DSGVO-Bußgelder gegen Google

Die (CNIL), Frankreichs Datenschutzbehörde (DPA), hat eine Geldbuße in Höhe von 50 Millionen Euro ($57 Millionen) gegen Google verhängt, weil es gegen die Transparenz-, Informations- und Einwilligungsanforderungen der DSGVO bei der Bereitstellung gezielter Werbung verstoßen hat. Das bisher größte Bußgeld der DSGVO und das erste, an dem ein US-Technologieunternehmen beteiligt war, wurde am 21. Januar 2019 verhängt.

Die Untersuchung der CNIL wurde durch Beschwerden von zwei Interessengruppen, None of Your Business und La Quadrature du Net, ausgelöst, die unmittelbar am 25. Mai 2018, dem Datum des Inkrafttretens der DSGVO, eingereicht wurden. Die Beschwerden behaupteten eine „erzwungene Zustimmung“, durch die Benutzer von Android-betriebenen Mobilgeräten den gesamten Datenschutzrichtlinien und Nutzungsbedingungen von Google zustimmen mussten, bevor sie das Android-Gerät verwenden konnten. Google fehlt eine Rechtsgrundlage, um personenbezogene Daten von Nutzern im Zusammenhang mit personalisierter Werbung zu verarbeiten.

Warum eine Geldstrafe von 50 Millionen Euro?

Die CNIL stützte sich bei der Verhängung ihrer Geldbuße in Höhe von 50 Millionen Euro auf vier Faktoren.

1. Art der Verstöße in Bezug auf Rechtmäßigkeit (Art. 6) und Transparenz (Art. 12 und 13), die beide Kernprinzipien der DSGVO sind und als Auslöser der höchsten Bußgeldschwelle (von 4% of International Revenue) in der DSGVO aufgeführt sind ( Art. 83.5).
2. Weil die Verstöße nach dem Datum des Inkrafttretens der DSGVO kontinuierlich und andauernd waren.
3. Die Verarbeitungszwecke, deren Umfang und die Anzahl der betroffenen Personen.
   • Die Untersuchung der CNIL konzentrierte sich auf Nutzer, die beim Einrichten ihres Android-Geräts ein Google-Konto erstellten, und stellte fest, dass es sich dabei um eine sehr große Anzahl von Personen handelt.
   • Sie behaupten, dass die Verarbeitung aufgrund des dominierenden Marktanteils von Android auf dem französischen Smartphone-Markt und der Anzahl der Smartphone-Nutzer in Frankreich enorm ist.
   • Auch angesichts der Anzahl der beteiligten Google-Dienste (mehr als zwanzig).
     • Die Vielfalt und Art der beteiligten Daten
     • Die vielfältigen technologischen Prozesse, die es Google ermöglichen, Daten aus verschiedenen Diensten, Anwendungen oder externen Quellen zu kombinieren und zu analysieren.
     • Diese Prozesse haben unbestreitbar einen „Multiplikationseffekt“ auf das Wissen des Unternehmens über seine Nutzer.
     • Das Unternehmen verfügt über die Mittel für potenziell unbegrenzte Kombinationen, die eine massive und aufdringliche Nutzung von Verbraucherdaten ermöglichen.
4. Betrachtet man die Verstöße aus der Perspektive des Wirtschaftsmodells von Google,
   • Die Verarbeitung von Nutzerdaten zu Werbezwecken über Android.
   • Vorteile, die Google aus dieser Verarbeitung erlangt,
   • CNIL stellte fest, dass Google in Bezug auf seine Verantwortlichkeiten gemäß der DSGVO besonders vorsichtig sein muss.

Die CNIL sagt nicht, wie sie auf den Betrag von 50 Millionen Euro gekommen ist, weist jedoch darauf hin, dass diese Verstöße der Höchststrafe 4% der DSGVO unterliegen würden. Das Bußgeld basierte auf dem weltweiten Umsatz von Google im Jahr 2017 in Höhe von 96 Milliarden Euro. Es ist klar, dass die CNIL nicht die Höchststrafe verhängt hat. Abgesehen davon, dass die Geldbuße von 50 Millionen Euro „gerechtfertigt“ war. Die CNIL liefert keine Begründung für diesen Ausgangsbetrag oder wie die oben genannten Faktoren den Betrag beeinflusst haben.

2018 Entscheidungen & Bußgelder

Dieser Fall gegen Google stellt die erste veröffentlichte Durchsetzungsmaßnahme der CNIL dar, ausdrücklich gemäß der DSGVO, und die größte Geldbuße, die sie jemals verhängt hat. Es hebt auch die Prüfung der CNIL in Bezug auf Mitteilungen und Einwilligungen in der Online-Werbung hervor, die sich in den letzten Monaten aufgebaut hatte, wie andere aktuelle CNIL-Entscheidungen belegen.

