Jörg Ukrow

Frankreich: Rekordbußgeld von € 50 Mio. gegen Google verhängt


Am 21.1.2019 verhängte die für Datenschutz zuständige Behörde Frankreichs, die Commission Nationale de l'Informatique et des Libertés (CNIL), gegen das Unternehmen Google LLC in Anwendung der DS-GVO eine Sanktion von € 50 Mio. wegen mangelnder Transparenz, unbefriedigender Informationen und fehlender gültiger Zustimmung zur Personalisierung von Werbung.

Am 1.6.2018 leitete die CNIL zwei Gruppenbeschwerden gegen Google, die im Mai 2018 bei ihr eingegangen waren, gemäß den Bestimmungen über die europäische Zusammenarbeit in der DS-GVO ihren europäischen Kollegen zur Prüfung zu, ob sie für ihre Behandlung zuständig sei. Die CNIL war ihres Erachtens im Ergebnis dieser Konsultationen nicht durch den „One-Stop-Shop“-Mechanismus der DS-GVO an der Ausübung datenschutzrechtlicher Aufsichtskompetenz gehindert, da die irische Niederlassung von Google nicht über die Entscheidungsbefugnis in Bezug auf das Betriebssystem Android und die von Google LLC erbrachten Dienstleistungen im Zusammenhang mit der Einrichtung eines Kontos während der Konfiguration eines Mobiltelefons verfügte. Mögliche Kompetenzen der irischen Datenschutzbehörde im Hinblick auf den europäischen Hauptsitz von Google in diesem Mitgliedstaat der EU standen daher aus Sicht der CNIL eigener Aufsichtstätigkeit nicht entgegen.

 

Im Ergebnis von Untersuchungen, die die CNIL im September 2018 durchführte, stellte die Behörde zwei Arten von Verstößen gegen die DS-GVO, namentlich im Blick auf Art. 4 Nr. 11 und Art. 7 Abs. 2 DS-GVO, fest: Die von Google bereitgestellten Informationen für Benutzer seien nicht leicht zugänglich; zudem seien einige für die Rechtswirksamkeit der Einwilligung bedeutsame Informationen nicht klar und umfassend.

 

Die allgemeine Struktur der vom Unternehmen bereit gehaltenen Informationen ermögliche es nicht, die DS-GVO einzuhalten. Wesentliche Informationen wie Datenverarbeitungszwecke, Zeiträume für die Datenspeicherung oder die Kategorien personenbezogener Daten, die für die Anzeigenpersonalisierung verwendet werden, würden übermäßig – auch über Schaltflächen und Links – auf mehrere Dokumente verteilt. Die relevanten Informationen seien nur nach mehreren Schritten verfügbar, was manchmal bis zu fünf oder sechs Aktionen umfasse. Dies sei z.B. der Fall, wenn ein Benutzer vollständige Informationen über seine Daten haben wolle, die für Personalisierungszwecke oder für den Geo-Tracking-Service erfasst werden.

 

Die Nutzer könnten zudem den Umfang der von Google durchgeführten Verarbeitungsvorgänge nicht vollständig nachvollziehen. Die Verarbeitungsvorgänge seien jedoch auf Grund der Anzahl der angebotenen Dienste sowie der Menge und der Art der verarbeiteten und zusammengeführten Daten besonders massiv und aufdringlich. Die Zwecke der Verarbeitung würden zu allgemein und vage beschrieben, ebenso wie die Kategorien von Daten, die für diese verschiedenen Zwecke verarbeitet werden. In ähnlicher Weise seien die übermittelten Informationen nicht hinreichend klar genug, damit der Benutzer verstehen könne, dass die rechtliche Grundlage der Verarbeitungsvorgänge für die Anzeigenpersonalisierung seine Zustimmung und nicht das berechtigte Interesse des Unternehmens sei. Schließlich würden für einige Daten keine Informationen über die Aufbewahrungsfrist zur Verfügung gestellt.

 

Die Zustimmung des Nutzers zur Verarbeitung von Daten zu Zwecken der Anzeigenpersonalisierung sei aus zwei Gründen nicht gültig: Sie erfolge auf der Grundlage einer unzureichenden Information des Nutzers und sei weder „spezifisch“ noch „eindeutig“. Wenn ein Konto erstellt werde, könne der Benutzer zwar einige Optionen ändern, indem er auf die Schaltfläche „Weitere Optionen“ klickt, die über der Schaltfläche „Konto erstellen“ verfügbar ist. Das bedeute aber nicht, dass die DS-GVO respektiert werde. Der Benutzer müsse nicht nur auf die Schaltfläche „Weitere Optionen“ klicken, um auf die Konfiguration zuzugreifen, auch die Anzeige der Anzeigenpersonalisierung sei vorangekreuzt. Die Einwilligung nach der DS-GVO sei aber nur „eindeutig“, wenn der Benutzer eindeutig zustimme (z.B. durch Ankreuzen eines nicht angekreuzten Kästchens). Vor der Erstellung eines Kontos werde der Benutzer zudem gebeten, die Felder „Ich stimme den Nutzungsbedingungen von Google zu akzeptieren“ und „Ich stimme der Verarbeitung meiner Informationen zu, wie oben beschrieben und in den Datenschutzrichtlinien näher erläutert“ anzukreuzen, um das Konto zu erstellen. Die DS-GVO sehe jedoch vor, dass die Zustimmung nur dann „spezifisch“ sei, wenn sie für jeden Zweck eindeutig erteilt werde.

 

Erstmalig wandte die CNIL die von der DS-GVO vorgesehenen neuen Sanktionsgrenzen an. Die Höhe des festgestellten Betrags und die Bekanntmachung der Geldbuße seien durch die Schwere der festgestellten und fortdauernden Verstöße begründet, die sich auf die wesentlichen Grundsätze der DS-GVO beziehen: Transparenz, Information und Zustimmung.

Dr. Jörg Ukrow, LL.M.Eur., ist geschäftsführendes Vorstandsmitglied des Instituts für Europäisches Medienrecht (EMR) und stellvertretender Direktor der Landesmedienanstalt Saarland (LMS).