50 Millionen Bußgeld für Google

Was mit der DS-GVO stets befürchtet wurde, ist nun erstmalig Realität geworden: die französische Aufsichtsbehörde CNIL hat nun gegen Google ein erstes hohes Bußgeld ausgesprochen.

Ausgangspunkt des Verfahrens: Beschwerden von Verbänden

Am 25. und 28. Mai 2018 erhielt die CNIL zwei Kollektivbeschwerden des Verbandes None Of Your Business (NOYB) und des Vereins La Quadrature du Net (LQDN) gemäß Art. 80 DS-GVO. In kumulativer Weise stehen diese Beschwerden für 9.974 Personen. In seiner Beschwerde erklärt der Verband NOYB insbesondere, dass Nutzer von Android-Mobilgeräten die Datenschutzbestimmungen von Google und die Allgemeinen Geschäftsbedingungen akzeptieren müssten oder alternativ den Service nicht nutzen könnten. Der Verband LQDN ist der Ansicht, dass Google unabhängig vom verwendeten Endgerät keine gültigen Rechtsgrundlagen für die Durchführung der Verarbeitung personenbezogener Daten zum Zwecke der Verhaltensanalyse und für das Targeting von Werbung hat.

1. Verstoß: Mangelnde Transparenz i.S.d. Art. 12-14 DS-GVO

Angriffspunkt in der Beschwerde ist, dass die Informationen, die das Unternehmen den Nutzern zur Verfügung stellt, die in Art. 12 DS-GVO festgelegten Ziele der Zugänglichkeit, Klarheit und des Verständnisses nicht erfüllen. Außerdem würden bestimmte Informationen, die in Art. 13 DS-GVO verpflichtend vorgeschrieben sind, den Nutzern nicht zur Verfügung gestellt werden.

Tatsächlich sind die Informationen, die Einzelpersonen gemäß Art. 13 DS-GVO offengelegt werden müssen, übermäßig in mehreren Dokumenten verstreut: sowohl in den Datenschutzrichtlinien als auch in den Nutzungsbedingungen, die während der Kontoerstellung angezeigt werden, sowie Privacy rules, die in einem zweiten Zeitpunkt durch anklickbare Links im ersten Dokument zugänglich sind. Diese verschiedenen Dokumente enthalten Schaltflächen und Links, die aktiviert werden müssen, um zusätzliche Informationen zu erhalten. Eine solche aktive Wahl führt zu einer Fragmentierung von Informationen. So muss der Benutzer die zum Zugriff auf die verschiedenen Dokumente erforderlichen Klicks vervielfachen. Die betroffene Person muss dadurch mit hohem Aufwand eine Vielzahl von Informationen einholen, bevor sie die relevanten Absätze identifizieren kann. Die vom Benutzer zu leistene Arbeit geht noch weiter: er muss die gesammelten Informationen immer noch abgleichen und vergleichen, um zu verstehen, welche Daten gemäß den verschiedenen Einstellungen erfasst werden, die er möglicherweise ausgewählt hat.

2. Verstoß: Keine rechtskonforme Einwilligung für Anzeigenpersonalisierung

Auch im Hinblick auf die Erwähnung der Rechtsgrundlage der personalisierten Werbung herrscht Unklarheit und wenig Nachvollziehbarkeit. In der Datenschutzerklärung des Unternehmens heißt es zunächst: „Wir bitten Sie um Ihre Einwilligung, Ihre Daten für bestimmte Zwecke zu verarbeiten, und Sie können Ihre Einwilligung jederzeit widerrufen. Zum Beispiel bitten wir Sie um Ihre Einwilligung personalisierte Services wie Anzeigen bereitzustellen.“ (Übersetzung der Datenschutzerklärung).

