50 Millionen Euro Bußgeld für Google wegen DSGVO-Verstoß

Erinnern Sie sich noch an die 50 Millionen Euro Strafe, die Google von der französischen Datenschutzbehörde CNIL wegen Nichteinhaltung der DSGVO im vergangenen Jahr auferlegt wurde? Jetzt ist es offiziell: Der Tech-Riese wird wirklich zur Kasse gebeten. Und nicht nur das: Auch darüber, wie eine korrekte Einholung der Nutzer Einwilligung in Zukunft auszusehen hat, schafft das oberste französische Verwaltungsgericht in seinem abschließenden Urteil nun Klarheit.

Was war passiert?

Weil Google Android-Nutzern nicht deutlich genug gemacht hat, wie ihre persönlichen Daten verwendet werden, hatte die CNIL den Konzern im Januar 2019 abgemahnt. Die relevanten Informationen in den Datenschutzbestimmungen von Google seien zudem nur schwer zugänglich und über zahlreiche Dokumente verteilt, was nicht den Vorgaben der DSGVO entspreche, hatte die CNIL damals bemängelt. Google hatte dagegen zunächst Berufung eingelegt. Dieser Antrag wurde nun am 19. Juni 2020, vom Conseil d’Etat, der letzten französischen Instanz in Verwaltungsrechtsfragen, abgelehnt.

Die Begründung: Google habe Android-Nutzern keine „ausreichend klaren“ Informationen über die Nutzung ihrer Daten für zielgerichtete Werbung zur Verfügung gestellt – was im Umkehrschluss bedeutet, dass der Konzern die Zustimmung zur Verwendung der Daten für Marketingzwecke nicht rechtmäßig eingeholt habe.

Die Nutzer-Einwilligung muss laut DSGVO gewissen Kriterien genügen, damit sie als gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten dienen kann. 

Demnach muss sie u.a.: 

✔ informiert 

✔ spezifisch (also für jeden Zweck gesondert) und 

✔ freiwillig gegeben werden.

Einwilligungen, die mit im Voraus angekreuzte Kästchen erwirkt wurden, sind ebenfalls nicht DSGVO-konform, da sie das Kriterium der Freiwilligkeit verletzten, bestätigte das Gericht.

CNIL vs Google: bereits das dritte Bußgeldverfahren

Es war nicht das erste Mal, dass Google von der CNIL abgemahnt wurde: Bereits vor Zeiten der DSGVO im Jahr 2014 verhängte die Datenschutzbehörde eine Geldbuße von 150.000 Euro, dem damals maximal möglichen Betrag, gegen das Unternehmen. Der Grund: Verstoß gegen die französischen Datenschutzrichtlinien. Zwei Jahre später verhängte sie eine Strafe in Höhe von 100.000 Euro wegen Nichteinhaltung des „Recht auf Vergessenwerden”, wonach Nutzer beantragen können, dass Verweise auf sie aus den Suchergebnissen entfernt werden.

Was bedeutet das für die Zukunft?

Eines ist klar: Ein Multi-Billion-Dollar Konzern wie Google zahlt ein Bußgeld von 50 Millionen Euro aus der Portokasse. Auf die gleiche Art und Weise wie in der Vergangenheit wird der Tech-Riese allerdings nicht mehr Daten sammeln können. Denn – und hier ist sich die Rechtsprechung zunehmend einig – wenn Advertiser und Publisher Nutzerdaten für Marketingzwecke verwenden wollen, kann dies nur mit expliziter, freiwilliger und informierter Einwilligung der Nutzer geschehen.

Die Lösung für Publisher? DSGVO-konformes Consent Management über eine CMP

Consent Management Platformen (CMPs) wie Usercentrics helfen, Nutzer-Einwilligungen DSGVO-konform einzuholen und zu verwalten. 

⇨ Denn: Wer ohne Nutzer-Einwilligung Daten erhebt, riskiert nicht nur erhebliche Bußgelder, sondern auch den Verlust wertvoller Nutzerdaten und damit empfindliche Einbußen bei seinen Werbeeinnahmen.