Die französische Datenschutzbehörde (Commission Nationale de l’Informatique et des Libertés (CNIL)) hat am 21. Januar 2019 eine Geldstrafe in der Höhe von 50 Mio. Euro gegen Google verhängt. Dies stellt die höchste Strafe in der Geschichte des europäischen Datenschutzrechts dar und demonstriert die scharfen Zähne der am 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO). Die untersuchten Datenschutzerklärungen haben nach Auffassung der CNIL sowohl mit Blick auf das Transparenzgebot als auch hinsichtlich der Gültigkeit der Einwilligung in die Datenverarbeitung gegen die sanktionsbedrohten Bestimmungen der DSGVO verstossen. Für Unternehmen liefert der Entscheid wertvolle Hinweise zur DSGVO-konformen Erstellung und Platzierung von Datenschutzerklärungen. Gleichzeitig wirft er Fragen zur Zuständigkeit der einzelstaatlichen Behörden auf.

Datenschutzverbände legten Beschwerde ein

Stein des Anstosses waren mehrere Beschwerden der Vereinigungen „Europäisches Zentrum für digitale Rechte“ (auch bekannt als „None of Your Business“, NOYB) und „La Quadrature du Net Association“ (LQDN). Die beiden NGOs, die sich für Bürgerrechte im Internet einsetzen, haben kurz nach Inkrafttreten der DSGVO im Mai 2018 Beschwerde bei der CNIL eingereicht. Konkret brachte NOYB vor, dass Mobiltelefone, auf denen das Google-Betriebssystem Android installiert ist, nur mit Einwilligung in die Datenschutzerklärung von Google funktionsfähig seien. Daneben begründete LQDN seine Beschwerde damit, dass Google über keine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer verfüge, insbesondere für personalisierte Werbung.

Mit einer umfangreichen Begründung hiess die CNIL die Beschwerden mit Beschluss vom 21. Januar 2019 gut. Es büsste Google mit einer Geldstrafe von 50 Mio. Euro wegen mehrerer Verstösse gegen die DSGVO. Konkret verstiess Google nach Auffassung der CNIL gegen zwei grundlegende Pfeiler des Europäischen Datenschutzrechts: Das Transparenz- und Informationsgebot und das Erfordernis einer gültigen Rechtsgrundlage für jede Datenverarbeitung.

Erster Vorwurf: Ungenügende Transparenz

Als ersten Verstoss qualifizierte die CNIL die mangelnde Transparenz resp. die Verletzung der Informationspflicht im Zusammenhang mit der Erstellung eines Google Accounts zur Konfigurierung eines Android Mobiltelefons. Die DSGVO verlangt, dass geeignete Massnahmen getroffen werden, um der betroffenen Person alle Informationen, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu übermitteln (Art. 12 Abs. 1 DSGVO). In Artikel 13 und 14 sind sodann die einzelnen Angaben, über welche zu informieren ist, aufgeführt.

Bei der Erstellung eines Google Accounts im Rahmen der Konfiguration eines Android Mobiltelefons seien wesentliche Informationen erst nach fünf (für die personalisierte Werbung) bzw. sechs Klicks (für die Geolokalisierung) abrufbar gewesen. Zudem waren die Informationen über mehrere Dokumente verteilt. Die Komplexität dieser Architektur sei übermässig („excessivement éparpillées“) und widerspreche dem DSGVO-Grundsatz der leicht zugänglichen Form der Information über die Datenverarbeitung.

Ferner sei die Umschreibung der Zwecke der Datenverarbeitungen zu vage bzw. zu wenig spezifisch. Umschreibungen wie „Bereitstellung personalisierter Dienste, einschliesslich Inhalte und Anzeigen“ oder „Verbesserung der Dienste“ seien ungenügend. Der Umfang und die Folgen der Datenverarbeitung seien für die Nutzer vor der Erstellung des Google Accounts somit nicht bestimmbar. Darüber hinaus sei auch die Umschreibung der erhobenen Daten, die zur Aufklärung über die Tragweite der Bearbeitungen hätte beitragen können, besonders unpräzis und unvollständig. Damit verletze Google die Informationspflichten nach der DSGVO.

Ebenso ungenügend seien zudem die Angaben über die Aufbewahrungsdauer der Daten. Die Datenschutzerklärung enthalte teilweise nur sehr allgemeine Formulierungen über den Zweck der Aufbewahrung, ohne aber eine konkrete Dauer oder zumindest die Kriterien zur Festlegung der Dauer zu nennen. Darüber hinaus seien diese Informationen in einem ungenügend bezeichneten Abschnitt „Exportieren und Löschen der Daten“ untergebracht, in welchem keine Informationen über die Aufbewahrungsdauer erwartet würden.

Schliesslich wurden auch die Angaben über die Rechtsgrundlage der Datenverarbeitungen als zu wenig präzis beurteilt. Auch wenn Google im Rahmen des Verfahrens angegeben hat, Rechtsgrundlage für personalisierte Werbung sei ausschliesslich das berechtigte Interesse, gehe dies nicht aus der Datenschutzerklärung hervor. Vielmehr werde darin auch auf eine „Erlaubnis zur Bereitstellung personalisierter Dienste, wie bspw. Anzeigen („autorisation de vous fournir des services personnalisés, tels que des annonces„), abgestellt. Jedenfalls sei die Unterscheidung, wofür auf eine Einwilligung und wofür auf das berechtigte Interesse abgestellt werde, zu wenig klar.

Zweiter Vorwurf: Fehlen einer gültigen Rechtsgrundlage der Datenverarbeitung aufgrund ungültiger „En-Bloc-Einwilligung“ mit vorangekreuzten Kästchen

Bereits aufgrund der mangelhaften Information über die Datenverarbeitung beurteilte die CNIL die Einwilligung am Ende der Erstellung des Google Accounts als unwirksam. Die Nutzer könnten angesichts der ungenügenden Informationen gar nicht einschätzen, welche anderen Google-Dienste wie Youtube oder Google in die Auswertung ihrer persönlichen Daten zwecks personalisierter Werbung involviert seien.

Darüber hinaus und unabhängig vom ersten Vorwurf könne der von Google gewählte Vorgang auch nicht als Ausdruck einer gültigen Einwilligung angesehen werden. So rügte die CNIL die „en-bloc“-Einwilligung, bei der die Nutzer ihre Einwilligung pauschal für sämtliche Verarbeitungszwecke abgeben. Nur durch das aktive Zutun des Nutzers durch Klicken auf „weitere Optionen“ würden diesem die einzelnen Verarbeitungszwecke angezeigt, wobei diese aber bereits standardmässig vorangekreuzt waren („pré-cochés par défaut“). Diesbezüglich verlange die DSGVO, dass der Nutzer separat für jeden Verarbeitungszweck durch eine eindeutige und aktive Handlung einwilligen können muss („donner un consentement spécifique pour chaque finalité, par un acte positif clair“). Auch diesbezüglich verwies die CNIL auf entsprechende Leitlinien des Europäischen Datenschutzausschusses (EDSA) in Bezug auf die Einwilligung nach der DSGVO, wonach standardmässig vorangekreuzte Kästchen unzulässig seien (sog. Opt-Out Lösung).

Zuständigkeit der CNIL trotz EU-Hauptsitz in Irland?

Neben den materiellen Ausführungen der CNIL sind auch deren Erwägungen zur Frage der Zuständigkeit der Französischen Datenschutzbehörde von grosser Bedeutung für die künftige Durchsetzung der DSGVO in Europa: Zwar sieht Art. 58 Abs. 2 lit. I DSGVO vor, dass jede Aufsichtsbehörde im Hoheitsgebiet ihres eigenen Mitgliedstaats zur Beurteilung von DSGVO-Verstössen zuständig ist und bspw. eine Geldbusse gemäss Art. 83 DSGVO verhängen darf. Das „One-Stop-Shop“ Prinzip gemäss DSGVO besagt jedoch, dass bei grenzüberschreitender Datenverarbeitung – also der Verarbeitung in mehr als einem Mitgliedstaat – diejenige Aufsichtsbehörde im Mitgliedstaat, in dem sich die Hauptniederlassung des für die Datenverarbeitung verantwortlichen Unternehmens befindet, die zuständige federführende Aufsichtsbehörde ist (Art. 56 DSGVO).

Da sich die Europäische Hauptniederlassung von Google in Irland befindet, wäre somit prima vista die Irish Data Protection Commission (IDPC) federführend, wenn es um Verstösse gegen die DSGVO geht. Ist die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, nicht die federführende Aufsichtsbehörde, so verlangt die DSGVO eine Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und der Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde (vgl. Erwägungsgrund 130 der DSGVO). Diesen Standpunkt vertrat auch Google und verlangte die Überweisung des Verfahrens an die IDPC oder zumindest eine Vorlage an den Europäischen Datenschutzausschuss (EDSA) zur Klärung dieser prozessualen Frage.

Diese Forderung wies die CNIL jedoch zurück. Sie begründete ihre alleinige Zuständigkeit damit, dass Google Ireland hinsichtlich der in Frage stehenden Datenverarbeitungen keine eigene Entscheidungsbefugnis innehabe. Google Ireland werde sodann auch in der Datenschutzerklärung nicht als zuständig bezeichnet. Zudem sei Google Ireland auch nicht Service Provider für das Android Betriebssystem. Vielmehr liege die vorliegend relevante Entscheidungsbefugnis bei der US-amerikanischen Gesellschaft Google LLC mit Hauptsitz im kalifornischen Mountain View. Entsprechend sei das „One-Stop-Prinzip“ nicht massgebend und die Zuständigkeit der CNIL gegeben.

Kurz nach Bekanntgabe der Sanktion durch die CNIL wurde Google Ireland durch Google LLC offiziell als zuständige Niederlassung für die Verarbeitung sämtlicher personenbezogener Daten der EU-Bürger erklärt (vgl. dazu MLL-News vom 25.2.2019). Ob die Beschwerden gegen Google vor der Irischen Behörde ebenfalls erfolgreich gewesen wären, mag bezweifelt werden: Die IDPC geniesst den Ruf, bei Datenschutzfragen vergleichsweise mild vorzugehen. Dagegen sind die Anforderungen der CNIL im Vergleich mit der Praxis anderer europäischer Behörden gerade im Hinblick auf das Transparenzerfordernis eher als streng einzustufen.

Entscheid enthält wichtige Hinweise zur praktischen Umsetzung der DSGVO

Bekanntlich regelt die DSGVO nur sehr ungenau, in welchem Umfang und mit welchem Detailgrad über die Datenverarbeitung informiert werden muss. In Bezug auf den nach wie vor umstrittenen Umfang des Transparenzgebots leistet der vorliegende Entscheid einen wichtigen Diskussionsbeitrag. Gerade die vorliegend monierte Verteilung der Datenschutzerklärung auf mehrere Dokumente ist in der Praxis nicht selten anzutreffen. Eine weitere Klärung scheint hier dringend angezeigt. Eine Zusammenführung sämtlicher Informationen in eine einzige Datenschutzerklärung kann nämlich – wie die CNIL auch selber feststellt – bei umfangreichen Datenverarbeitungsaktivitäten möglicherweise dem Transparenzgebot zuwiderlaufen.

Auch in Bezug auf die Bestimmung der Hauptniederlassung dürfte der Entscheid vereinzelt zu einem Überdenken der bisherigen Konzernlösungen führen, zumal die Begrifflichkeiten der „Hauptniederlassung“ und der „Hauptverwaltung“ nach Art. 4 Ziff. 16 DSGVO und deren Implikationen auf die Frage der federführenden Aufsichtsbehörde und des Sanktionsadressaten keinesfalls restlos geklärt sind. Gerade für Schweizer Unternehmen – mit oder ohne Niederlassung in der EU – ist diese Frage von Bedeutung.

Nachdem Google den Entscheid angefochten hat, ist der Fall nun beim Conseil d’Etat, dem obersten Verwaltungsgericht in Frankreich hängig. In letzter Instanz dürfte wohl der Europäische Gerichtshof (EuGH) über die Rechtmässigkeit der Sanktion entscheiden.

Sanktion mit enormer Signalwirkung

Datenschutzrechtsverletzungen der vorliegenden Art können mit Geldbussen von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden. Obwohl sich die verhängte Busse von 50 Mio. Euro mit Blick auf Googles Umsatz eher am unteren Rand des zulässigen Sanktionsrahmens bewegt, handelt es sich um die bisher höchste Busse in der Geschichte des Europäischen Datenschutzes. Ihr dürfte daher eine enorme Signalwirkung auf andere Wirtschaftsakteure zukommen – auch auf zahlreiche Schweizer Unternehmen (zur Anwendbarkeit der DSGVO auf Schweizer Unternehmen vgl. MLL-News vom 30.7.2017 und MLL-News vom 21.9.2017).

Die Höhe der Sanktion begründete die CNIL primär damit, dass Google eine besonders massive und aufdringliche Datenverarbeitungparticulièrement massifs et intrusifs») an den Tag legt. Diese sei in der Lage, die intimsten Aspekte des Lebens der Nutzer mit einem hohen Mass an Genauigkeit zu offenbaren («la collecte de chacune de ces données est susceptible de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes»). Die angewandte Härte gegen Google und die Höhe der Sanktion ist somit – wie so oft – von den Umständen des Einzelfalls geprägt. Dennoch wurden ähnliche Beschwerden bereits gegen Facebook, Instagram und WhatsApp eingereicht – ebenfalls Unternehmen mit Zugriff auf riesige Datenmengen. Für diese Verfahren dürfte der vorliegende Entscheid zweifelsohne eine Vorreiterrolle einnehmen. Künftig ist zudem zu erwarten, dass – beflügelt durch den Erfolg gegen Google – weitere private Verbände Verfahren gegen internationale Konzerne wegen DSGVO-Verletzungen einleiten. Die Organisation nyob hat denn auch bereits weitere acht Beschwerden gegen die grossen Streaming-Anbieter eingereicht (vgl. auch MLL-News vom 25.2.2019).

Der Höhe der Sanktion sollte auch aus Sicht kleinerer Unternehmen Beachtung geschenkt werden. Die CNIL hat mit ihrem Sanktionsentscheid zumindest für Frankreich klargestellt, dass auch schwierige und unklare Vorgaben der DSGVO nicht mehr mit symbolischen Bussgeldern durchgesetzt werden sollen. Zwar führt die CNIL zur Begründung ihrer Härte insbesondere das datengetriebene Geschäftsmodell von Google an, welches zu einem wesentlichen Teil auf personalisierter Werbung basiere und daher eine besondere Verantwortung mit Blick auf ihre DSGVO-Konformität begründe. Dieses Kriterium erfüllen aber unzählige, auch kleinere Unternehmen, die in der datengesteuerten Wirtschaft aktiv sind.

Weitere Informationen: