Google wegen Verstoßes gegen das Datenschutzgesetz sanktioniert
Am 7. Dezember letzten Jahres sanktioniert die CNIL Google in Höhe von 100 Millionen Euro wegen Verstoßes gegen die französische Cookie-Gesetzgebung:

Auf der Suchmaschine von Google hat die CNIL drei Verstöße gegen Artikel 82 des Datenschutzgesetzes festgestellt (Umsetzung der Richtlinie „ePrivacy“):
- Das Setzen von Cookies ohne vorherige Einholung der Einwilligung des Nutzers: Mehrere Cookies, die einem Werbezweck dienten, wurden automatisch gesetzt, wenn der Nutzer google.fr aufrief (Cookies, die für den Dienst nicht unbedingt erforderlich sind).
- Eine unzureichende Information der Nutzer der Suchmaschine google.fr: Das Informationsbanner enthielt keine Informationen zu Cookies.
- Das teilweise Versagen des „Widerspruchs“-Mechanismus: Die Deaktivierung der personalisierten Werbung hatte keine Auswirkung auf eines der Werbe-Cookies.
Die Suchmaschine, die Cash Cow von Google
Auch wenn Google eine Vielzahl von Diensten anbietet, erwirtschaftet seine Suchmaschine nach wie vor den Großteil seiner Einnahmen:
![]()
Im 4. Quartal 2020 erwirtschaftete die Google-Suche 56 % der Einnahmen. Partnerseiten, YouTube, Google Play oder Google Cloud machen einen nicht unerheblichen Teil der Einnahmen aus, sind aber deutlich weniger rentabel.
Die Suche ist für Google von strategischer Bedeutung, sie hat es dem Unternehmen ermöglicht, seinen Überwachungskapitalismus in zahlreichen Bereichen durchzusetzen:
- Die Vorherrschaft bei der Suche ermöglichte es ihm, auch im Adtech-Bereich dominant zu werden, vgl. „Googles Vorherrschaft auf den Werbemärkten“.
- Diese Vorherrschaft wird durch die Nutzung Ihrer personenbezogenen Daten ohne echte Einwilligung erleichtert, vgl. „Google verknüpft Ihre Surfdaten mit Ihren persönlichen Daten, und das lässt sich kaum vermeiden“.
- Google ermöglicht es auch Dritten, Sie zu überwachen, selbst wenn Sie Vorsichtsmaßnahmen treffen, vgl. „Google Tag Manager, die neue Waffe gegen Adblocker“.
- Die durch seine Suchmaschine erzielten Einnahmen haben es Google ermöglicht, in vielen Bereichen dominant zu werden, vgl. „Die Google-Dienste, die Ihre persönlichen Daten erfassen, und die Alternativen“.
Google gegenüber der CNIL
Wir haben also:
- Auf der einen Seite das Gesetz, das die Privatsphäre der Internetnutzer schützen soll und hier durch eine Sanktion der CNIL Gestalt annimmt.
- Auf der anderen Seite die Nutzung Ihrer personenbezogenen Daten beim strategisch wichtigsten Dienst von Google, seiner Suchmaschine.
Wer wird gewinnen?
In ihrer Sanktion hält die CNIL zwei Punkte fest:
- Seit einem Update vom September 2020 setzt Google die Werbe-Cookies nicht mehr automatisch, sobald der Nutzer auf die Seite google.fr gelangt.
- Das neue Informationsbanner ermöglicht es den in Frankreich ansässigen Nutzern noch immer nicht, die Zwecke zu verstehen, für die Cookies verwendet werden, und informiert sie nicht darüber, dass sie diese Cookies ablehnen können.
Die CNIL weist darauf hin, dass Google drei Monate Zeit hat, um die Nutzer korrekt zu informieren, andernfalls droht ein Zwangsgeld von 100.000 Euro pro Tag der Verzögerung. Schauen wir uns nun an, was beim ersten Besuch auf google.fr passiert.
Google setzt das automatische Setzen von Werbe-Cookies fort
Beginnen wir unsere Untersuchung auf google.fr:
- Deaktivieren Sie Ihren Adblocker.
- Löschen Sie die Cookies in Chrome (Einstellungen > Erweiterte Einstellungen > Browserdaten löschen), damit Sie von Ihrem Google-Konto abgemeldet sind.
- Öffnen Sie die Chrome-Konsole (⌘+Wahl+J auf dem Mac, Strg, Umschalt und J auf dem PC), Reiter „Network“, oder starten Sie Charles Proxy.
- Gehen Sie dann auf google.fr.
![]()
Wie Sie sehen, liefert das Informationsbanner nun Informationen zu Cookies, ermöglicht es jedoch nicht, das Setzen nicht unbedingt erforderlicher Cookies einfach abzulehnen.
Was sagt das Gesetz? Um die CNIL zu zitieren: Eine Einwilligung ist nur dann gültig, wenn die Person eine echte Wahl trifft. Insbesondere „muss der Nutzer das Setzen und/oder Lesen von Cookies mit demselben Maß an Einfachheit akzeptieren oder ablehnen können“. Das ist hier eindeutig nicht der Fall.
Hört Google tatsächlich auf, Werbe-Cookies automatisch zu setzen, sobald der Nutzer auf die Seite google.fr gelangt, wie die CNIL erklärt? Schauen wir uns die Anfragen mit Charles Proxy an:
![]()
Wie man sieht, setzt Google das Cookie NID bereits bei der Ankunft auf google.fr. Wozu dient dieses Cookie? Laut Googles eigenen Worten:
Wir verwenden Cookies wie „NID“ und „SID“, um Anzeigen auf Google-Websites zu personalisieren, etwa der Google-Suche. Sie dienen uns zum Beispiel dazu, uns Ihre letzten Suchanfragen, Ihre früheren Interaktionen mit den Suchergebnissen oder den Anzeigen eines Werbetreibenden sowie Ihre Besuche auf der Website eines Werbetreibenden zu merken. Dadurch können wir Ihnen auf Google personalisierte Anzeigen präsentieren.
Google teilte der CNIL außerdem mit, dass das Cookie NID einen Werbezweck verfolgt (vgl. die Entscheidung, Randnummer 99):
Der Sanktionsausschuss stellt fest, dass das Unternehmen GIL in seinem Schreiben vom 30. April 2020 angegeben hat, dass vier der sieben gesetzten Cookies, nämlich die Cookies NID, IDE, ANID und 1P_JAR, einen Werbezweck verfolgen.
Und doch betont die CNIL, dass Google diese Praxis eingestellt hat (Randnummer 102):
Sie betont jedoch, dass die Unternehmen während des Sanktionsverfahrens Änderungen an der Seite google.fr vorgenommen haben, die seit dem 10. September 2020 insbesondere dazu führten, dass diese vier Cookies nicht mehr automatisch gesetzt wurden, sobald der Nutzer auf der Seite ankam.
Wurde die Kontrolle der CNIL korrekt durchgeführt? Wie dem auch sei, Google verstößt weiterhin gegen das Gesetz, vgl. die Website der CNIL:
Die Einwilligung muss dem Setzen und/oder Lesen von Cookies vorausgehen. Solange die Person ihre Einwilligung nicht erteilt hat, dürfen Cookies nicht auf ihrem Endgerät gesetzt oder gelesen werden.
Fallstricke im Einwilligungsparcours von Google
Das Informationsbanner von Google sagt uns:
Wenn Sie zustimmen, personalisieren wir die Inhalte und Anzeigen, die Sie sehen, anhand Ihrer Aktivität in den Google-Diensten wie der Suche, Maps und YouTube. [...] Klicken Sie auf „Weitere Informationen“, um die Optionen zu entdecken, die Ihnen zur Verfügung stehen
Wenn ich auf „Weitere Informationen“ klicke, gelange ich zu einem neuen Informationsfenster:
![]()
Google führt hier die verarbeiteten personenbezogenen Daten, die Zwecke sowie die Datenschutzeinstellungen auf. Beachten Sie auch hier die Schaltflächen „Ich stimme zu“ und „Weitere Optionen“: Google ermöglicht es noch immer nicht, das Setzen nicht notwendiger Cookies abzulehnen.
