Tim Wybitul

CNIL verhängt hohes Bußgeld - Welche Folgen hat der Fall für Unternehmen?


 Tim Wybitul ist Rechtsanwalt, Fachanwalt für Arbeitsrecht und Partner bei Latham & Watkins in Frankfurt/M. sowie Mitherausgeber der ZD.

ZD 2019, 97   Am 21.1.2019 hat die Commission Nationale de l'Informatique et des Libertés (CNIL) gegen die Google LLC ein Bußgeld nach Art. 83 DS-GVO i.H.v. € 50 Mio. verhängt. Als Anlass für das Bußgeld nannte die CNIL mangelnde Transparenz und Information bei der Datenverarbeitung sowie unzureichende Einwilligungen bei personalisierter Werbung. Google hat bereits angekündigt, gegen dieses Bußgeld Einspruch einzulegen. Wie die folgende Analyse der Entscheidung der CNIL zeigt, gibt es durchaus einige Angriffspunkte, um gegen das verhängte Bußgeld vorzugehen. Zudem kann das Vorgehen der Behörde erhebliche Auswirkungen darauf haben, wie Unternehmen die Anforderungen der DS-GVO in der Praxis umsetzen müssen. Dies betrifft vor allem die Fragen, wie Verantwortliche betroffene Personen über die Verarbeitung ihrer Daten informieren müssen und welche Anforderungen an Einwilligungen zu richten sind.

War die CNIL tatsächlich für die Verhängung dieses Bußgelds zuständig?

Neben diversen Online-Diensten wie Google Search, Gmail und Youtube betreibt das Unternehmen auch das Android-Betriebssystem. Kurz nach der Geltung der DS-GVO legten zwei Datenschutzverbände Beschwerden gegen Google bei der CNIL ein. Die Google France SARL beschäftigt nach den Feststellungen der CNIL in ihrer Niederlassung in Paris etwa 600 Mitarbeiter und erwirtschaftete im Jahr 2017 einen Umsatz von etwa  325 Mio. Bei grenzüberschreitenden Datenverarbeitungen ist nach Art. 56 Abs. 1 DS-GVO grundsätzlich die Aufsichtsbehörde der Hauptniederlassung in der EU federführend zuständig. Die Europazentrale des Konzerns ist die Google Ireland Ltd. mit Sitz in Dublin.

Dennoch geht die CNIL davon aus, dass sie für die Verhängung des Bußgelds gegen das Unternehmen ohne die Durchführung eines Kooperationsverfahrens nach Art. 60 DS-GVO zuständig war. Denn nach Auffassung der französischen Datenschutzbehörde sei die Niederlassung der Google Ireland Ltd. in Dublin gerade nicht die Hauptniederlassung i.S.v. Art. 4 Nr. 16 lit. a DS-GVO. Nach dieser Vorschrift ist die Hauptniederlassung eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat grundsätzlich "der Ort seiner Hauptverwaltung in der Union". Von dieser Grundregel gibt es dann eine Ausnahme, wenn "die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung des Verantwortlichen in der Union" getroffen werden.

Nach Ansicht der CNIL fehle es bei der Niederlassung in Dublin an den Voraussetzungen einer Hauptniederlassung. Es stehe nicht fest, dass die wesentlichen Entscheidungen über Zwecke und Mittel der Datenverarbeitung in der Niederlassung in Dublin getroffen würden. Es fehle z.B. an entsprechenden Hinweisen auf die Google Ireland Ltd. als Hauptniederlassung in den von Google in der EU verwendeten Datenschutzhinweisen. Zudem beruft sich die Datenschutzbehörde in Bezug auf ihre Zuständigkeit auf Erwägungsgrund 36 DS-GVO. Dort heißt es in Satz 8: "Wird die Verarbeitung durch eine Unternehmensgruppe vorgenommen, so sollte die Hauptniederlassung des herrschenden Unternehmens als Hauptniederlassung der Unternehmensgruppe gelten, es sei denn, die Zwecke und Mittel der Verarbeitung werden von einem anderen Unternehmen festgelegt." Die CNIL argumentiert ferner, dass die irische Data Protection Commission (DPC) selbst in einem Presseartikel festgestellt habe, dass sie nicht die federführende Aufsichtsbehörde sei.

