Die französische Datenschutzbehörde CNIL hat Google erneut ins Visier genommen. In einer am 1. September 2025 veröffentlichten Entscheidung wirft sie dem Konzern mehrere Verstöße gegen die Datenschutz- und die ePrivacy-Verordnung vor. Es geht um zwei Themen, die für viele Unternehmen Alltag sind – aber rechtlich oft unterschätzt werden: Werbe-E-Mails und Cookies.

Was auf den ersten Blick nach einem Streit zwischen einem Tech-Giganten und einer Aufsichtsbehörde klingt, betrifft in Wahrheit jede Organisation, die E-Mail-Marketing betreibt oder Tracking-Technologien einsetzt.

Gmail-Werbung ohne Einwilligung

Den Stein ins Rollen brachten mehrere Beschwerden, unter anderem von der Datenschutzorganisation NOYB. Nutzerinnen und Nutzer hatten bemerkt, dass in ihrem Gmail-Posteingang E-Mails von Google als Nachrichten auftauchten, die in Wirklichkeit bezahlte Anzeigen waren.

Das Problem: Diese Werbung wurde angezeigt, ohne dass Nutzerinnen und Nutzer zuvor zugestimmt hatten. Nach Auffassung der CNIL handelt es sich dabei um unerlaubte Direktwerbung – und damit um einen Verstoß gegen die französischen ePrivacy-Regeln, vergleichbar mit der deutschen Regelung des UWG.

Auch bei der Nutzung von Cookies und ähnlichen Technologien sah die CNIL Verstöße. Beim Anlegen eines Google-Kontos oder der Nutzung bestimmter Dienste wurden Tracking-Techniken aktiviert, bevor eine gültige Einwilligung erteilt wurde. Das widerspricht dem Grundprinzip der freiwilligen und informierten Zustimmung, das sowohl in der Datenschutz-Grundverordnung (DSGVO) als auch in der französischen Datenschutzgesetzgebung verankert ist.

Gemeinsame Verantwortung von Google LLC und Google Ireland

Ein weiterer zentraler Punkt betrifft die Verantwortlichkeit. Nach Auffassung der CNIL teilen sich Google LLC (die US-Muttergesellschaft) und Google Ireland Limited (die europäische Tochter) die Verantwortung für die beanstandeten Datenverarbeitungen.

Google Ireland ist für das operative Geschäft in der EU zuständig, während die US-Mutter maßgeblich an der technischen Gestaltung und den Entscheidungen über die Datenverarbeitung beteiligt ist. Beide bestimmen also gemeinsam Zweck und Mittel der Verarbeitung – und sind damit auch gemeinsam haftbar.

Sanktionen und Folgen

Die CNIL verhängte eine Verwaltungsstrafe von insgesamt 325 Millionen Euro– und ordnete außerdem an, dass Google seine Verfahren anpassen muss.

Dazu gehört, Einwilligungen korrekt einzuholen, Nutzer transparenter zu informieren und den Einsatz von Cookies rechtskonform zu gestalten.

Außerdem ordnete die Behörde an, die Entscheidung öffentlich zugänglich zu machen. Nach zwei Jahren kann der Name des Unternehmens aus der Veröffentlichung entfernt werden – ein üblicher Mechanismus, um Datenschutzverstöße sichtbar zu machen, ohne sie dauerhaft an den Pranger zu stellen.

Formale Streitpunkte und rechtliche Rahmenbedingungen

Im Verfahren hatte Google zusätzlich gerügt, die CNIL habe Verfahrensfehler begangen – etwa, dass Mitarbeitende nicht über ihr Recht zu schweigen informiert worden seien.

Die Behörde wies diese Einwände zurück. Zwar hatte der französische Verfassungsrat im Juli 2025 entschieden, dass Befragte künftig ausdrücklich über ihr Schweigerecht informiert werden müssen, doch die Umsetzung dieser Regel wurde bis Oktober 2026 aufgeschoben. Damit bleibt das Vorgehen der CNIL in diesem Verfahren rechtmäßig.

Warum diese Entscheidung wichtig ist

Die Entscheidung der CNIL ist weit mehr als ein Einzelfall. Sie zeigt, dass ePrivacy-Regeln – also die Vorschriften zur elektronischen Kommunikation – eigene Durchsetzungskraft haben. Unternehmen können sich nicht darauf berufen, nur der zentralen Aufsicht einer EU-Behörde zu unterliegen. Nationale Datenschutzstellen wie die CNIL dürfen sehr wohl einschreiten, wenn lokale Nutzer betroffen sind.

Zugleich betont die Entscheidung, wie wichtig transparente Einwilligungen sind. Ob Cookie-Banner, Newsletter oder Werbe-Mail: Ohne klare Zustimmung der Nutzer drohen empfindliche Sanktionen.

Was Unternehmen jetzt tun sollten

Für Unternehmen in der EU – und insbesondere in Frankreich – ist diese Entscheidung ein Warnsignal.

Jede Organisation, die E-Mail-Marketing, Kundenkommunikation oder Nutzer-Tracking betreibt, sollte ihre Prozesse überprüfen. Das bedeutet konkret:

  • Einwilligungen müssen klar, aktiv und freiwillig erteilt werden.
  • Nutzer müssen wissen, welche Daten verarbeitet werden und zu welchem Zweck.
  • Werbung darf nur dann versendet oder angezeigt werden, wenn die rechtlichen Voraussetzungen erfüllt sind.
  • Nationale Aufsichtsbehörden können auch dann tätig werden, wenn ein Unternehmen seinen europäischen Hauptsitz in einem anderen Land hat.

Fazit: Datenschutz als Teil der digitalen Verantwortung

Mit der Entscheidung SAN-2025-004 setzt die CNIL ein deutliches Signal: Datenschutz ist kein formales Häkchen in der Compliance-Liste, sondern eine Verpflichtung, die jede digitale Interaktion prägt.

Google mag der prominenteste Fall sein, aber die Botschaft richtet sich an alle: Datenschutz, Transparenz und Nutzerkontrolle sind zentrale Pfeiler digitaler Kommunikation.

| | , | , , , , , ,