Frankfurt am Main, 06.05.2019
DAS WICHTIGSTE IN KÜRZE
Am 21. Januar 2019 verhängte die französische Datenschutzaufsichtsbehörde (CNIL) gegen Google LLC das in der Geschichte bisher höchste Bußgeld (50 Mio. EUR) wegen Verstoßes gegen die datenschutzrechtlichen Transparenz- und Informationspflichten nach Art. 12 und 13 DSGVO sowie Datenverarbeitung auf Grundlage unwirksamer Einwilligungen im Rahmen der Erstellung des Google-Kontos bei der Einrichtung von Android-Mobiltelefonen. Die Entscheidung ist nicht nur im Hinblick auf die Höhe des Bußgelds bemerkenswert, sondern auch im Hinblick auf die Begründung der Zuständigkeit der französischen Datenschutzaufsicht interessant. Daneben werden Anforderungen an Datenschutzinformationen und Einwilligungen konkretisiert:
- Global agierende Unternehmen sollten sicherstellen, dass die datenschutzrechtliche Verantwortlichkeit an einem konkreten Ort innerhalb der EU gebündelt ist, da andernfalls keine Zuständigkeitskonzentration erfolgt.
- Datenschutzinformationen müssen klar strukturiert und einfach zugänglich sein. Unübersichtliche oder über viele verschiedene Dokumente verteilte Informationen sind zu vermeiden. Gerade im mobilen Kontext ist besonderer Wert auf Transparenz zu legen.
- Einwilligungen müssen verständlich formuliert und über opt-in eingeholt werden. Soweit möglich sollten für verschiedene Verarbeitungskomplexe separate Einwilligungen eingeholt werden.
Die Entscheidung ist noch nicht rechtskräftig und bisher nur im französischen Originaltext abrufbar.
DIE ENTSCHEIDUNG IM EINZELNEN
Kein „One-Stop-Shop“
Nach Auffassung der CNIL sei das europäische Headquarter von Google (Google Ireland Ltd.) mangels maßgeblichen Einflusses auf Art und Umfang der Datenverarbeitung der beanstandeten Vorgänge nicht als Hauptniederlassung im Sinne von Art. 56 DSGVO zu werten. Da somit keine Hauptniederlassung in der EU identifiziert werden könne, sei weder die irische Datenschutzaufsicht (DPC) noch eine andere im Sinne des One-Stop-Shop Prinzips als federführende Aufsichtsbehörde zuständig. Vor diesem Hintergrund nahm die CNIL ihre eigene Zuständigkeit als erstbefasste Aufsichtsbehörde an. Als Konsequenz kündigte Google bereits im vergangenen Jahr an, Google Ireland Ltd. künftig zum Verantwortlichen für Datenverarbeitungen in Europa zu machen.
Intransparente und ungenügende Nutzerinformation
Inhaltlich kritisiert die CNIL die intransparente Informationspolitik im Hinblick auf die erfolgenden Datenverarbeitungen durch Google. Die Nutzer müssten sich durch eine Fülle von in unterschiedlichen Ebenen verlinkten Dokumenten und Schaltflächen durcharbeiten, um die Bedingungen der Datenverarbeitung zu erfahren, was zu einer nicht zumutbarenFragmentierung der Datenschutzinformationen führe. Wesentliche Umstände der Datenverarbeitung blieben dabei weitgehend unklar. So wird etwa bemängelt, dass der Nutzer im Hinblick auf die umfangreiche Datenerhebung aus unüberschaubar vielen Quellen (insbesondere die verschiedenen Google-Angebote, kooperierende Drittdienste und die auf Dritt-Webseiten eingebundenen Google-Analytics Cookies) nicht in der Lage sei, die vollen Konsequenzen der erfolgenden Datenverarbeitungen zu verstehen. Die bereitgestellten Informationen über die Verarbeitung und die Verarbeitungszwecke seien zu vage.
Unwirksame Nutzereinwilligungen
Nach Auffassung der CNIL stützt Google die erfolgenden Datenverarbeitungen ausschließlich auf die im Rahmen der Konto-Erstellung einzuholende Nutzereinwilligung. Diese genüge aber gleich aus mehreren Gründen nicht den Anforderungen an eine wirksame Einwilligung im Sinne der DSGVO. Zunächst wirke die mangelhafte Information des Nutzers in besonderem Maße bei der Erteilung der Einwilligung fort. Auf Grundlage dieser unzureichenden Informationslage sei eine wirksame Einwilligung nicht gegeben.
Darüber hinaus werde dem Nutzer zwar im Rahmen der Konto-Erstellung über eine weitere Schaltfläche die Möglichkeit zur Einstellung einer nutzerkonfigurierten Datenverarbeitung gegeben. Das zur Verfügung gestellte Tool sei aber so voreingestellt, dass dem Nutzer über opt-out lediglich die Abwahl bestimmter Datenverarbeitungen ermöglicht werde, der Nutzer mithin nur Widerspruch gegen die Verarbeitung einlegen könne. Nutzer, die von dieser Möglichkeit nicht Gebrauch machten, würden ohne die erforderliche aktive Bestätigung den vorausgewählten Datenverarbeitungen zustimmen. Im weiteren Registrierungsprozess kritisiert die CNIL, dass der Nutzer über ein anzuklickendes Kästchen bestätigen müsse, mit den zuvor beschriebenen und in den Datenschutzbestimmungen dargestellten Datenverarbeitungen einverstanden zu sein, um so die Kontoerstellung abzuschließen. Diese Pauschaleinwilligung hält die CNIL für ungenügend. Vielmehr sollten für jeden Verarbeitungszweck separate Einwilligungen durch aktive Bestätigung des Nutzers eingeholt werden, ohne dass es hierzu weiterer Maßnahmen wie das Öffnen weiterer Schaltflächen und Tools bedarf.
BEWERTUNG UND EMPFEHLUNG
Zweifellos wird diese Entscheidung nicht nur im Hinblick auf die Höhe des verhängten Bußgeldes hohe Wellen schlagen. Sie setzt sich insbesondere auch mit den komplexen Anforderungen an die Transparenz von Datenschutzinformationen sowie der in der Praxis sehr relevanten Einholung von Einwilligungen in dezidierter Weise auseinander und stellt hier hohe, teilweise nur schwer erfüllbare Anforderungen. Die Entscheidung sollte aber auch nicht überbewertet werden. Die Aussagen der CNIL können nur bedingt generalisiert werden, da sie im Wesentlichen auf den sehr spezifischen Umständen im vorliegenden Fall beruhen. Von großer Bedeutung ist dabei das Google-Geschäftsmodell der Erhebung, Analyse und Vermarktung von Nutzer- bzw. Nutzungsdaten über Big-Data-Anwendungen. Nach der CNIL führe gerade die große Zahl der Betroffenen und der unüberschaubare Umfang der erfolgenden Datenverarbeitungen im vorliegenden Fall zu der besonderen Schwere der Verstöße, was sich entsprechend in der Höhe des Bußgeldes niederschlägt.
Bestimmung des Verantwortlichen in der EU
Im Hinblick auf die Zuständigkeitsbegründung stellt sich für global agierende Unternehmen die Frage, wie intern die datenschutzrechtliche Verantwortlichkeit im Kontext grenzüberschreitender Datenverarbeitungen ausgestaltet werden soll. Will man Zufälligkeiten bei der Bestimmung der zuständigen Aufsichtsbehörde vermeiden, sollte die interne Zuständigkeit für Datenverarbeitungen in der EU klar geregelt und entsprechend gelebt werden. Ansonsten riskiert man, dass jede Datenschutzbehörde sich für zuständig erklärt, wenn eine in ihrem Mitgliedsstaat ansässige Konzerngesellschaft betroffen ist.
Klare und einfach zugängliche Datenschutzinformationen
Folgt man der strengen Position der CNIL, ist Unternehmen zu empfehlen, ihre Datenschutzhinweise möglichst klar und einfach zugänglich zu halten. Die erforderlichen Informationen sollten in einer einheitlichen Datenschutzerklärung dargestellt und nicht auf viele verschiedene Dokumente verteilt werden. Es sollte dabei ein Mittelweg zwischen Detailtiefe und Übersichtlichkeit der Erklärung gesucht werden. Insbesondere sollte klar herausgestellt werden, dass die erfolgenden Datenverarbeitungen nicht nur auf einer zu erteilenden Einwilligung beruhen, sondern auch weitere, zu spezifizierende Rechtsgrundlagen für bestimmte Verarbeitungsvorgänge vorliegen.
Einwilligungen über opt-in
Sind Einwilligungen für die Datenverarbeitung erforderlich, müssen diese über opt-in eingeholt werden. Es ist zu gewährleisten, dass eine Nutzung des Services auch ohne Einwilligung möglich ist. Die Einwilligung selbst ist dabei so zu gestalten, dass alle wesentlichen Informationen über den Verantwortlichen und die erfolgenden Verarbeitungen sowie die Rechte des Betroffenen, eingesehen werden können. Gerade vor dem Hintergrund der begrenzten Darstellungsmöglichkeiten bei mobilen Diensten müssen aber aus unserer Sicht auch Verweise/Links auf die Datenschutzinformationen zulässig sein. Positiv lässt sich insofern der Entscheidung entnehmen, dass Datenschutzinformationen bei entsprechend klarer Strukturierung auch über mehrere Ebenen erteilt werden können.
Keine Kopplung von Einwilligungen
Die CNIL fordert für unterschiedliche Verarbeitungszwecke separate Einwilligungen. Diese Anforderung widerspricht der von vielen Anbietern geübten Praxis, den Kunden nur mit einer einheitlichen und gebündelten Einwilligung zu behelligen und dabei die praktizierte Datenverarbeitung möglichst umfassend abzudecken. Die strikten Anforderungen der CNIL stehen zudem auch nicht immer im Einklang mit den Interessen der Betroffenen: Häufig dient ein Verarbeitungsvorgang unterschiedlichen Verarbeitungszwecken. Das für den Nutzer spürbare Eingriffspotential liegt dabei regelmäßig in dem jeweiligen Verarbeitungsvorgang und nicht in den damit verfolgten Zwecken. Wenn man grundsätzlich den Ansatz der CNIL aufgreifen will, wäre es daher praxisnäher, Verarbeitungskomplexe aus miteinander zusammenhängenden und einwilligungsbedürftigen Verarbeitungsvorgängen zu bilden, für die dann jeweils eine gesonderte Einwilligung eingeholt wird.
FAZIT
Es ist davon auszugehen, dass Google gegen die Entscheidung vorgehen wird. Dabei ist nicht unwahrscheinlich, dass im weiteren Verfahren die Anforderungen an Datenschutzinformationen und Einwilligungen weiter konturiert werden. Es bleibt abzuwarten, wie sich deutsche Aufsichtsbehörden hierzu positionieren. Die Aufsichtspraxis in Deutschland seit Inkrafttreten der DSGVO war weniger durch harte Sanktionen als durch lösungsorientierte Zusammenarbeit geprägt. Jüngere Äußerungen einzelner Datenschutzbehörden deuten aber darauf hin, dass auch hier zukünftig strengere Positionen vertreten und durchgesetzt werden könnten als bisher.
