Am 21. Januar 2019 verhängte die französische Datenschutzbehörde CNIL eine Geldstrafe in Höhe von 50 Millionen Euro gegen Google auf Grundlage des Art. 83 DSGVO wegen mangelnder Transparenz, unzureichender Informationen und fehlender gültiger Zustimmung zur Personalisierung von Anzeigen. Hierbei handelt es sich um das erste nennenswerte DSGVO-Bußgeld seit dem Wirksamwerden der Verordnung im Mai 2018.
Die Behörde wurde aufgrund von Gruppenbeschwerden der Verbände None Of Your Business („NOYB“) und La Quadrature du Net („LQDN“) tätig, die Google vorwarfen, keine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer seiner Dienste zu haben, insbesondere für die Personalisierung von Anzeigen.
Die Entscheidung der CNIL bietet einigen Anlass zur Diskussion, insbesondere über die Zuständigkeit der französischen Datenschutzbehörde und der rechtlichen Begründung der vorgeworfenen Datenschutzverstöße.
Wie ist das Vorgehen der CNIL rechtlich zu bewerten und was bedeutet es für datenverarbeitende Unternehmen?
Die festgestellten Verstöße: Mangelnde Transparenz, Information und Zustimmung
Nachdem die Beschwerden der Verbände bei der CNIL eingegangen waren, führte diese im September 2018 eine Online-Inspektion durch, bei der die Übereinstimmung der von Google durchgeführten Verarbeitungen mit dem französischen Datenschutzgesetz und der DSGVO überprüft werden sollte.
Zunächst stellte die Behörde fest, dass die von Google bereitgestellten Informationen für die Nutzer nicht leicht zugänglich seien. Wesentliche Informationen, wie die Zwecke der Datenverarbeitung oder Aufbewahrungsfristen, seien übermäßig über mehrere Dokumente verteilt, mit Schaltflächen die geklickt werden müssten, um auf ergänzende Information zugreifen zu können (teilweise seien 5-6 Aktionen erforderlich gewesen).
Zudem seien einige Informationen nicht immer klar und umfassend. Die Benutzer seien nicht in der Lage, den Umfang der von Google durchgeführten Verarbeitungen vollständig zu verstehen, was daran liege, dass die Beschreibung der Zwecke der Verarbeitung zu allgemein und vage erfolge.
Weiterhin beanstandet die Behörde das Fehlen einer Rechtsgrundlage für die Personalisierung von Anzeigen. Zwar habe Google eine Zustimmung des Nutzers erhalten. Allerdings genüge diese den Anforderungen der DSGVO nicht. Vor Abgabe seiner Einwilligung muss der Nutzer gemäß Art. 7 DSGVO über alle zukünftigen Verarbeitungsvorgänge ausführlich und leicht verständlich informiert werden. Aufgrund der Vielzahl von Google-zugehörigen Anwendungen, bei denen Daten des Nutzers verarbeitet werden (z.B. Google-Suche, YouTube, Gmail, Maps, Play Store), sei es ihm nicht möglich, alle Verarbeitungen und Kombinationen zu kennen. Eine so entstehende Generaleinwilligung widerspreche nach Ansicht der CNIL den Vorgaben der DSGVO.
Wie sind die Feststellungen der CNIL zu bewerten? Was müssen Unternehmen beachten?
