verhängt, nicht die EU! Dann kassiert Frankreich auch das Bussgeld. Sorry.

    2. Bei Datenschutzverstößen ermittelt in der Regel nicht die Staatsanwaltschaft. Vielmehr ist dies ein eigenes Verfahren der Datenschutzaufsichtsbehörden, welches nach eigenem Recht abläuft. In dem Verfahren geht es um Geldbußen aber auch ggf. um direkte Anordnungen den Datenschutzverstoß zu beenden. Die im Strafrecht vorhandene Möglichkeit, ein Strafverfahren gegen eine Geldbuße einzustellen, passt nicht für das Datenschutzrecht, bei dem es in der Regel überhaupt nur um eine Geldbuße aber in empfindlicher Höhe geht. Die Geldbuße wird auch ohne Gerichtsverfahren ausgesprochen, kann jedoch vor Gericht angefochten werden.
      Diese Konstruktion ist rechtstaatlich nicht ganz unbedenklich. Einige Länder verlangen daher, dass die Bußgelder zunächst durch ein Gericht bestätigt werden müssen.

  4. Warum nur 50 Mio? Warum nicht 4,4 Mrd?

    Die DSGVO sieht für Strafzahlungen bis zu 4% des weltweiten Jahresumsatzes vor. Konkret bei Google, basierend auf den Werten von 2017, wären also mehr als 4,4 Mrd möglich.

    Ich verstehe ja, dass man bei Erstverstößen nicht gleich die große Keule herausholen will. Aber wieso fällt die Strafe so lächerlich gering aus? Ist das nicht genau das falsche Signal an andere Firmen wir Facebook und Microsoft, dass sie von der DSGVO gar nicht so viel zu befürchten haben, weil das hohe Strafmaß nur auf dem Papier existiert?

    Auch finde ich es nicht gut, das mit bisherigen Strafen von Datenschutzverletzungen zu vergleichen. Das zeigt lediglich, wie dringend nötig die DSGVO war, und wie schlecht unsere Datenschutzgesetze davor waren.

    Ein besserer Vergleich wären die Kartell-Strafzahlungen. Da musste Google zuletzt 4,3 Mrd bezahlen. Das könnte die DSGVO auch. Und daran sollten wir sie in Zukunft messen.

    1. Die Strafen müssen auch Unternehmen gegenüber verhältnismäßig sein.
      In Art. 83 Abs. 2 DSGVO findest du eine ganze Liste mit Kriterien für die Höhe.
      Auch wenn es sicher nicht gut ist was Google da macht (Daher ja ein Bußgeld), es ist noch viel, viel Luft nach oben für schlimmere Verstöße, wiederholtes Begehen dieser Verstöße usw.
      Wichtig ist doch, dass nun was passiert. Von den Geldbußen haben die Betroffenen ohnehin erst mal gar nichts.

    2. Gerade weil der Verstoß bis in die Gegenwart andauert, ist Milde hier fehl am Platze.
      Die Strafe muss den Täter erheblich mehr kosten, als ihm sein gesetzwidriges Handeln einbringt. Ein Dieb, der erwischt wird, verliert ja auch viel mehr als die Beute, nur deswegen kann ein Verbot überhaupt abschrecken.
      Bei Konzernen, deren größte Einkommensquelle der Handel mit Nutzerdaten oder deren Auswertung ist, kann auch eine Strafe von 4% des Jahresumsatzes nicht verhindern, dass krumme Geschäfte sich weiterhin lohnen.
      Wie beim Dieb muss zusätzlich zur Strafe das mit der Tat erwirtschaftete Geld beschlagnahmt werden, erst dann werden Gesetze sich auf die Unternehmenspolitik auswirken.

      1. @Nicolas:
        Du vergisst, dass die Bußgelder nur eines der Mittel der Aufsichtsbehörden darstellen. Gegenüber Privaten reichen deren Befugnisse noch erheblich weiter. Dazu gehört im Extremfall nach Art. 58 Absatz 2 Buchstabe f DSGVO sogar das Untersagen der der Datenverarbeitung.
        Die DSGVO ist keinesfalls ein zahnloser Tiger und regelt die Durchsetzung des Datenschutzes zwar auch über Bußgelder, aber eben nicht nur. Das ist die erste spürbare Eskalationsstufe. Von hier kann der Verarbeiter schauen, wie weit er es mit der Aufsichtsbehörde aufnehmen will. Gerade die französische Datenschutzaufsicht gilt hier sicher nicht als weich.

      2. Bitte den Umsatz mit Gewinn verwechseln! Eine Strafe von 4% des weltweiten Jahresumsatzes kann – je nach Unternehmen – durchaus den gesamten Gewinn des Jahres zunichte machen.

  5. Wie sähe denn ein datenschutzfreundliches Internet aus? Dürfte man sich dann überhaupt noch aktiv beteiligen?

    Und was sind eigentlich Nutzerdaten?

    1. Deine Frage war wie datenschutzfreundliches Internet aussieht. Dazu findest du auf https://media.ccc.de sehr sehr viele fachliche Erklärungen.
      Kurze zusammenfassung für den Beginn: Man verwendet ein Betriebssystem ausschließlich aus 100% freie und selbst überprüfbare, reproduzierbare ( https://en.wikipedia.org/wiki/Reproducible_builds ) Software/Quellcode auf sein Computer mit Coreboot Firmware. Auf dieses Betriebssystem nutzt man ausschließlich den Tor Browser und besucht ausschließlich .onion Webseiten.
      Online-Shopping macht man z.B. mit Monero als Bezahl-Währung und lässt sich das auf ein Paketbox-System in der Nähe umweltschonend mit Elektroautos fahren. Dort gibt man dann das one-time Passwort ein welches am Ende der Bestellung angezeigt wurde und kann dann die Ware abholen.
      Zu keinem Zeitpunkt fielen personenbezogene Daten an. Selbst alle Metadaten sind dank Monero (statt Bitcoin) und .onion eigentlich unbrauchbar. Selbstverständlich wird man in einer vernünftigen Gesellschaft im öffentlichen Bereich nicht mit Kameras überwacht.

      So sieht ein datenschutzfreundliches Internet mit datenschutzfreundliche Gesellschaft aus.

  6. Das Millionenbußgeld der CNIL ist die erste Entscheidung einer Datenschutzbehörde gegen einen Konzern wegen einer Beschwerde nach der DSGVO.

    Nein, es gab schon andere DSGVO-Strafen. Schreibt ihr ja auch selbst:

    Das höchste Bußgeld nach der DSGVO liegt hierzulande demnach bei 80.000 Euro, verhängt durch die baden-württembergische Aufsichtsbehörde.

    1. Danke für den Hinweis, da wurde im Redigat aus Versehen die Formulierung „gegen einen großen Datenkonzern“ durch „gegen einen Konzern“ ersetzt. Grüße in die Sonne!

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.