An dieser Stelle könnten Sie sich im Parcours von Google verlieren und auf „Weitere Optionen“ klicken, in der Hoffnung, „schnell“ auf die Option zum Ablehnen des Werbe-Trackings zu stoßen. Sie werden diesen Bildschirm sehen:
![]()
Dort bietet Google mehrere Optionen:
- Datenschutzeinstellungen anpassen: Das ist die richtige Option! Sie müssen auf „Passen Sie Ihre Einstellungen jetzt an“ klicken.
- Cookies im Browser konfigurieren: eine Option, die Google nicht empfiehlt: „Sie können einen Teil oder alle Cookies blockieren, dies kann jedoch verhindern, dass bestimmte Funktionen im Web ausgeführt werden. So setzen beispielsweise viele Websites aktivierte Cookies voraus, wenn Sie sich dort anmelden möchten.“.
- Ein Add-on installieren, um das Tracking durch Google Analytics zu deaktivieren: Google Analytics ist leider bei Weitem nicht das einzige Werkzeug, mit dem Google Sie im Web überwacht (Google überwacht Sie in erster Linie über Werbung). Es versteht sich von selbst, dass jemand, der um seine Privatsphäre besorgt ist, lieber einen Adblocker verwenden wird.
- Sich bei Ihrem Google-Konto anmelden: damit Sie diesen Hinweis nicht mehr sehen! Google gibt nämlich an: „Wenn Sie regelmäßig die Cookies Ihres Browsers löschen, erhalten Sie diesen Datenschutzhinweis weiterhin, da wir nicht wissen können, dass Sie ihn bereits gesehen haben“. Der Nachteil, wenn man Sie standardmäßig überwacht: Ohne Cookies geht Google davon aus, dass es das Recht hat, Sie zu überwachen!
Was passiert, wenn Sie auf „Passen Sie Ihre Einstellungen jetzt an“ klicken? Sie kehren zum vorherigen Schritt zurück! Aber Sie haben nicht genau genug aufgepasst: Der Schritt enthält Links zum Ändern der Einstellungen:
![]()
Der Hindernisparcours ist noch nicht vorbei.
16 zusätzliche Klicks, um die Überwachung abzulehnen
Klicken wir also auf „Sucheinstellungen ändern“:
![]()
Entfernen wir also das Häkchen bei „Suchanfragen speichern“, klicken dann auf „Zurück“ und schließlich auf „Anzeigeneinstellungen ändern“:
![]()
Hier müssen Sie die Häkchen bei „Personalisierung von Anzeigen in der Google-Suche“ und „Personalisierung von Anzeigen im Web“ entfernen. Da diese Einstellungen standardmäßig aktiviert sind, erlaubt sich Google, Sie auf den „mehr als zwei Millionen Partner-Websites von Google zur Auslieferung von Anzeigen“ zu überwachen.
Wenn Sie das Häkchen bei „Personalisierung von Anzeigen in der Google-Suche“ entfernen, erwartet Sie eine kleine zusätzliche Überraschung:
![]()
Sind Sie sich wirklich sicher? Google macht Ihnen die Aufgabe noch ein wenig schwerer: Ihre Suchanfragen sagen viel über Sie aus ...
Und wenn Sie auf „Deaktivieren“ klicken, zeigt Google eine wahrhaft prächtige Meldung an:
![]()
„Es kann eine Weile dauern, bis unsere Systeme diese Änderung berücksichtigen.“
Google rechnet wohl nicht damit, dass Sie den Hindernisparcours bewältigen! Dieselbe Strafe, wenn Sie auf die Schaltfläche „Deaktivieren“ für die „Personalisierung von Anzeigen im Web“ klicken:
![]()
Auch hier sieht man, dass es für Google kompliziert ist:
![]()
Wenn Sie weitere „Opt-out“-Cookies installieren möchten, die nur die Personalisierung der Werbung deaktivieren, es den Adtech-Unternehmen aber weiterhin ermöglichen, Sie zu überwachen, leitet Google Sie auf die Website der Werbebranche weiter:
Sie können die personalisierte Werbung auch für mehr als 100 weitere Online-Werbenetzwerke deaktivieren.
Kehren Sie erneut zum Informationsbanner zurück und klicken Sie nun auf „YouTube-Einstellungen ändern“:
![]()
Diesmal werden Sie auf die YouTube-Website weitergeleitet, wo Sie erneut das Häkchen bei „Videos, die Sie auf YouTube ansehen“ entfernen und auf „Wiedergabeverlauf löschen“ klicken müssen:
![]()
Dann müssen Sie das Häkchen bei „Videos, die Sie auf YouTube suchen“ entfernen und auf „Suchverlauf löschen“ klicken:
![]()
Und um diesen schönen Parcours zu krönen, müssen Sie, wenn Sie zum Informationsbanner zurückkehren, auf „Ich stimme zu“ klicken (das bleibt die einzige Möglichkeit, dieses Informationsbanner verschwinden zu lassen, selbst wenn Sie gerade alles abgelehnt haben):
![]()
Insgesamt brauchen Sie auf dem schnellsten Weg 17 Klicks!
Während des „Nicht-Einwilligungs“-Parcours geht die Überwachung weiter
Was passiert während dieses „Nicht-Einwilligungs“-Parcours? Wenn man sich die Anfragen über Charles ansieht:
![]()
Google versorgt weiterhin seine Werbedienste, darunter Google Analytics und Doubleclick.
Trotz Ihrer Ablehnung werden Sie von Google weiterhin im Web überwacht
Rufen wir nach diesem Hindernisparcours die Website Lemonde.fr auf (vollgestopft mit Trackern, vgl. „Einwilligung: das Schlimmste an Benutzererfahrung und Überwachung mit Lemonde.fr“) und filtern wir die Anfragen an Google:
![]()
Wie Sie sehen, mag Lemonde.fr Google.
Dummerweise hat Google das Cookie NID nicht gelöscht. Infolgedessen werden zahlreiche Anfragen von der Website Lemonde.fr an Google gesendet, mit Ihrer im Cookie NID gespeicherten Kennung (zur Erinnerung: Dies ist ein Werbe-Cookie). Damit besteht der folgende Verstoß weiterhin:
Wenn ein Nutzer die Personalisierung von Anzeigen in der Google-Suche über den Mechanismus deaktivierte, der ihm über die Schaltfläche „Jetzt ansehen“ zur Verfügung gestellt wurde, blieb eines der Werbe-Cookies auf seinem Computer gespeichert und las weiterhin Informationen aus, die für den Server bestimmt waren, mit dem es verknüpft ist.
Der Sanktionsausschuss war daher der Ansicht, dass der von den Unternehmen eingerichtete „Widerspruchs“-Mechanismus teilweise fehlerhaft war und gegen Artikel 82 des Datenschutzgesetzes verstieß.
Wird Google einen echten Einwilligungsmechanismus anbieten?
Die CNIL hat Google wegen Pflichten sanktioniert, die bereits vor der DSGVO bestanden (Artikel 82 des Datenschutzgesetzes, Umsetzung der Richtlinie „ePrivacy“).
Seit dem 1. Oktober 2020 hat die CNIL nun aber ihre geänderten Leitlinien sowie eine Empfehlung zum Einsatz von Cookies und anderen Trackern veröffentlicht. Die CNIL forderte die Akteure auf, die so klargestellten Regeln einzuhalten, und ging davon aus, dass dieser Anpassungszeitraum sechs Monate nicht überschreiten sollte.
Das Ablehnen von Trackern muss ebenso einfach sein wie ihr Akzeptieren. Die CNIL empfiehlt, dass die Oberfläche zur Einholung der Einwilligung nicht nur eine Schaltfläche „Alle akzeptieren“, sondern auch eine Schaltfläche „Alle ablehnen“ enthält.
Die Nutzer müssen ihre Einwilligung einfach und jederzeit widerrufen können.
Wir warten daher ungeduldig auf den 1. April und die Anpassung von Google, um seine Überwachung mit 1 Klick (und nicht mit 17 Klicks) ablehnen zu können ... In Wirklichkeit werden sogar die Pflichten missachtet, die schon vor der DSGVO bestanden:
- Google hat seine Geldstrafe von 100 Millionen Euro vor dem Staatsrat angefochten.
- Wie wir gesehen haben, überwacht Google Sie über das Cookie
NID, und zwar bereits vor Ihrer Einwilligung, aber auch nach Ihrer Ablehnung der Einwilligung. - Der Versuch, die Überwachung durch Google abzulehnen, ist ein Hindernisparcours.
- Man darf am abschreckenden Charakter der CNIL-Sanktionen zweifeln, sofern es ihr überhaupt gelingt, sie eintreiben zu lassen. 100 Millionen Euro und 100.000 Euro pro Tag (also 36 Millionen Euro pro Jahr) sind für Google nicht so teuer.
Google ist das auffälligste Beispiel für diese Einwilligungslüge, aber das französische Web ist von Websites durchsetzt, die Ihre Privatsphäre mit Füßen treten, Beispiele:
- „Der große Ausverkauf Ihrer persönlichen Daten auf Le Bon Coin“.
- „Die Einholung der Einwilligung im Internet: eine allgemein verbreitete Lüge“.
Es bleibt abzuwarten, ob die CNIL ab dem 1. April abschreckende Sanktionen verhängen wird.
Ihre Alternativen, um die Überwachung durch Google zu vermeiden
Wenn wir uns auf die Suchmaschine von Google beschränken (das Thema dieses Artikels), haben Sie andere Möglichkeiten, wie etwa:
- DuckDuckGo: eine amerikanische Suchmaschine, die Sie nicht überwacht. Die Oberfläche ist aufgeräumt, die Suchmaschine ist eine der Standardoptionen in Safari, und der Großteil der Ergebnisse basiert auf Bing.
- Qwant: die französische Variante, eine weniger aufgeräumte Oberfläche, der Großteil der Ergebnisse basiert ebenfalls auf Bing.
- Ecosia: die deutsche Variante; Ecosia spendet 80 % seiner Gewinne an gemeinnützige Vereine, die sich für Wiederaufforstungsprogramme einsetzen, vor allem in den Ländern des Südens. Auch Ecosia basiert hauptsächlich auf Bing.
- Startpage: die niederländische Variante; die Oberfläche ist aufgeräumt und die Ergebnisse sind die von Google. Daher ist es meine Wahl (die Ergebnisse von Google sind oft deutlich relevanter als die von Bing). Startpage ist umstritten, seit es 2019 von einem Unternehmen mit Beteiligungen im Adtech-Bereich übernommen wurde (Sie können sich Ihre eigene Meinung bilden, indem Sie diesen Artikel lesen).
Es ist interessant zu lesen, warum Google Startpage seine Suchergebnisse zur Verfügung stellt:
Warum lässt Google Startpage auf seine Suchergebnisse zugreifen? Startpage.com hat einen Vertrag mit Google, der es uns erlaubt, deren offiziellen „Syndicated Web Search“-Feed zu nutzen, sodass wir Google bezahlen müssen, um diese Ergebnisse zu erhalten.
Im Gegensatz zu Bing, das seine Ergebnisse zahlreichen Meta-Suchmaschinen (DuckDuckGo, Qwant, Ecosia ...) zur Verfügung stellt, ist Google mit seinen Suchergebnissen geizig. Startpage scheint der Einzige zu sein, der darauf Zugriff hat – für wie lange noch?