Google in Frankreich wurde mit Geldbußen in Höhe von 50 Mio. EUR wegen DDR-Missbrauchs personenbezogener Daten bestraft

    Am 21. Januar 2019 verhängte die nationale Kommission für Informationstechnologie und Menschenrechte (CNIL) eine Geldbuße von Google in Höhe von 50 Millionen US-Dollar wegen „mangelnder Transparenz, unzureichender Informationen und fehlender wirksamer Einwilligung“ bei der Verarbeitung und Nutzung personenbezogener Daten von Nutzern, um ihnen personalisierte Anzeigen anzuzeigen.

    Die Verhängung einer großen Geldbuße war das Ergebnis der Untersuchung. Begonnen hatte alles mit der Tatsache, dass CNIL am 25. und 28. Mai 2018 Kollektivbeschwerden von Menschenrechtsvereinigungen (None Of Your Business (NOYB) und La Quadrature du Net (LQDN)) erhielt, die mehr als 10.000 Menschen repräsentierten. Diese beiden Beschwerden wurden von der Vereinigung von Google vorgeworfen, da für die Verarbeitung der personenbezogenen Daten der Nutzer, einschließlich der Personalisierung der Werbung, keine geeigneten rechtlichen Rahmenbedingungen gelten.

    Am 1. Juni 2018 richtete die CNIL im Einklang mit den von der DSGVO festgelegten Bestimmungen über die europäische Zusammenarbeit zwei Beschwerden an ihre europäischen Kollegen, um zu bestätigen, dass sie für deren Prüfung zuständig sind. Tatsache ist, dass es in der Europäischen Union einen „Ein-Fenster-Mechanismus“ gibt. Zunächst müssen Sie feststellen, in welchem ​​Land sich die Hauptinstitution des Beklagten befindet. Dementsprechend wird die juristische Person der EU aus diesem Land die "führende" Instanz bei der Prüfung dieses Falls. Vor einer Entscheidung sollte sich der Initiator des Prozesses mit anderen nationalen Datenschutzbehörden abstimmen.

    Der europäische Hauptsitz von Google befindet sich in Irland. In diesem Fall stellte sich jedoch zum Zeitpunkt der Prüfung heraus, dass die irische Vertretung nicht befugt war, über die Verfahren zu entscheiden, die unter dem Betriebssystem Android und den von Google LLC im Zusammenhang mit der Einrichtung eines Benutzerkontos beim Einrichten eines Mobiltelefons bereitgestellten Diensten ausgeführt werden.

    Da das „One-Stop-Shop“ -System nicht anwendbar war, wurde der französischen CNIL-Kommission die Entscheidungsbefugnis bezüglich Google LLC erteilt. Sie tat dies durch die Anwendung der neuen europäischen Datenschutzverordnung (DSGVO) .

    Nach der DSGVOwird die Höhe der Geldbuße für das Unternehmen im Verhältnis zu der begangenen Straftat festgelegt. Eine typische EU-Praxis bei wiederholten Verstößen zu demselben Thema ist eine Erhöhung der Geldbuße. Es kann schnell zunehmen, daher neigen die meisten Unternehmen dazu, das Problem schnell zu beheben. Jede Interaktion mit Datenschutzagenturen folgt dem gleichen Muster: Warnung, Geldstrafe, Erhöhung der Geldstrafe. Der Höchstbetrag der Geldbuße beträgt 20 Millionen Euro oder 4% des Jahresumsatzes.für das vorangegangene Geschäftsjahr des Unternehmens, je nachdem, welcher Betrag größer ist. Die Höchststrafe wird eingeführt, um sicherzustellen, dass Giganten wie Facebook und Google das Gesetz nicht ignorieren, indem sie einfach die Geldstrafe zahlen und die bisherige Praxis fortsetzen. Zum Beispiel wird bei Verstößen gegen die russischen Rechtsvorschriften über die Speicherung personenbezogener Daten in Unternehmen bei Facebook und Twitter jetzt eine Geldstrafe von bis zu 5.000 Rubel verhängt .

    Zur Bearbeitung von Beschwerden führte die CNIL im September 2018 eine Online-Überprüfung durch. Das Ziel bestand darin, die Einhaltung des Gesetzes der DS-GVO zu überprüfen, indem Benutzeraktionen und Dokumente analysiert werden, auf die er zugreifen kann, indem er bei der Einrichtung seines Mobiltelefons für Android ein Google-Konto erstellt.

    Die Prüfung ergab zwei Reihen von Verstößen gegen die DSGVO.

    Erster Verstoß:Nichteinhaltung von Transparenz- und Rechenschaftspflichten. Grundlegende Informationen, die das Unternehmen gemäß der DSGVO an sie weitergeben musste, waren für die Benutzer schwer zugänglich.

    • die Zwecke, für die die Daten verarbeitet werden;
    • Datenaufbewahrungszeitraum.

    Die zur Personalisierung von Anzeigen verwendeten Datenkategorien sind auf mehrere Dokumente verteilt, mit separaten Schaltflächen und Links für weitere Informationen. Somit stehen die relevanten Informationen erst nach wenigen Schritten zur Verfügung und erfordern vom Benutzer bis zu fünf oder sechs Aktionen. Maximale Informationen von Menschen sind für die Personalisierung von Werbung oder für die Standortbestimmung vor Personen verborgen. Darüber hinaus sind die bereitgestellten Informationen nicht immer klar.

    Die Nutzer können daher den von Google festgelegten Überwachungsbereich nicht verstehen, obwohl diese Methoden "aufgrund der Anzahl der angebotenen Dienste (etwa 20), der Menge und der Art der verarbeiteten und zusammengeführten Daten" besonders massiv und aufdringlich sind ", bestätigte die französische Agentur.

    Google macht es Nutzern nicht klar, dass die ausdrückliche Zustimmung einer Person für die Datenerhebung erforderlich ist. Es scheint, dass Google das uneingeschränkte Recht hat, personenbezogene Daten zu erheben, und die Zustimmung des Nutzers ist nicht erforderlich.

    Der zweite Verstoß: Nichteinhaltung des Erfordernisses einer Rechtsgrundlage für die Verarbeitung von Personalisierung der Werbung . Die Kommission erkannte unbefriedigende Informationen und das Fehlen einer gültigen Einwilligung des Nutzers in die Datenverarbeitung für Werbeziele.

    Informationen zu den Verfahren "ermöglichen es dem Benutzer nicht, die Waage zu realisieren." Im Abschnitt "Personalisierung von Anzeigen" wird beispielsweise nicht über die Menge von Diensten, Websites, Anwendungen, die an der Datenverarbeitung beteiligt sind (Google-Suche, Youtube, Google Maps, Play Store, Google Foto usw.), und somit über die Menge der verarbeiteten und kombinierten Daten gesprochen . Das Experiment zeigte auch, dass die Einwilligung nicht "konkret" und "eindeutig" ist.

    Daraus wurde der Schluss gezogen, dass ein ständiger Verstoß gegen die DSGVO vorliegt. "Dies ist das erste Mal, dass CNIL die in den allgemeinen Datenschutzbestimmungen vorgesehene Höchststrafe anwendet", heißt es in der Mitteilung von CNIL.

    Jetzt auch beliebt: