Die französische Datenschutzbehörde hat drei große Unternehmen, Google, Shein und PayPal, zusammen 486 Millionen Euro wegen Verstößen gegen das nationale Datenschutzgesetz zur Nutzung personenbezogener Daten bestraft. Die Strafen folgen auf Untersuchungen darüber, wie die Unternehmen Informationen von den Geräten der Nutzer zu Werbe- und Analysezwecken gesammelt und geteilt haben, ohne ausreichende rechtliche Grundlage oder Transparenz.
Die französische Datenschutzbehörde, Commission Nationale de l’Informatique et des Libertés (CNIL), erklärte, dass Googles Geldstrafe von 250 Millionen Euro mit der Nutzung von von Android-Geräten der Nutzer gesammelten Daten für gezielte Werbung zusammenhänge. CNIL stellte fest, dass Google für bestimmte Verarbeitungsvorgänge keine gültige Zustimmung der Nutzer eingeholt hatte und keine klaren und zugänglichen Informationen zu diesen Aktivitäten bereitgestellt hatte.
Shein, der Online-Modehändler, erhielt eine Geldstrafe von 150 Millionen Euro im Zusammenhang mit seiner mobilen Anwendung und Website. CNIL erklärte, es habe Mängel festgestellt, wie Shein die Nutzer über die Sammlung persönlicher Informationen informierte und wie diese Daten für personalisiertes Marketing genutzt wurden. Die Aufsichtsbehörde nannte außerdem unzureichende Mechanismen zur Einholung der Zustimmung der Nutzer.
PayPal wurde mit einer Geldstrafe von 86 Millionen Euro für Datenpraktiken verurteilt, die die Verarbeitung von Nutzerdaten ohne angemessene rechtliche Grundlage und das Versäumnis, ausreichende Transparenz beim Austausch personenbezogener Daten mit Dritten zu gewährleisten. CNIL erklärte, dass die Verstöße Nutzer in ganz Frankreich betrafen und wies darauf hin, dass das Strafmaß sowohl das Ausmaß der Geschäftstätigkeiten der Unternehmen als auch die Dauer der nicht konformen Bearbeitung widerspiegele.
Nach der Datenschutzverordnung der EU (DSGVO) und dem nationalen Datenschutzgesetz Frankreichs müssen Organisationen den Nutzern klare Informationen darüber geben, wie ihre personenbezogenen Daten erhoben, verarbeitet und geteilt werden. CNIL erklärte, dass die Datenschutzhinweise und Einwilligungsmechanismen der Unternehmen diese Anforderungen nicht erfüllten.
CNIL erklärte, es habe Faktoren wie die Anzahl der betroffenen Nutzer, die Art der betreffenden Daten und die Dauer der Verstöße bei der Festlegung der Höhe jeder Strafe berücksichtigt. Die Aufsichtsbehörde setzte außerdem Fristen für die Unternehmen, um ihre Datenverarbeitungspraktiken in Einklang zu bringen, und warnte, dass weitere Sanktionen folgen könnten, falls die Probleme bestehen.
Alle drei Unternehmen gaben an, die Entscheidungen zu überprüfen und möglicherweise Aspekte der Ergebnisse anzufechten. Google erklärte, dass es sich dem Datenschutz der Nutzer verpflichtet und seine Richtlinien und Tools kontinuierlich aktualisiert. Shein sagte, sie arbeite mit Regulierungsbehörden in Kontakt und arbeite daran, ihre Praktiken an das geltende Recht anzupassen. PayPal erklärte, dass es den Datenschutz ernst nimmt und die Entscheidung prüfen wird.
Datenschutzbefürworter begrüßten die Bußgelder als Bekräftigung der Autorität der Regulierungsbehörden, Transparenz- und Einwilligungsanforderungen durchzusetzen. Sie sagten, klare und zugängliche Informationen über die Datennutzung seien für die Kontrolle des Nutzers über persönliche Informationen in digitalen Diensten unerlässlich.
Die Maßnahme von CNIL ist Teil einer umfassenderen regulatorischen Initiative in Europa in diesem Jahr, um Technologie- und E-Commerce-Plattformen für die Datenschutzpraktiken der Nutzer zur Rechenschaft zu ziehen. Die Durchsetzung der DSGVO und der damit verbundenen nationalen Regeln hat die Kontrolle darüber verstärkt, wie Unternehmen persönliche Daten für Werbung, Analysen und personalisierte Dienstleistungen nutzen.