Die nationale Datenschutzbehörde Frankreichs CNIL („Commission Nationale de l’Informatique et des Libertés“) hat am 21. Januar 2019 ein Bußgeld in Höhe von 50 Millionen Euro gegen die Gesellschaft GOOGLE LLC verhängt. Die französische Datenschutzaufsicht ahndet mit dem Bußgeld die Verletzung von Transparenz- und Informationspflichten gegenüber Nutzern von Google-Diensten (Android) sowie die Ungültigkeit der von Google verwendeten Werbe-Einwilligung.
Hintergrund der Entscheidung
Der Entscheidung der CNIL lagen Sammelbeschwerden durch die Datenschutzorganisationen „La Quadrature du Net“ und „None Of Your Business“ zugrunde. Beide Beschwerden wurden unmittelbar nach Inkrafttreten der DS-GVO bei der französischen Aufsichtsbehörde eingereicht. Darin hatten die Netzaktivisten, zu denen auch der aus früheren Datenschutzverfahren bekannte Wiener Aktivist Max Schrems zählt, insbesondere gerügt, dass die von Google bereitgestellten Dienste den Nutzern "Zwangseinwilligungen" abverlangen würden, ohne die eine Nutzung der Dienste gänzlich unmöglich sei. Die Datenschützer warfen Google vor, einen Datenschutz nach dem Prinzip „Take it or leave it“ („à prendre ou à laisser“) zu betreiben und damit gegen das Koppelungsverbot aus Art. 7 Abs. 4 DS-GVO zu verstoßen. Entsprechende Beschwerden hatte der von Schrems gegründete Verein „None Of Your Business“ damals auch bei Behörden anderer EU-Mitgliedsstaaten, etwa gegen Facebook (Österreich), WhatsApp (Deutschland) oder Instagram (Belgien), erhoben.[1]
Zuständigkeit der französischen Datenschutzaufsicht
Die CNIL stellte zunächst die eigene Zuständigkeit fest. Dieser Schritt war erforderlich, da die DS-GVO nach Art. 56 bei grenzüberschreitenden Sachverhalten in der Union die Zuständigkeit der Aufsichtsbehörde am Sitz der Hauptniederlassung vorsieht („One-Stop-Shop"). Die CNIL gelangte nach einem Austausch mit den übrigen nationalen Aufsichtsbehörden und insbesondere der Datenschutzaufsicht in Irland, wo sich der europäische Geschäftssitz von Google befindet, jedoch zum Ergebnis, dass Google keine "Hauptniederlassung" im Sinne der DS-GVO in einem Mitgliedsstaat habe. Die "Hauptniederlassung" liegt nach der DS-GVO zwar grundsätzlich am Ort der Hauptverwaltung, entscheidend kommt es aber darauf an, ob von dieser Stelle die Zwecke und Mittel der Datenverarbeitung gesteuert werden. Die Entscheidungsbefugnisse lagen bei Google aber weniger in Irland als in der Unternehmenszentrale in den USA. Aus diesem Grund war die CNIL gemäß Art. 58 DS-GVO befugt, über die Zulässigkeit der Datenverarbeitungsvorgänge durch Google zu entscheiden.[2]
Verstoß gegen Transparenz- und Informationspflichten
Zum einen stellte die CNIL fest, dass die von Google bereitgestellten Informationen hinsichtlich der Verarbeitung der erhobenen Daten nicht hinreichend zugänglich seien. So ergeben sich zentrale Informationen, wie etwa Verarbeitungszwecke oder Speicherdauer der Daten sowie die Kategorien personenbezogener Daten in Bezug auf die Personalisierung von Werbeanzeigen, erst aus einer Gesamtschau verschiedener Dokumente, wobei der Zugriff auf sämtliche Informationen erst nach Betätigung gesonderter Schaltflächen und Links (teilweise fünf oder sechs Zwischenschritte erforderlich) gewährt werde.
Zudem kritisierte die CNIL die fehlende Klarheit und Verständlichkeit der von Google bereitgestellten Informationen. So mangele es hier im Hinblick auf den Umfang der Datenverarbeitungsvorgänge, die aufgrund der Vielzahl der angebotenen Dienste mit massiven und aufdringlichen Eingriffen gegenüber den Nutzern verbunden seien, an Transparenz. Speziell die Beschreibung der Verarbeitungszwecke und der hierfür im Einzelnen erfassten Daten werde laut CNIL nicht dem datenschutzrechtlichen Transparenzgebot gerecht. Schließlich fehle es auch an dem eindeutigen Hinweis, dass die rechtliche Grundlage von Verarbeitungsvorgängen zur Personalisierung von Werbeanzeigen in der Einwilligung des Nutzers liegt, sowie an der Angabe der Löschfristen in Bezug auf bestimmte Datensätze.
Fehlen gültiger Einwilligungserklärungen in Bezug auf personalisierte Werbeanzeigen
Zum anderen entbehrt laut CNIL die Datenverarbeitung durch Google zum Zwecke der Personalisierung von Werbeanzeigen einer rechtlichen Grundlage, da die eingeholten Einwilligungserklärungen, auf die sich Google in diesem Zusammenhang beruft, datenschutzrechtlich aus mehreren Gründen ungültig seien.
Einerseits liege der Einwilligung der Nutzer keine hinreichende Aufklärung zugrunde („consentement pas suffisament éclairé“), was insbesondere darauf zurückzuführen sei, dass es aufgrund der Verteilung der Hinweise auf verschiedene Dokumente zu einer Verwässerung der entscheidenden Informationen komme, insbesondere im Hinblick auf den Umfang der Verarbeitungsvorgänge im Rahmen einer Vielzahl von Diensten wie Google-Suche, YouTube, Google-Home, Google-Maps, Google-Playstore oder Google-Bilder.
Andererseits seien nach Auffassung der CNIL die Einwilligungserklärungen weder zweckbezogen („spécifique“) noch unmissverständlich („univoque“) genug. Zwar habe der Nutzer bei der Erstellung eines Kontos die Möglichkeit, verschiedene Parameter bezüglich der Schaltung personalisierter Anzeigen zu verändern, indem er vor Erstellung seines Kontos die Schaltfläche „mehr Optionen“ („plus d’options“) betätigt. Ein Verstoß gegen die DS-GVO liege hier dennoch vor, da der Nutzer hierfür selbst tätig werden muss und die Anzeige personalisierter Werbung zudem standardmäßig bereits vorangekreuzt ist, während nach den Maßstäben der DS-GVO eine unmissverständliche Einwilligung nur dann vorliegt, wenn der Nutzer – durch Ankreuzen eines standardmäßig leeren Kästchens – eine bestätigende Handlung vornimmt. Auch werde der Nutzer durch die Aufforderung zu einer generellen Einverständniserklärung dazu verleitet, eine gesamte Einwilligung hinsichtlich sämtlicher von Google verfolgter Zwecke auf der Grundlage einer einzigen Erklärung zu erteilen. Eine entsprechende Einwilligung sei indessen für jeden einzelnen Zweck separat erforderlich, da nach dem datenschutzrechtlichen Grundsatz der Zweckbindung die Speicherung, Nutzung und Verarbeitung personenbezogener Daten stets in Abhängigkeit zu einem bestimmten Zweck zu setzen ist.
Ein Triumph der Datenschutzaktivisten im Kampf gegen „Zwangseinwilligungen“ ?
Zentraler Gegenstand der Beschwerde war die von Google und anderen Datenkonzernen betriebene Praxis, umfassende Einwilligungserklärungen bei der Registrierung einzuholen. So sahen sich die Nutzer entsprechender Dienste unmittelbar nach Inkrafttreten der DS-GVO einer Vielzahl von „Zustimmungskästchen“ gegenüber, die eine (weitere) Nutzung der Dienste an die Erteilung einer solchen Einwilligung knüpfen. Diese Vorgehensweise wurde von den Aktivisten als eine Einholung von „Zwangseinwilligungen“ gebrandmarkt.[3]
Ein zentraler Angriffspunkt der Beschwerde von „None Of Your Business“ lag daher in der fehlenden Freiwilligkeit der Einwilligung, an die nach Art. 7 Abs. 4 DS-GVO sowie Erwägungsgrund 43 hohe Anforderungen gestellt werden. Die Aktivisten argumentierten, eine Einwilligung könne nicht freiwillig sein, wenn die Nutzung eines Dienstes an eine Einwilligung zur Verarbeitung von Daten, die zur Vertragserfüllung nicht erforderlich sind, geknüpft ist („Conditionnalité de l’accès au Service“).[4] Nach dem Prinzip „alles oder nichts“ („Tout ou rien“) verlange Google seinen Nutzern ab, Vertraulichkeits- und Nutzungsbedingungen in Bezug auf sämtliche Dienste (Google-Suche, Google-Home, Google-Maps etc.) zuzustimmen, auch wenn ein Großteil dieser Dienste tatsächlich nicht genutzt werden sollte.[5] Folglich sei die Einwilligung hier nicht freiwillig, jedenfalls aber auch nicht zweckbezogen.[6]
Auch wenn in der Entscheidung der CNIL an keiner Stelle von einer „Zwangseinwilligung“ („consentement forcé“) die Rede ist, teilt die Aufsichtsbehörde gleichwohl den Standpunkt der Beschwerdeführer, wonach die von Google verwendeten „Zustimmungskästchen“ den Nutzer dazu verleiten würden, durch seine Erklärung eine Einwilligung „en bloc“ für alle von Google verfolgten Zwecke zu erteilen.[7] Nichtsdestotrotz fehlt es nach Auffassung der Datenschutzbehörde im Ergebnis weniger an der Freiwilligkeit als an den Voraussetzungen einer hinreichenden Aufklärung sowie der Zweckbezogenheit und der Unmissverständlichkeit der Einwilligung. In besonderem Maße verweist die CNIL dabei auf den Grundsatz der Zweckbindung, wonach eine gültige Einwilligung nur dann vorliegen könne, wenn diese separat für jeden Zweck erteilt wird, woran es nach Auffassung der Aktivisten jedenfalls fehlte.
