Die französische Datenschutzaufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés – CNIL) hat am 21.01.2019 bekanntgegeben, dass sie ein Bußgeld in Höhe von 50 Millionen Euro gegen Google verhängt hat.
Das Google-Bußgeld
Die CNIL hatte die Untersuchung gegen Google nach mehreren Beschwerden bereits kurz nach Geltung der DSGVO eingeleitet. Im Rahmen der Untersuchung hat die CNIL bei Google zwei DSGVO-Verstöße festgestellt. Einerseits war die Datenschutzinformation von Google nicht transparent genug. Andererseits waren die von Google eingeholten Einwilligungserklärungen für die Verarbeitung der Daten für Werbezwecke nicht rechtmäßig, weil die Nutzer nicht ausreichend informiert waren.
Angesichts der möglichen Bußgeldhöhe von bis zu vier Prozent des weltweiten Jahresumsatzes des Google-Konzerns (im Jahr 2017 ca. 110 Milliarden Dollar) wirkt das Bußgeld mit 50 Millionen Euro eher gering. Der Vergleich zu dem bisher höchsten Datenschutzbußgeld in Europa (Italien) von knapp 6 Millionen Euro zeigt jedoch die klare Tendenz deutlich ansteigender Bußgelder.
Was können Unternehmen aus dem Bußgeld lernen?
Die von der CNIL festgestellten DSGVO-Verstöße von Google betreffen Bereiche, die in allen Unternehmen bei der DSGVO-Umsetzung höchste Priorität haben sollten. Zwar werden die Datenschutzaufsichtsbehörden bei Unternehmen aus anderen Branchen sicherlich niedrigere Maßstäbe anlegen, als bei dem Suchmaschinenbetreiber. Jedoch werden Datenschutzaufsichtsbehörden auch bei der Prüfung anderer Unternehmen besonders auf die Einhaltung des Rechtmäßigkeitsprinzips und der Transparenzanforderungen der DSGVO achten.
Müssen auch Unternehmen in Deutschland mit Millionen-Bußgeldern rechnen?
Die deutschen Datenschutzaufsichtsbehörden gehen bislang bei der Verhängung von Bußgeldern maßvoll vor. Die bis jetzt höchste verhängte Einzelstrafe in Deutschland ist mit 80.000 Euro eher niedrig. Andere bekannt gewordene DSGVO-Bußgelder bewegten sich meist im unteren fünfstelligen Bereich. Anlass für Ermittlungsverfahren deutscher Datenschutzaufsichtsbehörden ist regelmäßig – wie bei Google auch – eine Beschwerde.
Künftig werden sich auch die deutschen Datenschutzaufsichtsbehörden wohl an höhere Bußgelder anderer EU-Behörden anpassen. Zudem sollten Unternehmen bei der Risikobewertung die mit einem verhängten Bußgeld einhergehenden Kosten bedenken. Das sind neben Verfahrenskosten und Imageschäden auch Kosten für die umgehende Beseitigung des DSGVO-Verstoßes.
Wie können sich Unternehmen vor DSGVO-Bußgeldern schützen?
Angesichts der personellen Unterbesetzung der Datenschutzaufsichtsbehörden besteht mittelfristig die größte DSGVO-Bußgeldgefahr durch Beschwerden. Deshalb sollten Unternehmen mit höchster Priorität die „sichtbaren“ Anforderungen der DSGVO umsetzen. Das betrifft beispielsweise die Erfüllung der Transparenzpflichten, den datenschutzkonformen Einsatz von Einwilligungserklärungen und die Benennung eines Datenschutzbeauftragten.
Zudem sollten Unternehmen bereits vor einem möglichen Ermittlungsverfahren Pläne zum Umgang mit den Datenschutzaufsichtsbehörden vorbereiten. So kann es bei einem unstreitigen Datenschutzverstoß sinnvoll sein, vollständig mit der Behörde zu kooperieren (sog. Strafmaßverteidigung). Möchte das Unternehmen sich aber gegen Maßnahmen der Datenschutzaufsichtsbehörde wehren, kann es sinnvoll sein, von vornherein keinerlei Zugeständnisse zu machen.
Fazit
Das erste höhere Bußgeld der CNIL ist sicherlich nur ein Vorgeschmack auf die künftig weiter steigenden DSGVO-Bußgelder. Trotzdem brauchen Unternehmen in Deutschland nach dem verhängten Bußgeld in Frankreich nicht in Panik zu verfallen. Das jetzt verhängte Bußgeld gegen Google sollten Unternehmen zum Anlass nehmen, ihre aktuellen Verteidigungsmöglichkeiten gegen DSGVO-Bußgelder zu prüfen.