Nachdem kürzlich Details zu 41 DSGVO-Bußgeldern in Deutschland bekannt wurden, hat die französische CNIL mit über 50 Mio. EUR das bislang höchste Bußgeld verhängt.
Das am 21. Januar 2019 ausgesprochene Bußgeld geht auf Beschwerden der österreichischen Organisation None Of Your Business (noyb.eu) und der französischen NGO La Quadrature du Net zurück. Die Beschwerden wurden am 25. und 28. Mai 2018 – unmittelbar nach Anwendbarkeit der DSGVO – bei der französischen Datenschutzaufsichtsbehörde CNIL eingereicht. Hinter derjenigen von La Quadrature du Net stehen 10.000 Personen. Gegenstand der Beschwerden war die Einrichtung eines Google-Kontos während der Konfiguration eines Mobiltelefons mit dem Betriebssystem Android. Sie warfen Google vor, keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten der Nutzer ihrer Dienste vorweisen zu können. Insbesondere für die Anzeigenpersonalisierung seien die Rechtmäßigkeitsvoraussetzungen nicht erfüllt.
Dieser Ansicht ist die CNIL im Wesentlichen gefolgt und hat aufgrund mangelnder Transparenz, Information und Rechtsgrundlage gegen Google im Zusammenhang mit der Datenverarbeitung im Android Betriebssystem ein Bußgeld über EUR 50 Millionen verhängt.
Kein one-stop-shop-Mechanismus
Da gemäß Art. 56 Abs. 1 DSGVO grundsätzlich die Behörde am Hauptsitz des Datenverarbeiters zuständig ist (sog. „one-stop-shop“) und Google die Meinung vertrat, dass die irische Datenschutzaufsicht zuständig sei, musste die CNIL zunächst ihre Zuständigkeit klären. Google Ireland Limited, so hat die CNIL entschieden, kann u.a. nicht als Hauptniederlassung im Sinne der DSGVO angesehen werden, da es zur Zeit der Einleitung des Verfahrens nicht über die der mobilen Einrichtung eines Nutzerkontos zugrundeliegenden allgemeine Vertraulichkeitspolitik des Konzerns entscheiden konnte.
Als Konsequenz dessen gibt Google wie bereits lange angekündigt in seinen ab dem 22. Januar 2019 in der Europäischen Union gültigen Nutzungsbedingungen an, dass die irische Niederlassung datenschutzrechtlich Verantwortlicher sein soll.
Die CNIL kam zu dem Schluss, dass sie – in Ermangelung einer Hauptniederlassung von Google innerhalb der EU – selbst die Befugnisse aus Art. 58 DSGVO ausüben kann. Gleich im September 2018 führte sie Online-Inspektionen mit dem Ziel durch, die Übereinstimmung der von Google vorgenommenen Verarbeitungsvorgänge mit dem französischen Datenschutzgesetz und der DSGVO zu überprüfen. Die Untersuchungen betrafen insbesondere die Analyse des Browserverhaltens von Nutzern und die Dokumente, auf die diese grundsätzlich Zugriff hatten, wenn sie ein Google-Konto während der Konfiguration eines Smartphones mit Android erstellten.
Seitens CNIL festgestellte Verstöße bei Google
Im Rahmen der Untersuchungen hat die CNIL im Wesentlichen zwei Verstöße festgestellt:
- Zum einen moniert die Behörde die mangelnde Transparenz und die ungenügende Erfüllung von Informationspflichten nach Art. 5 / 13 / 14 DSGVO.
- Zum anderen fehle es aufgrund nicht für einen bestimmten Fall und nicht unmissverständlich erteilter Einwilligungen an einer Rechtsgrundlage für die Verarbeitung von Daten zum Zwecke der personalisierten Werbung.
Mangelnde Erfüllung von Transparenz- und Informationspflichten
Die CNIL vertritt die Auffassung, dass die von Google bereitgestellten Informationen für Benutzer nicht leicht zugänglich sind. Die allgemeine Struktur der vom Unternehmen gewählten Informationen ermöglicht es Google laut Auffassung der Behörde nicht, die Verordnung einzuhalten. Wesentliche Informationen wie Datenverarbeitungszwecke, Zeiträume für die Datenspeicherung oder die Kategorien personenbezogener Daten, die für die Anzeigenpersonalisierung verwendet werden, würden nach Ansicht der CNIL übermäßig auf mehrere Dokumente verteilt. Dies erfolge durch Schaltflächen und Links, auf die geklickt werden müsse, um auf zusätzliche Informationen zuzugreifen. Die relevanten Informationen seien nur nach mehreren Schritten verfügbar, was manchmal bis zu 5 oder 6 Aktionen des Nutzers erfordere. Das ist laut CNIL bei Google beispielsweise dann der Fall, wenn ein Benutzer vollständige Informationen über sich auf ihn beziehende personenbezogene Daten begehrt, die Google für Personalisierungszwecke oder für den Geo-Tracking-Service erfasst.
Darüber hinaus weist die CNIL darauf hin, dass einige Informationen nicht immer klar oder vollständig sind und Nutzer deswegen den Umfang der von Google durchgeführten Verarbeitungsvorgänge nicht hinreichend verstehen können. Die Verarbeitungsvorgänge seien jedoch aufgrund der Anzahl der angebotenen Dienste (laut CNIL etwa zwanzig), der Menge und der Art der verarbeiteten und zusammengeführten Daten mit besonders massiven Eingriffen verbunden. Die CNIL weist insbesondere darauf hin, dass die Zwecke der Verarbeitung zu allgemein und vage beschrieben würden, ebenso wie die Arten von Daten, die für diese verschiedenen Zwecke verarbeitet würden.
Die durch Google bereitgestellten Informationen zur einschlägigen Rechtsgrundlage seien zudem nicht klar genug, sodass der Benutzer nicht verstehen könne, dass die rechtliche Grundlage der Verarbeitungsvorgänge für die Anzeigenpersonalisierung die Einwilligung des Nutzers (Art. 6 (1) a) DSGVO) und nicht das berechtigte Interesse des Unternehmens (Art. 6 (1) f) DSGVO) ist. Des Weiteren wurde festgestellt, dass für einige Daten keine Informationen über die Aufbewahrungsfrist zur Verfügung gestellt worden seien.
Keine Rechtsgrundlage für die Anzeigenpersonalisierung
Google hatte gegenüber der CNIL angegeben, die Zustimmung des Nutzers zur Verarbeitung von Daten zu Zwecken der Anzeigenpersonalisierung einzuholen. Die CNIL ist der Ansicht, dass die Einwilligung aus zwei Gründen nicht rechtskonform erteilt worden sei und deswegen keine Rechtsgrundlage für die Datenverarbeitung bestünde:
Nutzer nicht ausreichend informiert
Um eine Datenverarbeitung auf Grundlage einer Einwilligung der betroffenen Person zu rechtfertigen, ist es erforderlich, dass Nutzer umfangreich über die relevante Datenverarbeitung informiert werden. Nur so können sie ihr Recht auf Schutz personenbezogener Daten ausüben. Nach Ansicht der CNIL verwässert die Verteilung der Informationen zu den Verarbeitungsvorgängen für die Anzeigenpersonalisierung auf mehrere Dokumente und ermöglicht es dem Nutzer nicht, deren Umfang zu überblicken. Im Abschnitt „Anzeigen-Personalisierung“ sei es beispielsweise nicht möglich, die Vielzahl der Dienste, Websites und Anwendungen zu kennen, die an diesen Verarbeitungsvorgängen beteiligt sind (Google-Suche, YouTube, Google-Startseite, Google-Karten, Playstore, Google-Bilder usw.).
Eingeholte Einwilligung weder „spezifisch“ noch „unmissverständlich abgegeben“
Eine datenschutzrechtliche Einwilligung muss ausweislich Art. 4 Nr. 11 DSGVO für eine bestimmte Datenverarbeitung für einen konkreten Fall (spezifisch) und zudem unmissverständlich erteilt werden. Eine unmissverständlich abgegebene Erklärung liegt ausweislich Erwägungsgrund 32 DSGVO beispielsweise dann nicht vor, wenn ein Kästchen vorangekreuzt ist. Eben dies war bei den Voreinstellungen von Google der Fall.
Des Weiteren sollten Nutzer zum Anlegen eines Google-Kontos die folgende Einwilligungserklärung abgeben: Ich stimme den Nutzungsbedingungen von Google zu („akzeptieren″ auswählbar) und „Ich stimme der Verarbeitung meiner Informationen zu, wie oben beschrieben und in den Datenschutzbestimmungen näher erläutert“. Die CNIL vertritt die Auffassung, dass eine pauschale Einwilligung in alle in der Datenschutzerklärung genannten Fälle die Anforderungen an eine für einen konkreten Fall erteilte Einwilligung nicht erfüllen.
Die Beschwerdeführer hatten ausgangs auch öffentlichkeitswirksam moniert, dass Google gegen das sogenannte „Koppelungsverbot“ aus Art. 7 (4) DSGVO verstoßen habe. Die CNIL scheint dieser Ansicht nicht gefolgt zu sein.
DSGVO-Bußgeld für Google: Weitere Klärung vor Gericht wahrscheinlich
Erste Bußgelder unter Anwendung der DSGVO genießen besonders viel Aufmerksamkeit, da sie zeigen, ob das neue Datenschutzregime Wirkung entfalten kann und ernst genommen werden muss. Auch in anderen Mitgliedsstaaten sind derzeit Verfahren gegen Google anhängig. So sind bereits Verfahren aus der Tschechischen Republik und Schweden sowie ein verbraucherrechtliches Verfahren aus Norwegen bekannt.
Es ist davon auszugehen, dass Google den Bußgeldbescheid der CNIL gerichtlich – wie es der Rechtsbehelfsbelehrung des Bußgeldbescheids zu entnehmen ist – vor dem Conseil d’Etat (Verwaltungsgericht) überprüfen lassen wird.
Eine wie manchmal im französischen Recht übliche Abhilfeperiode steht Google in diesem Fall nicht zu. Angesichts der Bedeutung des Falles und der Höhe des Bußgeldes dürfte bereits heute feststehen, dass das erstinstanzliche Urteil von der unterlegenen Partei ebenfalls angegriffen werden wird. Soweit er vor den EuGH kommt, könnte dieser Fall den unbestimmten Regelungen der DSGVO zur Bestimmtheit verhelfen.
