Die französische Datenschutzaufsichtsbehörde (Commission Nationale de l'Informatique et des Libertés – CNIL) hat am 21. Januar 2019 bekanntgegeben, dass sie ein Bußgeld in Höhe von 50 Millionen Euro gegen Google verhängt hat.
Die CNIL hatte die Untersuchung gegen Google nach mehreren Beschwerden bereits kurz nach Geltung der DSGVO eingeleitet. Im Rahmen der Untersuchung hat die CNIL bei Google zwei DSGVO-Verstöße festgestellt. Einerseits war die Datenschutzinformation von Google nicht transparent genug. Andererseits waren die von Google eingeholten Einwilligungserklärungen für die Verarbeitung der Daten für Werbezwecke nicht rechtmäßig, weil die Nutzer nicht ausreichend informiert waren.
Angesichts der möglichen Bußgeldhöhe von bis zu vier Prozent des weltweiten Jahresumsatzes des Google-Konzerns (im Jahr 2017 ca. 110 Milliarden Dollar) wirkt das Bußgeld mit 50 Millionen Euro eher gering. Der Vergleich zu dem bisher höchsten Datenschutzbußgeld in Europa (Italien) von knapp 6 Millionen Euro zeigt jedoch die klare Tendenz deutlich ansteigender Bußgelder.
Was können Unternehmen aus dem Bußgeld lernen?
Die von der CNIL festgestellten DSGVO-Verstöße von Google betreffen Bereiche, die in allen Unternehmen bei der DSGVO-Umsetzung höchste Priorität haben sollten, so die DSGVO-Experten Jan Peter Voß und Lukas Ströbel der avocado rechtsanwälte in einem jüngst veröffentlichten Newsletter. "Zwar werden die Datenschutzaufsichtsbehörden bei Unternehmen aus anderen Branchen sicherlich niedrigere Maßstäbe anlegen, als bei dem Suchmaschinenbetreiber. Jedoch werden Datenschutzaufsichtsbehörden auch bei der Prüfung anderer Unternehmen besonders auf die Einhaltung des Rechtmäßigkeitsprinzips und der Transparenzanforderungen der DSGVO achten," so die Einschätzung der Autoren.
Die deutschen Datenschutzaufsichtsbehörden gehen bislang bei der Verhängung von Bußgeldern maßvoll vor. Die bis jetzt höchste verhängte Einzelstrafe in Deutschland ist mit 80.000 Euro eher niedrig. Andere bekannt gewordene DSGVO-Bußgelder bewegten sich meist im unteren fünfstelligen Bereich. Anlass für Ermittlungsverfahren deutscher Datenschutzaufsichtsbehörden ist regelmäßig – wie bei Google auch – eine Beschwerde.
Künftig werden sich auch die deutschen Datenschutzaufsichtsbehörden wohl an höhere Bußgelder anderer EU-Behörden anpassen, so die Einschätzung der DSGVO-Experten. Ein wichtiger Hinweis für die Praxis: Unternehmen sollten bei der Risikobewertung die mit einem verhängten Bußgeld einhergehenden Kosten bedenken. "Das sind neben Verfahrenskosten und Imageschäden auch Kosten für die umgehende Beseitigung des DSGVO-Verstoßes", so die Experten der avocado rechtsanwälte.
Wie können sich Unternehmen vor DSGVO-Bußgeldern schützen?
"Angesichts der personellen Unterbesetzung der Datenschutzaufsichtsbehörden besteht mittelfristig die größte DSGVO-Bußgeldgefahr durch Beschwerden," so die Einschätzung der DSGVO-Experten. Daher die klare Empfehlung für die Praxis: Unternehmen sollten mit höchster Priorität die "sichtbaren" Anforderungen der DSGVO umsetzen. "Das betrifft bspw. die Erfüllung der Transparenzpflichten, den datenschutzkonformen Einsatz von Einwilligungserklärungen und die Benennung eines Datenschutzbeauftragten. Zudem sollten Unternehmen bereits vor einem möglichen Ermittlungsverfahren Pläne zum Umgang mit den Datenschutzaufsichtsbehörden vorbereiten. So kann es bei einem unstreitigen Datenschutzverstoß sinnvoll sein, vollständig mit der Behörde zu kooperieren (sog. Strafmaßverteidigung). Möchte das Unternehmen sich aber gegen Maßnahmen der Datenschutzaufsichtsbehörde wehren, kann es sinnvoll sein, von vornherein keinerlei Zugeständnisse zu machen," so die Empfehlung
Fazit
Das erste höhere Bußgeld der CNIL ist aus Sicht von Jan Peter Voß und Lukas Ströbel (avocado rechtsanwälte) nur ein Vorgeschmack auf die künftig weiter steigenden DSGVO-Bußgelder. Trotzdem brauchen Unternehmen in Deutschland nach dem verhängten Bußgeld in Frankreich nicht in Panik zu verfallen. Das jetzt verhängte Bußgeld gegen Google sollten Unternehmen zum Anlass nehmen, ihre aktuellen Verteidigungsmöglichkeiten gegen DSGVO-Bußgelder zu prüfen.
[Quelle: Eigener Text basierend auf einem Newsletter IT-Recht und Datenschutzrecht vom Januar 2019 der avocado rechtsanwälte, Frankfurt am Main]