Gericht bestätigt 50-Millionen-Bußgeld gegen Google

Im Januar 2019 verhängte die französische Datenschutzaufsichtsbehörde CNIL das bis heute höchste Bußgeld wegen Verstößen gegen die Datenschutz-Grundverordnung: Google sollte eine Geldbuße in Höhe von 50 Mio. Euro wegen der Verwendung mangelhafter bzw. intransparenter Datenschutzhinweise entrichten. Insbesondere hatte die CNIL beanstandet, dass die Nutzer nicht ausreichend über personalisierte Werbung aufgeklärt würden, die Datenschutzhinweise sich über eine Vielzahl an Dokumenten erstrecke und nicht ersichtlich sei, wie der Konzern erhobene Daten verarbeite und für wie lange er sie speichere.

Das höchste französische Verwaltungsgericht, der Conseil d’Etat, hat die Beschwerde von Google gegen das Bußgeldverfahren der CNIL zurückgewiesen. Zentraler Streitpunkt des gerichtlichen Verfahrens war die Frage, ob die CNIL überhaupt für die Bußgeldverhängung zuständig war, da Google in Europa vor allem über eine irische Tochtergesellschaft in Erscheinung tritt. Nach dem sog. „One-Stop-Shop“-Mechanismus ist für Unternehmen in der Europäischen Union grundsätzlich nur die Aufsichtsbehörde am Sitz des Unternehmens zuständig – im Falle der Google Ireland Ltd. also die irische Datenschutzaufsicht.

Das Gericht schloss sich der Ansicht der französischen Aufsichtsbehörde an, dass die Datenschutzverstöße nicht von der irischen Niederlassung, sondern von der in den USA ansässigen Mutter, der Google LLC, begangen wurden. Für Unternehmen, die nicht in der Europäischen Union niedergelassen sind, ist „One-Stop-Shop“ nicht anwendbar, woraus folge, dass die CNIL zum Handeln berechtigt gewesen sei. Damit bleibt das Bußgeld aufrechterhalten. Für Google ist das Bußgeld dennoch vergleichsweise gering: Das zulässige Maximalbußgeld, welches sich nach dem Jahresumsatz richtet, entspricht ca. 3,7 Mio. Euro.