Google muss in Frankreich wegen undurchsichtiger Privatsphäre-Einstellungen und der fehlenden rechtlichen Grundlage für personalisierte Werbung mit 50 Millionen Euro die bislang höchste Strafe zahlen, die europäische Aufsichtsbehörden auf Basis der Datenschutz-Grundverordnung (DSGVO) verhängten. Eine entsprechende Entscheidung der Commission Nationale de l’Informatique et des Libertés (CNIL) vom Januar 2019 bestätigte am Freitag der Conseil d’Etat.
„One-Stop-Shop-Prinzip“ nicht anwendbar
Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.
Mit dem Beschluss ließ das oberste französische Verwaltungsgericht die Einwände von Google gegen die Sanktionsmaßnahme nicht gelten. Der US-Internetkonzern hatte unter anderem darauf abgestellt, dass die CNIL gar nicht zuständig sei, da sich der eigene europäische Hauptsitz in Irland befinde. Laut dem in der DSGVO verankerten „One-Stop-Shop-Prinzip“ müsse der Fall an die irische Datenschutzbehörde gehen, die als konzernfreundlich und ressourcenschwach gilt und binnen anderthalb Jahren zunächst nur einen vagen Bericht zu laufenden Beschwerden gegen Facebook, Instagram und WhatsApp verfasste.
Der Staatsrat bescheinigte der CNIL aber jetzt, dass sie zum maßgeblichen Zeitpunkt tatsächlich befugt war, das Bußgeld gegen Google zu verhängen. Die fraglichen Entscheidungen gingen nämlich nicht auf das Konto der irischen Niederlassung, sondern auf das der Stammfirma „Google LLC“, die in den USA ansässig ist. Daraus folge, dass das in der DSGVO vorgesehene System der einheitlichen Anlaufstelle nicht anwendbar und die CNIL so zum Handeln berechtigt gewesen sei. Die Behörde habe dabei den neuen europäischen Rechtsrahmen so angewendet, wie vom Europäischen Datenschutzausschuss in seinen einschlägigen Richtlinien vorgesehen.
Unzulängliche Google-Informationen
Der Suchmaschinenbetreiber hatte in seiner Berufung zudem argumentiert, sein Zustimmungsverfahren für personalisierte Werbung sorgfältig erarbeitet, möglichst transparent gestaltet und dabei die Empfehlungen der Regulierer beachtet zu haben. Die CNIL hatte dagegen beanstandet, dass das von Google eingeholte Plazet zur Anzeige personalisierter Werbung nicht gültig sei, da die Nutzer nicht ausreichend über das Verfahren aufgeklärt würden.
So sei die Vielfalt der beteiligten Google-Dienste wie YouTube, Google Maps oder der Internet-Suche nicht ersichtlich, monierte die Aufsicht. Außerdem werde nicht hinreichend deutlich, wie der Konzern erhobene Daten verarbeite und für wie lange er sie speichere. Die Informationen dazu seien über mehrere Dokumente verteilt, Nutzer müssten sich über diverse Links und Buttons durch das Material klicken.
Geldbetrag für Google „winzig“
Der Conseil d’Etat konstatierte dazu, dass die CNIL auch die Schlüsselprinzipien der DSGVO rund um die Bereiche Transparenz, Information der User und die Notwendigkeit einer gültigen Zustimmung für personalisierte Werbung korrekt angewendet habe. Die höchsten Verwaltungsrichter erachteten die von der Kontrollinstanz festgestellten Unzulänglichkeiten zugleich als wesentlich für das Geschäftsgebaren Googles. An der Entscheidung gebe es so insgesamt nichts auszusetzen.
Den Fall ins Rollen gebracht hatten die Bürgerrechtsorganisationen Noyb aus Österreich und La Quadrature du Net aus Frankreich mit weitgehenden Beschwerden auch gegen andere Online-Giganten. Noyb-Mitgründer Max Schrems verwies als Reaktion auf die Ansage des Staatsrats darauf, dass der Geldbetrag für Google „zwar winzig“ sei und die potenzielle Höchststrafe bei 3,7 Milliarden Euro gelegen hätte. Dennoch werde damit deutlich, dass DSGVO-Sanktionen „beträchtliche Summen erreichen können“.
„Irisch“ schützt nicht vor Datenschutzkontrolle
Sehr wichtig ist laut dem Aktivisten auch die Klarstellung, dass sich große US-Tech-Konzerne „nicht einfach als ‚irisch‘ deklarieren können“, um einer angemessenen Datenschutzkontrolle zu entgehen. Google müsse die eigenen Bestimmungen für die Privatsphäre der Nutzer nun endlich überarbeiten und glasklar darlegen, was mit den gesammelten Informationen geschehe. Das bisherige übergreifende breite Opt-in-Verfahren über alle Dienste hinweg könne der Konzern nicht länger beibehalten.
Klausel zu strengen Cookie-Richtlinien ist nichtig
Nicht ganz durchsetzen konnte sich die CNIL derweil vor dem Conseil d’Etat mit ihren vergleichsweise strengen Richtlinien über den Einsatz von Cookies und anderen Tracking-Instrumenten. Im Kern erachtete das Gericht zwar auch diese Vorgaben als akzeptabel. Die Klausel, mit der die Behörde die umstrittene Praxis der „Cookie Walls“ und der damit verknüpften Pauschaleinwilligung vollständig untersagte, erklärten die Richter aber für nichtig. Ein solches Verbot benötigte eine ordentliche Rechtsgrundlage und könne nicht über eine einfache Richtlinie vorgeschrieben werden, begründeten sie diesen Schritt. Die CNIL sicherte zu, ihre künftigen Empfehlungen in diese Richtung entsprechend anzupassen.