Auch wenn die CNIL die gerügten Praktiken im Ergebnis für unzulässig erklärt, bleibt sie hinter dem Anliegen der Beschwerdeführer zurück, die von Google eingeholten Einwilligungserklärungen als „Zwangseinwilligungen“ zu verurteilen. Auch unter Berücksichtigung der festgestellten Verstöße gegen Transparenz- und Informationspflichten, die in der Form nicht von Seiten der Datenschutzaktivisten gerügt worden waren, gelangt die französische Datenschutzaufsicht indessen zum Ergebnis, dass die festgestellten Verstöße gegen die DS-GVO in ihrer Gesamtheit eine beträchtliche Geldbuße im Sinne von Art. 83 DS-GVO rechtfertigen.
Bußgeld und Resonanz der Datenschutzaktivisten
Mit der Entscheidung vom 21. Januar 2019 hat die CNIL Google ein Bußgeld in Höhe von 50 Millionen Euro auferlegt. Die Höhe des Bußgeldes sowie die Veröffentlichung der Entscheidung rechtfertigt die CNIL insbesondere mit der Schwere der festgestellten datenschutzrechtlichen Verstöße, die wesentliche Grundprinzipien der Verordnung wie Transparenz, Information und Einwilligung zum Gegenstand haben. Die Nutzer der Google-Dienste werden dadurch grundlegender Garantien hinsichtlich der Verarbeitung ihrer personenbezogenen Daten beraubt. Zumal handele es sich bei den festgestellten Verstößen nicht um punktuelle, sondern um dauerhafte Verletzungen der Vorgaben der DS-GVO, die angesichts der großen Bedeutung des Nutzersystems Android auf dem französischen Markt von besonderem Gewicht seien.
Die CNIL verhängt damit ein erhebliches Bußgeld, bleibt jedoch weit hinter dem möglichen maximalen Bußgeld zurück. Die Beschwerdeführer hatten unter Berufung auf Art. 83 Abs. 5 lit. a) DS-GVO, der ein maximales Bußgeld von vier Prozent des weltweit erzielten Jahresumsatzes zulässt, in der Beschwerde noch auf den Bußgeldrahmen von bis zu 3,79 Milliarden Dollar für Google verwiesen. Nach Veröffentlichung der Entscheidung beurteilte Datenschutzaktivist Max Schrems das von der CNIL verhängte Bußgeld als eine Rekordstrafe für den Datenschutz, die angesichts des Umsatzes von Google aber nur ein „Schuss vor den Bug“ sei.[8] In einer ersten Stellungnahme hat Google durch einen Pressesprecher verkünden lassen, dass der Konzern den hohen Erwartungen in Bezug auf Transparenzstandards und Einwilligung nach den Maßstäben der DS-GVO gerecht werden wolle.[9]
Für Unternehmen wird durch die Entscheidung der CNIL, die eine verhältnismäßig strenge Auslegung der Vorgaben der DS-GVO und deren Auslegung durch die EU-Datenschutzbehörden vornimmt, noch einmal die Bedeutung der Transparenz- und Informationspflichten sowie insbesondere des Grundsatzes der Zweckbindung im Rahmen der Einwilligung ersichtlich. In Zukunft dürfte bei Missachtung dieser und anderer datenschutzrechtlicher Grundprinzipien – auch seitens der Aufsichtsbehörden anderer Mitgliedsstaaten – mit weiteren empfindlichen Bußgeldern, insbesondere gegenüber Datenkonzernen mit entsprechenden Geschäftspraktiken in Bezug auf personalisierte Werbung, zu rechnen sein.