Zunächst ist festzuhalten, dass sich die französische Datenschutzbehörde durchaus an die Vorgaben der DSGVO gehalten hat, die Begründungen entsprechen den Grundsätzen der Verordnung. Allerdings erfolgte die Auslegung der einzelnen Vorgaben teils sehr streng, sodass eine Bewertung der einzelnen Aussagen erfolgen sollte. Im Großen und Ganzen waren, unabhängig von der Frage der Zuständigkeit, zwei Bereiche ausschlaggebend für die Entscheidung der CNIL:
-
Die Datenschutzerklärung
Google wird vorgeworfen eine unübersichtliche Datenschutzerklärung bereitgestellt zu haben. Die DSGVO stellt in Art. 13 einige (vage) Anforderungen an den Inhalt und Aufbau einer Datenschutzerklärung. So müssen alle Informationen bezüglich der Datenverarbeitung enthalten sein, dargestellt in übersichtlicher und für den Betroffenen verständlicher Art und Weise. Google hat hier zwei Wege gewählt. Zum einen kann die Datenschutzerklärung im Ganzen als PDF- Datei heruntergeladen werden, mit einem Umfang von 32 Seiten. Zudem stellt Google die Datenschutzerklärung in einer Art Menü zur Verfügung, wobei die Erklärung in separate Kapitel unterteilt wird, wie zum Beispiel „Von Google erhobene Daten“ oder „Datenschutzeinstellungen“. Zusätzlich wird für jedes Kapitel ein Video bereitgestellt, welches den Inhalt des Kapitels erklärt. Auch sind die von der CNIL monierten Links enthalten, die den Leser zu weiteren Informationen führen.
Tatsächlich ist die Begründung der Behörde hier nur schwer nachzuvollziehen, zumal die gewählte Art und Weise der Darstellung Textlängen reduziert und die Koordination für den ungeübten Leser erleichtert. Allerdings liegt die Behörde richtig, wenn sie eine zu hohe Anzahl von erforderlichen Aktionen kritisiert, insbesondere wenn es darum geht, die für den Betroffenen üblicherweise entscheidenden Informationen preiszugeben. Unternehmen, die eine ähnliche Art der Darstellung für ihre Datenschutzerklärung gewählt haben, sollten darauf achten, dass besonders relevante Informationen bereits auf den ersten Seiten zu finden sind. Weniger Relevantes kann wiederum im Hinblick auf die Übersichtlichkeit auf hintere Seiten verschoben werden.
Weiterhin beanstandet die Behörde die zu allgemeinen und vagen Formulierungen bezüglich des Umfangs der verarbeiteten Daten. Die richtigen Formulierungen für die Datenschutzerklärungen zu wählen gehört derzeit noch zu den schwierigsten Herausforderungen bei der Umsetzung der DSGVO. Denn einerseits sollen die Informationen für jeden Leser verständlich, anderseits aber auch vollständig sein. Aus Sicht der CNIL ist Google das insbesondere in Bezug auf die Zwecke der Verarbeitung nicht gelungen. Den „goldenen Weg“ zur perfekten Formulierung wird zum jetzigen Zeitpunkt wohl niemand zu 100 % beschreiben können – dafür fehlt die Erfahrung mit Behörden und Vorgaben durch die Rechtsprechung. Mit Blick auf die Entscheidung der CNIL ist wohl anzunehmen, dass fehlende Informationen schwerer als komplizierte Formulierungen wiegen. Ob dies für die Praxis der bessere Weg ist, werden zukünftige Entscheidungen zeigen.
-
Die Einwilligung
Neben der mangelhaften Information und Transparenz beanstandete die Behörde das Einholen der Einwilligung in die Datenverarbeitung durch den Betroffenen. Sie führt an, dass bei der Erstellung eines Google-Accounts bereits einige Voreinstellungen installiert sind, ohne dass der Nutzer aktiv die Einwilligung erteilt hätte. Üblicherweise geschieht dies durch das Ankreuzen eines Kästchens (Opt-in). In den Konfigurationen von Google sei dies zum Beispiel für die Anzeige von personalisierter Werbung bereits angekreuzt, ohne Zutun des Nutzers. Dieser hat lediglich die Möglichkeit, die Voreinstellung wieder zu deaktivieren (Opt-out). Die Opt-out- Methode verstößt gegen die Vorgaben der DSGVO, die für die Einwilligung eine eindeutige bestätigende Handlung des Einwilligenden verlangt. Generell verlangt die CNIL, so wie auch alle anderen EU- Datenschutzbehörden, dass Nutzer im Rahmen von Einwilligungen in jeden einzelnen Verwendungszweck gesondert einwilligen können müssen. Die pauschale, einmalige Einwilligung in alle Verarbeitungszwecke, wie Google sie sich holt, ist nach CNIL mit der DSGVO nicht in Einklang zu bringen.
