Am 7.12.20 hat die Commission nationale de l’informatique et des libertés, die sogenannte CNIL, die Entscheidung über das bisher höchste Bußgeld, nämlich 100 Millionen Euro, in der Geschichte der französischen Datenschutzbehörde getroffen. Der Ausgangspunkt ist das Verhalten von Google, welches als Missachtung beziehungsweise Verletzung der Datenschutzrichtlinie für elektronische Kommunikation (Richtlinie 2002/58/EG) gilt. Der Sachverhalt des Verfahrens betrifft die Regelung der Cookie-Einwilligungen seitens der Suchmaschine, das Versäumnis die Nutzer/innen der Google Suchmaschine in Frankreich (google.fr) zu informieren, und das Versagen des Ablehnungsmechanismus und der Kontrolle von cookies. Fast 50 Millionen Benutzer/innen sind betroffen.
Das Bußgeld teilt sich in zwei Teile: 60 Millionen Euro gegen Google LLC und 40 Millionen Euro gegen die irische Tochtergesellschaft von Google. Nach Ansicht der CNIL sind die beiden Unternehmen gemeinsam haftbar und die CNIL hat sich territorial zuständig erklärt gemäß Artikel 3 des französischen Datenschutzgesetzes. Das Zurückgreifen auf cookies wäre demnach im „Rahmen der Aktivitäten“ der französischen Tochtergesellschaft von Google erfolgt, die die „Niederlassung“ der beiden Verurteilten auf französischem Gebiet bildet und dort ihre Produkte und Dienstleistungen bewirbt.
Darüber hinaus könnte das Bußgeld erhöht werden, da die Entscheidung der CNIL mit einem Zwangsgeld in Höhe von 100.000 € (einhunderttausend Euro) pro Verzugstag ab dem 7. März 2021 verbunden ist, wenn der an die CNIL zu übermittelnder Nachweis der Einhaltung nicht erbracht wird. Im Vergleich zu Googles Mutterkonzern Alphabet mit einem Umsatz von mehr als 161 Milliarden Dollar im Jahr 2019 wirkt diese Rekordstrafe in Europa nicht mehr sehr beeindruckend.
Die an dem heutigen Tag ausgesprochene Sanktion ist kein Einzelfall. Bereits am 21.1.2019 wurde ein Bußgeld seitens der CNIL gegenüber Google verhängt, damals belief sich der Betrag auf 50 Millionen Euro. Diese Beschwerde wurde ausgelöst durch die Verletzung der DSGVO, beziehungsweise der europäischen Datenschutz Grundverordnung, welche seit Mai 2018 in Kraft ist. Genauer gesagt handelte es sich um die Verarbeitung personenbezogener Daten von Google LLC (Limited Liability Company) in Verbindung mit dem Betriebssystem Android. Google argumentierte, dass das Verfahren in den Aufgabenbereich des irischen Pendants der CNIL zu fallen hat (gemäß Art.56 Abs. 1 DSGVO), wenn man bedenkt, dass der europäische Sitz des Unternehmens in Irland liegt. Jedoch erklärte sich die CNIL befugt und belegte dies mit der damaligen mangelnden Entscheidungsbefugnis der irischen Hauptniederlassung. (gemäß Art. 83 DS-GVO).
Zur Erinnerung: In Bezug auf Cookies hat die CNIL ihre Änderungsrichtlinien am 1. Oktober 2020 veröffentlicht und schätzt, dass die Frist für die Einhaltung der neuen Regeln nicht mehr als sechs Monate dauern sollte, d.h. bis spätestens Ende März 2021. Wir sind gespannt.
Link zur Entscheidung der CNIL
Quellen: