Spanien: Datenschutzstrafe für Google

Weil Google personenbezogene Daten von Nutzern an Dritte weitergegeben hat, muss das Unternehmen in Spanien nun eine Millionenstrafe zahlen. Die Daten müssen gelöscht werden.

Die spanische Datenschutzbehörde AEPD hat am Mittwoch eine Strafe in Höhe von 10 Millionen Euro gegen Google verhängt. Die Behörde wirft dem Konzern vor, Daten von Nutzerinnen und Nutzern ohne Rechtsgrundlage an Dritte weitergegeben zu haben. Google muss nun nachbessern.

Nach der europäischen Datenschutzgrundverordnung (DSGVO) haben Nutzerinnen und Nutzer das Recht, ihre personenbezogenen Daten löschen zu lassen – das sogenannte Recht auf Vergessenwerden. Um sie aus den Google-Suchergebnissen entfernen zu lassen, müssen Nutzer einen Antrag über ein Online-Formular stellen. Die AEPD moniert nun, dabei übermittle Google Informationen an das Lumen-Projekt. Das an der Harvard-Universität in den USA angesiedelte Projekt sammelt Anträge zur Entfernung von Online-Inhalten in einer Datenbank. Google übertrage die E-Mail-Adresse der Nutzer, die angegebenen Löschgründe und die beanstandete Internetadresse an das Projekt.

Weil die Nutzer dieser Datenübermittlung nicht widersprechen können, sei dies ein Verstoß gegen die DSGVO. Außerdem werde die Datenübertragung nicht in den Datenschutzbestimmungen von Google erwähnt.

Recht auf Vergessenwerden

Die AEPD stellt fest, Ziel des Lumen-Projektes sei es, Anträge auf Entfernung von Inhalten öffentlich zugänglich zu machen. Weil die von den Nutzern angegebenen Informationen durch die Datenübermittlung in eine öffentliche Datenbank aufgenommen werden, stehe dies dem Recht auf Vergessenwerden entgegen – und somit der DSGVO.

Die spanischen Datenschützer kritisieren auch die Antragsformulare von Google: Mit einer Ausnahme enthielten diese keinen Verweis auf die DSGVO. Nutzer müssten zudem aus vorgegebenen Gründen für die Löschung auswählen. So könnten sie unbeabsichtigt eine Option ankreuzen, die sie in ein anderes Regelwerk bringe – bei der Google am Ende entscheidet, ob die DSGVO angewendet wird oder nicht.

Zusätzlich zu der verhängten Geldstrafe hat die Behörde Google angewiesen, das Verfahren zum Löschen personenbezogener Daten in Einklang mit der DSGVO zu bringen. Außerdem muss Google alle Daten löschen, die bei solchen Anträgen gesammelt wurden. Auch muss der Konzern das Lumen-Projekt auffordern, die übermittelten Daten zu löschen und nicht weiter zu verwenden.

Ein Google-Sprecher sagte der IT-Nachrichtenseite TechCrunch, das Unternehmen habe bereits damit begonnen, die Datenweitergabe an Lumen umzugestalten. Das Lumen-Projekt gab gegenüber der Nachrichtenseite an, die Daten nach einer Anfrage von Google gelöscht zu haben.

Datenschutzstrafen in Frankreich

Anfang des Jahres hatte auch die französische Datenschutzbehörde CNIL eine Strafe in Höhe von insgesamt 150 Millionen Euro gegen zwei Google-Tochterfirmen verhängt. Die CNIL hatte bemängelt, dass sich Cookies auf Googles Internetseiten zwar leicht akzeptieren, aber nur aufwendig ablehnen lassen. Eine “komplexere Ausgestaltung des Ablehnungsmechanismus” ermutige Nutzerinnen und Nutzer dazu, Cookies zu akzeptieren, anstatt sie abzulehnen.

Im April hatte Google dann angekündigt, seine Cookie-Banner mit einer Schaltfläche auszustatten, die alle Cookies ablehnt. Die Schaltfläche soll “Stück für Stück” in der Europäischen Union, der Schweiz und in Großbritannien eingeführt werden. (js)