Die CNIL stützt sich in ihrer Begründung lediglich auf die Einwilligung als mögliche Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer. Allerdings sollten hier weitere Rechtsgrundlagen in Betracht gezogen werden, wie z. B. Art. 6 Abs. 1 lit. b. DSGVO, der eine Verarbeitung legitimiert, wenn sie auf Grundlage eines Vertrages erfolgt. Bekannterweise liegt das wirtschaftliche Geschäftsmodell von Google hauptsächlich in der Verarbeitung von personenbezogenen Daten, wie z.B. personalisierten Anzeigen. Deshalb ist es nicht abwegig, die Eröffnung eines Google-Kontos als den Abschluss eines „Vertrags gegen Daten“ einzuordnen, der die Verarbeitung der Daten des Nutzers ermöglicht.
Die Frage der Zuständigkeit
Unmittelbar nach der Entscheidung stellte sich die Frage, ob die französische Datenschutzbehörde in dieser Angelegenheit überhaupt örtlich zuständig war. Für die DSGVO gilt der sog. „One-Stop-Shop-Mechanismus“, der vorsieht, dass ein in der EU niedergelassenes Unternehmen nur einen Ansprechpartner hat, nämlich die Datenschutzbehörde des Landes, in dem sich seine „Hauptniederlassung“ befindet. Der europäische Hauptsitz von Google befindet sich in Irland, mit der Folge, dass laut DSGVO eigentlich die irischen Datenschutzbehörden federführend sein müssten.
Dennoch sah sich die CNIL im Recht ein Bußgeld verhängen zu dürfen, denn nach ihrer Ansicht habe die EU-Unternehmenszentrale in Irland in Bezug auf die konkret beanstandeten Datenverarbeitungen keine eigene Entscheidungsbefugnis, da die wesentlichen Vorgaben dafür in der globalen Unternehmenszentrale in den USA getroffen würden.
Diese Begründung ist allerdings mit Vorsicht zu genießen, da die Gefahr besteht, dass der One-Stop-Shop-Mechanismus und damit die geordnete und koordinierte EU-weite Anwendung der DSGVO, ausgehöhlt würde, wenn Datenschutzbehörden anderer Mitgliedsstaaten dem Vorgehen der CNIL folgen sollten, wenngleich der CNIL-Ansatz interessant ist.
Wie bereits bekannt wurde, hat Google gegen die Entscheidung der CNIL Widerspruch eingelegt, sodass eine erneute Prüfung, auch zur Frage der örtlichen Zuständigkeit, stattfinden wird.
Fazit
Die Entscheidung der CNIL macht allen Unternehmen unmissverständlich klar, dass die DSGVO-Schonfrist abgelaufen ist und Behörden vom Sanktionskatalog des Art. 83 nun Gebrauch machen. Ob die Strenge der Gesetzesauslegung und die Höhe des Bußgeldes im vorliegenden Fall zur allgemeinen Beruhigung beiträgt darf bezweifelt werden, zumal noch Rechtsmittel eingelegt werden können und abgesehen von den zwei Problembereichen insbesondere die Zuständigkeit der CNIL noch strittig und nicht abschließend geklärt ist. Allerdings sollte bedacht werden, dass das wirtschaftliche Modell von Google fast ausschließlich auf das umfangreiche und kommerzielle Verarbeiten von personenbezogenen Daten ausgerichtet ist. Schon deshalb ist ein strenger Maßstab nicht unbedingt abwegig, wobei allerdings der Fokus nicht nur auf die Einwilligung als Rechtsgrundlage gelegt werden sollte (Stichwort: Daten gegen Vertrag). Der weitere Ablauf des Verfahrens, insbesondere die möglichen Gerichtsentscheidungen und Reaktionen von Behörden anderer Mitgliedsstaaten, werden weiteren Aufschluss darüber geben, wie sich Unternehmen zukünftig im Datenschutzbereich positionieren müssen.