Diese Geldbuße kommt einen Monat, nachdem die italienische Datenschutzbehörde Facebook eine Geldstrafe von 10 Millionen Euro wegen Irreführung seiner eigenen Nutzer über Datenpraktiken auferlegt hat. Die Aufsichtsbehörde sagte, Facebook habe zu Unrecht den kostenlosen Charakter des Dienstes betont, ohne die Nutzer darüber zu informieren, dass ihre Daten zur Erzielung von Gewinnen für das Unternehmen verwendet würden.

Google war nicht das erste DSGVO-Bußgeld, sondern das bisher größte.

Das erste Bußgeld wurde im Oktober 2018 in Österreich verhängt, obwohl es nicht streng mit der Verarbeitung personenbezogener Daten zusammenhängt. Ein Wettbüro erhielt ein Bußgeld von 4.800 € für eine Überwachungskamera, die einen Teil des Gehwegs im Freien aufzeichnete, da eine großflächige Überwachung öffentlicher Räume nach der DSGVO nicht zulässig ist.

Ende Oktober wird die Comissão Nacional de Protecção de Dados (Nationale Datenschutzkommission) in Portugal verhängte drei Bußgelder gegen das Hospital do Barreiro: Dies sind die ersten Bußgelder im Zusammenhang mit der Verarbeitung und Speicherung personenbezogener Daten. Zwei Sanktionen in Höhe von 150.000 Euro und eine weitere in Höhe von 100.000 Euro. Die Gesamtkosten für das Krankenhaus beliefen sich auf 400.000 Euro. Die ersten beiden Bußgelder in Höhe von 150.000 Euro betrafen einen Verstoß gegen den Grundsatz der Datenintegrität und -vertraulichkeit sowie einen Verstoß gegen den Grundsatz der Datenminimierung, der theoretisch den wahllosen Zugriff auf Daten verhindert. 985 Ärzte verfügten über aktive Konten im System, die ihnen Zugriff auf klinische Akten ermöglichten, während das Krankenhaus zum Zeitpunkt der Inspektion nur 296 aktive Ärzte hatte.

Die dritte Geldbuße bezog sich auf die Unfähigkeit des Krankenhauses als Datenverantwortlicher, die Vertraulichkeit und Integrität der Daten seiner Kunden und Patienten zu gewährleisten.

Mitte November startete ein soziales Netzwerk in Deutschland, Knuddels.de, erhielt 20.000 € gut nach einem Hack, bei dem 808.000 E-Mail-Adressen zusammen mit über 1,8 Millionen Benutzernamen und Passwörtern durchgesickert sind. Diese Informationen wurden dann unverschlüsselt online veröffentlicht. Das soziale Netzwerk reagierte darauf, dass es nach der Entdeckung des Leaks sofort seine Sicherheitsmaßnahmen verbessert habe.

Nach dem Vorfall wurde festgestellt, dass die Website keinerlei Schutz für ihre sensiblen Informationen hatte. Laut LfDI Baden-Württemberg, der mit diesem Fall befassten deutschen Datenschutzbehörde, war einer der Gründe dafür, dass die Website ein „relativ niedriges“ Bußgeld erhalten hat, dass sie transparent gehandelt und Sicherheitsverbesserungen schnell implementiert hat.

Höhere Bußgelder für 2019 erwartet

Die Wirtschaftssanktionen sind bisher eindeutig konservativ im Vergleich zu den maximal zulässigen Strafen, aber mit der jüngsten Flut von hochkarätigen Datenlecks von Marriott, British Airways, und Quote Es wird nicht lange dauern, bis größere und härtere Bußgelder auftauchen.

Wie können Sie DSGVO-Bußgelder vermeiden?

Was können Sie tun, um ein Bußgeld in Millionenhöhe zu vermeiden? Das Wichtigste, was Sie beachten sollten, ist, dass Vorbeugen besser ist als Heilen. Indem man angemessen ist Schutz vor Datenlecks Für die von Ihrem Unternehmen verwalteten personenbezogenen Daten können Sie Sanktionen und Bußgelder vermeiden.

• Beginnen Sie damit, festzustellen, ob Online-Speicher oder Prim die richtige Lösung für Ihre Anforderungen ist

• Kontrollieren, wer Zugriff darauf hat

• Beachten Sie, dass, wenn Sie Sync and Share anstelle von a verwenden Dateifreigabelösung für private Clouds, Sie haben gerade die Datenmenge, die Sie haben, verdoppelt, und Sie haben auch die # an Standorten verdoppelt, die Sie verteidigen müssen. Plus einer dieser Orte, über die Sie keine Kontrolle haben.

• Komplexität verringert die Sicherheit. Je komplexer eine Lösung ist, desto weniger wird sie verwendet.