Am 21. Januar 2019
verhängte die französische Nationale Kommission für Informationstechnologie und Menschenrechte (CNIL) gegen Google eine
Geldstrafe in Höhe von 50 Millionen Euro wegen "mangelnder Transparenz, mangelnder Informationen und mangelnder gültiger Zustimmung" bei der Verarbeitung und Verwendung personenbezogener Daten von Nutzern zur Schaltung personalisierter Anzeigen.
Die Verhängung einer hohen Geldbuße war das Ergebnis einer Untersuchung. Alles begann mit der Tatsache, dass CNIL am 25. und 28. Mai 2018 kollektive Beschwerden von den Menschenrechtsverbänden None Of Your Business (NOYB) und La Quadrature du Net (LQDN) erhielt, die die Interessen von mehr als 10.000 Menschen vertraten. In diesen beiden Beschwerden warfen die Verbände Google das Fehlen eines angemessenen rechtlichen Rahmens für die Verarbeitung personenbezogener Daten der Nutzer, einschließlich der Personalisierung von Werbung, vor.
Am 1. Juni 2018 sandte die CNIL gemäß den Bestimmungen der DSGVO über die europäische Zusammenarbeit zwei Beschwerden an ihre europäischen Kollegen, um zu bestätigen, dass sie befugt ist, diese zu prüfen. Tatsache ist, dass es in der EU einen One-Stop-Shop-Mechanismus gibt. Zunächst müssen Sie feststellen, in welchem Land sich die „Hauptinstitution“ des Angeklagten befindet. Dementsprechend wird die EU-Rechtsstelle aus diesem Land die „führende“ Stelle bei der Prüfung dieses Falls. Vor einer Entscheidung sollte sich der Initiator des Prozesses mit anderen nationalen Datenschutzbehörden abstimmen.
Der europäische Hauptsitz von Google befindet sich in Irland. In diesem Fall stellte sich jedoch zum Zeitpunkt der Überprüfung heraus, dass das irische Büro nicht befugt war, Entscheidungen über die unter dem Android-Betriebssystem durchgeführten Verfahren und die von Google LLC im Zusammenhang mit der Erstellung eines Benutzerkontos beim Einrichten eines Mobiltelefons bereitgestellten Dienste zu treffen.
Da das Single Window-System nicht anwendbar war, erhielt die französische CNIL-Kommission die Befugnis, Entscheidungen in Bezug auf Google LLC zu treffen. Sie tat dies, indem sie die neue Europäische
Datenschutzverordnung (DSGVO) anwendete .
Nach Angaben der DSGVO wird die Höhe einer Geldbuße für ein Unternehmen im Verhältnis zur begangenen Straftat festgelegt. Eine typische EU-Praxis bei wiederholten Verstößen gegen das gleiche Thema ist eine Erhöhung der Geldbuße. Es kann schnell zunehmen, so dass die meisten Unternehmen dazu neigen, das Problem schnell zu beheben. Jede Interaktion mit Datenschutzbehörden erfolgt auf die gleiche Weise: Warnung, Geldstrafe, Erhöhung der Geldstrafe. Die Höchststrafe beträgt 20 Mio. € oder
4% des Jahresumsatzes des vorangegangenen Geschäftsjahres für das Unternehmen, je nachdem, welcher Wert höher ist. Die Höchststrafe wurde eingeführt, um sicherzustellen, dass Giganten wie Facebook und Google das Gesetz nicht ignorieren, einfach eine Geldstrafe zahlen und die bisherige Praxis fortsetzen. Zum Beispiel werden Facebook und Twitter wegen Verstoßes gegen die russische Gesetzgebung zur Speicherung personenbezogener Daten
mit einer Geldstrafe von bis zu 5.000 Rubel bestraft .
Um Beschwerden zu bearbeiten, führte CNIL im September 2018 ein Online-Audit durch. Ziel war es, die Einhaltung des DSGVO-Gesetzes zu überprüfen, indem die Aktionen und Dokumente des Benutzers analysiert werden, auf die er zugreifen kann, indem beim Einrichten seines Mobiltelefons für Android ein Google-Konto erstellt wird.
Die Prüfung ergab zwei Reihen von Verstößen gegen die DSGVO.
Erster Verstoß:
Nichteinhaltung der Verpflichtungen zur Gewährleistung von Transparenz und Rechenschaftspflicht. Für die Benutzer war es schwierig, auf die grundlegenden Informationen zuzugreifen, die das Unternehmen gemäß der DSGVO zu ihnen bringen musste, einschließlich:
- die Zwecke, für die die Daten verarbeitet werden;
- Aufbewahrungszeitraum.
Die zur Personalisierung der Werbung verwendeten Datenkategorien waren auf mehrere Dokumente verteilt, die über separate Schaltflächen und Links für weitere Informationen verfügen. Somit sind die relevanten Informationen erst nach wenigen Schritten verfügbar und erfordern manchmal bis zu fünf oder sechs Aktionen vom Benutzer. Informationen über die Sammlung von Informationen zur Personalisierung von Werbung oder zur Geolokalisierung sind Personen maximal verborgen. Darüber hinaus sind die bereitgestellten Informationen nicht immer klar.
Infolgedessen können Nutzer das Ausmaß der von Google installierten Überwachung nicht verstehen, obwohl diese Methoden "aufgrund der Anzahl der angebotenen Dienste (etwa 20), der Menge und der Art der verarbeiteten und kombinierten Daten" besonders massiv und aufdringlich sind ", gab die französische Agentur zu.
Google macht es Nutzern unklar, dass die ausdrückliche Zustimmung einer Person zum Sammeln von Daten erforderlich ist. Es scheint, dass Google das volle Recht hat, personenbezogene Daten zu sammeln, und die Zustimmung des Nutzers ist nicht erforderlich.
Zweiter Verstoß:
Nichteinhaltung der Anforderung einer Rechtsgrundlage für die Verarbeitung der Personalisierung von Werbung . Die Kommission erkannte die unbefriedigende Information und das Fehlen einer gültigen Zustimmung der Nutzer zur Verarbeitung von Daten für Werbezwecke an.
Informationen zu den Verfahren "ermöglichen es dem Benutzer nicht, die Skala zu realisieren." Im Abschnitt "Personalisierung von Anzeigen" werden beispielsweise nicht die vielen Dienste, Websites, Anwendungen, die an der Datenverarbeitung beteiligt sind (Google-Suche, Youtube, Google Maps, Play Store, Google Photo usw.) und daher die Menge der verarbeiteten und kombinierten Daten behandelt . Das Experiment zeigte auch, dass die erhaltene Zustimmung nicht „spezifisch“ und „eindeutig“ ist.
Infolgedessen wurde eine Schlussfolgerung über einen ständigen Verstoß gegen die DSGVO-Standards gezogen. "Dies ist das erste Mal, dass CNIL die in der allgemeinen Datenschutzverordnung festgelegte Höchststrafe anwendet", heißt es in dem CNIL-Bericht.