DSGVO-Briefing

325 Mio. EUR für Google, 150 Mio. EUR für Shein: die CNIL spricht Bußgelder wegen Werbe-Setzung und Cookie-Speicherung aus, das EuG bestätigt den EU-US-Angemessenheitsbeschluss.

Werbeanzeigen in E-Mail-Postfächern ohne Zustimmung: Google muss 325 Mio EUR. zahlen.

Die französische Datenschutzbehörde CNIL ging nach einer Beschwerde der None Of Your Business (NOYB)-Organisation gegen Google LLC und Google Ireland Limited, beide Teil von Google, vor.

In den Postfächern des Google Mail-Dienstes schaltete das Unternehmen in einigen Ordnern Werbung zwischen den Nachrichten, der von der Aufmachung her den tatsächlich erhaltenen E-Mails sehr ähnlich war. Dies geschah ohne Zustimmung der Nutzenden und war nach Ansicht der CNIL somit unrechtmäßig.

Darüber hinaus drängte das Unternehmen seine Nutzer bei der Kontoeinrichtung dazu, Tracker zu aktivieren, und informierte nicht ausreichend über die geplante Nutzung. Damit waren erteilte Einwilligungen ungültig.

Setzen von Cookies ohne Nutzer-Einwilligung: 150 Mio. EUR-Bußgeld für Shein.

Die französische Datenschutzbehörde CNIL ging gegen Infinite Styles Services Co., die irische Niederlassung von Shein, vor. Beim Besuch der Shein-Webseite legte diese auf den Endgeräten der Nutzer Cookies ab, ohne hierfür die Zustimmung der Nutzer einzuholen. Erst danach wurden Informationsbanner zur Einwilligung angezeigt, doch diese enthielten unvollständige Daten. Lehnte ein User ab, speicherte die Seite trotzdem neue Cookies und las bereits abgelegte weiterhin aus.

EuG bestätigt: EU-US-Angemessenheitsbeschluss bleibt bestehen.

Philippe Latombe, ein französischer Staatsbürger und Mitglied der Nationalversammlung, hatte gegen den Angemessenheitsbeschluss zum EU-US Data Privacy Framework geklagt. Er bemängelte, dass das Data Protection Review Court (DPRC) kein zuvor durch ein Gesetz geschaffenes unabhängiges Gericht sei. Außerdem greife die massenhafte Datenerhebung durch US-Geheimdienste stark in die Grundrechte auf Privatleben und Datenschutz ein.

Das Gericht stellte klar, dass für die unionsrechtliche Prüfung nicht die formale Rechtsquelle entscheidend ist. Maßgeblich ist stattdessen, ob die US-Vorschriften materielle Garantien der Unabhängigkeit, Unparteilichkeit und effektiven gerichtlichen Kontrolle bieten. Nach Analyse der relevanten Regeln sowie der Verfahrensrechte kam es zum Ergebnis, dass die in Schrems II festgestellten Defizite behoben wurden und das DPRC gleichwertige Garantien bietet.

In Sachen geheimdienstliche Datenerhebung bekräftigte das Gericht, dass das Unionsrecht keine zwingende vorherige Genehmigungspflicht für Massenerhebungen vorsieht - zumindest, solange eine nachträgliche unabhängige Kontrolle, klare Rechtsgrundlagen sowie mehrschichtige Aufsichtsmechanismen bestehen. Diese sind in den USA gewährleistet.