Es dürfte spannend werden, ob das Beschwerdegericht dieser Rechtsauffassung zur Zuständigkeit folgt. Denn grundsätzlich wäre die DPC als Niederlassung der Europazentrale von Google in Irland zuständig. Eine Ausnahme von dieser Grundregel kommt nach dem Wortlaut von Art. 4 Nr. 16 lit. a a.E. DS-GVO nur dann in Betracht, wenn die Entscheidungen über Zwecke und Mittel der Datenverarbeitung "in einer anderen Niederlassung des Verantwortlichen in der Union" getroffen werden.

 

Ein Grund für das Bußgeld: Verstoß gegen Informationspflichten

Auch die Begründung der CNIL für das von ihr verhängte Bußgeld kann erhebliche Folgen für die Praxis haben. Denn der Einspruch von Google gegen die Entscheidung der französischen Datenschutzbehörde kann zur gerichtlichen Klärung wichtiger Fragen in Bezug auf den Umfang der Transparenzpflichten von datenverarbeitenden Unternehmen führen.

Art. 13 und 14 DS-GVO stellen bekanntlich hohe Anforderungen daran, wie Verantwortliche betroffene Personen von der Verarbeitung ihrer Daten informieren müssen. Nach Auffassung der CNIL habe Google gegenüber seinen Nutzern nicht das nach der DS-GVO vorgeschriebene Maß an Transparenz hergestellt. Denn teilweise seien die vorgeschriebenen Angaben zu den von der CNIL geprüften Datenverarbeitungen über mehrere Dokumente verstreut und erst mit fünf bis sechs Arbeitsschritten bzw. Klicks des Nutzers abrufbar gewesen. Zudem habe es auch an hinreichend konkreten Angaben zu den Löschfristen der Daten gefehlt. Die CNIL beruft sich zunächst darauf, dass Verantwortliche betroffene Personen nach Art. 12 Abs. 1 Satz 1 DS-GVO in "präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache" über die Verarbeitung ihrer Daten informieren müssen. Die Information solle es betroffenen Personen ermöglichen, die wesentlichen Folgen der in Frage stehenden Datenverarbeitung einzuschätzen.

Bei der rechtlichen Bewertung der Datenschutzinformationen hat die CNIL auch die Art und den Umfang der von dem Unternehmen durchgeführten Datenverarbeitungen berücksichtigt. Dabei wird deutlich, dass die Datenschutzbehörde auch i.R.d. Prüfung der Einhaltung der Vorgaben von Art. 13 DS-GVO einen risikobasierten Ansatz verfolgt. D.h., je weitgehender und eingriffstiefer die Datenverarbeitungen seien, desto umfangreicher und verständlicher müsse der Verantwortliche die betroffenen Personen über die Verarbeitung ihrer personenbezogenen Daten informieren.

Daran fehle es etwa, wenn wesentliche Informationen über mehrere Dokumente verteilt seien und diese nur mit einer Reihe von Arbeitsschritten eingesehen werden könnten. Zudem habe das Unternehmen die Zwecke der Datenverarbeitungen nicht hinreichend konkret beschrieben und nicht hinreichend über deren Folgen informiert.

 

Unzureichende Einwilligungen für personalisierte Werbung

Der zweite wesentliche Vorwurf der CNIL war, Google habe im Rahmen seiner Datenverarbeitung für das Schalten von personalisierter Werbung keine den Vorgaben der DS-GVO entsprechenden Einwilligungen eingeholt. Das Unternehmen hatte die entsprechenden Datenverarbeitungen auf Einwilligungen gestützt. Zunächst weist die Datenschutzbehörde in ihrer Entscheidung darauf hin, dass Art. 4 Nr. 11 DS-GVO umfassende Anforderungen an Einwilligungen als Rechtsgrundlage stelle. Danach muss eine Einwilligung freiwillig abgegeben werden. Sie muss sich ferner auf einen bestimmten Fall beziehen. Zudem muss die betroffene Person in informierter Weise eine unmissverständliche Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung abgegeben haben, mit der sie zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Besondere Bedeutung misst die CNIL Erwägungsgrund 43 Satz 2 DS-GVO zu. Danach gilt eine Einwilligung nicht als freiwillig erteilt, wenn "zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist". Nach Auffassung der Behörde müsse die betroffene Person in jeden einzelnen Verarbeitungszweck gesondert einwilligen können. Daher hielt die CNIL im konkreten Fall die vom Unternehmen vorgesehene Einwilligungserklärung nicht für ausreichend.

 

Öffentliches Vorgehen der Behörde als Strafe?

Die CNIL lässt weitgehend offen, anhand welcher Kriterien sie zu dem letztlich verhängten Bußgeld i.H.v. € 50 Mio. gelangt ist. Dafür macht sie in ihrer Entscheidung umso deutlicher, dass ihr bewusst öffentlichkeitswirksames Vorgehen nach ihrer Auffassung Teil einer angemessenen Sanktion ist. Es bleibt zu hoffen, dass auch dieser Teil der Entscheidung der Behörde gerichtlich genau geprüft wird. Denn die öffentliche Bloßstellung von Unternehmen ist im Maßnahmenkatalog des Art. 58 DS-GVO nicht genannt.

 

Empfehlungen für Unternehmen

In der Praxis sollten Unternehmen die wesentlichen Kritikpunkte der CNIL verstehen und prüfen, ob sie auch auf die eigenen Datenverarbeitungen bzw. Umsetzung der Vorgaben der DS-GVO zutreffen. Auch wenn die bislang veröffentlichten Empfehlungen der nationalen und europäischen Datenschutzaufsichtsbehörden keinen verbindlichen Charakter haben, sollte man in Bezug auf Transparenz und Einwilligungen etwa die Arbeitspapiere WP 259 und WP 260 des Europäischen Datenschutzausschusses kennen, um die Erwartungen der Behörden besser einschätzen zu können.

Unternehmen sollten ihre Datenschutzinformationen so gestalten, dass sie betroffenen Personen die Möglichkeit geben, alle für sie relevanten Angaben nach Art. 13 und 14 DS-GVO mit möglichst wenigen Arbeitsschritten bzw. mit geringem Aufwand abzurufen. Sofern es um die Nutzung von Online-Diensten geht, kann es empfehlenswert sein, eine auf den jeweiligen Nutzer zugeschnittene umfassende Datenschutzinformation vorzuhalten, die mit einem Klick erreichbar ist.

Noch deutlich schwieriger - oder aufwändiger - dürfte es für viele Unternehmen werden, die hohen Anforderungen der CNIL in Bezug auf das Einholen von auf den jeweiligen Einzelfall zugeschnittenen Einwilligungen umzusetzen. Hier wird man i.E. oft versuchen müssen einen realistischen Kompromiss zwischen Transparenz, Freiwilligkeit und Praktikabilität zu finden. Es steht daher zu hoffen, dass die europäischen Gerichte bei künftigen Entscheidungen zu diesen Fragen auch die Umsetzbarkeit der Anforderungen der Datenschutzbehörden im Blick behalten.

 

Welche Auswirkungen hat die Entscheidung?

Die Forderungen der CNIL entsprechen in weiten Teilen den - sehr weitgehenden - bisherigen Positionen und Arbeitspapieren der Art. 29-Datenschutzgruppe bzw. des Europäischen Datenschutzausschusses. Allerdings legt die CNIL diese Empfehlungen der EU-Behörden im Fall von Google recht streng aus. Es bleibt abzuwarten, ob europäische Gerichte der strikten Auslegung der DS-GVO durch die CNIL letztlich folgen werden.

Wenn diese Fragen vom EuGH entschieden werden, spricht einiges dafür, dass dieser seinen bisherigen strikten Kurs in Fragen des Datenschutzes beibehalten und die Positionen der CNIL bestätigen könnte. In diesem Fall käme auf die Wirtschaft viel Arbeit zu - oder einige rechtliche Risiken.

Gerade große Unternehmen sind gut beraten, sich auf eine effektive Verteidigung in Bußgeldverfahren vorzubereiten. Das umfasst zunächst das Identifizieren von Schwachstellen und deren Aufdeckungswahrscheinlichkeit. Zudem sollte die Datenschutzdokumentation im Unternehmen auch darauf ausgerichtet sein, dass man sie in späteren behördlichen oder gerichtlichen Verfahren gut verwenden kann. Auch die Verantwortlichkeiten und Ressourcen sollte man nicht erst festlegen, wenn die Datenschutzbehörde vor der Tür steht oder einen Anhörungsbogen in einem Verwaltungs- oder Ermittlungsverfahren schickt.