Die hier gewählte Rechtsgrundlage scheint also die Einwilligung zu sein. Google baut jedoch nicht ausschließlich auf die Einwilligung als Rechtsgrundlage, sondern stellt parallel weiter auf berechtigte Interesse ab. Auf dieser Grundlage werden insbesondere Marketingmaßnahmen und Werbung durchgeführt. Dies dient dazu, die Dienste von Google bei den Nutzern bekannt zu machen und um eine große Anzahl der Dienstleistungen für Nutzer frei verfügbar zu machen. Im Ergebnis kommt die CNIL dazu, dass die Einwilligung, auf die sich das Unternehmen zur Personalisierung von Werbung stützt, nicht wirksam eingeholt wird. Die Einwilligung wird vom Betroffenen weder in informierter Weise noch als ausdrückliche Willensbekundung erteilt. Eine pauschale Einwilligung in alle in der Datenschutzerklärung genannten Fälle kann die Anforderungen an eine für einen konkreten Fall erteilte Einwilligung nämlich nicht erfüllen.

Was führte zu dem enorm hohen Bußgeld?

Google hält ein Bußgeld von 50 Millionen Euro für unverhältnismäßig. Das Unternehmen ist seit 2015 eine hundertprozentige Tochtergesellschaft von ALPHABET und erzielte im Jahr 2017 einen Umsatz von 109,7 Milliarden US-Dollar (rund 96 Milliarden Euro). Dementsprechend wäre ein Bußgeld gem. Art. 83 DS-GVO in Höhe von bis zu 3,84 Milliarden Euro zulässig gewesen.

Für die Festsetzung der Bußgeldhöhe war laut der CNIL primär die besondere Natur der Verstöße, die in der Rechtmäßigkeit der Verarbeitung sowie in den Transparenz- und Informationspflichten festgestellt wurden, maßgebend. Unstrittig ist Art. 6 DS-GVO eine zentrale Bestimmung des Schutzes personenbezogener Daten. Transparenz- und Informationspflichten sind auch insofern unabdingbar, als sie die Ausübung der Rechte der Menschen beeinflussen und ihnen so die Kontrolle über ihre Daten ermöglichen. In dieser Hinsicht gehören sowohl Art. 6 DS-GVO als auch Art. 12 und 13 DS-GVO zu den Bestimmungen, deren Unkenntnis nach Art. 83 Abs. 5 DS-GVO am stärksten geahndet werden kann. Hinzu kam der Umstand, dass die festgestellten Mängel bis heute andauern. Es handelt sich weder um ein kurzfristiges Missverständnis der Rechtspflichten des Unternehmens noch um einen gewöhnlichen Verstoß, den der Verantwortliche seit der behördlichen Prüfung spontan beendet hätte. Schließlich ist die Schwere der Verstöße zu bewerten. Insbesondere im Hinblick auf den Zweck der Behandlungen, ihren Umfang und die Anzahl der betroffenen Personen. Nach Ansicht des Unternehmens sind nur 7% ihrer Nutzer direkt betroffen. Dennoch ist die Anzahl der betroffenen Personen in absoluten Zahlen besonders wichtig.

In Anbetracht des Umfangs der Datenverarbeitung – insbesondere der Personalisierung von Werbung – und der Anzahl der betroffenen Personen zeigt die Aufsichtsbehörde, dass die zuvor festgestellten Mängel von besonderer Bedeutung sind. Mangelnde Transparenz in Bezug auf diese weitreichenden Behandlungen sowie das Fehlen einer gültigen Einwilligung des Nutzers zur Personalisierung von Werbung stellen erhebliche Verstöße gegen den Schutz ihrer Privatsphäre dar.

Fazit

Im Ergebnis hält die französische Aufsichtsbehörde ein Bußgeld bis zu 50 Millionen Euro für gerechtfertigt, ebenso eine ergänzende Werbesanktion aus den gleichen Gründen. Berücksichtigt werden dabei auch die herausragende Stellung des Unternehmens auf dem Markt für Betriebssysteme, die Schwere der Mängel und das Interesse, welches diese Entscheidung bei der Information der Öffentlichkeit darstellt. Es wäre nicht überraschend, dass Google den Bußgeldbescheid der CNIL gerichtlich überprüfen lassen wird. Bei dieser Bußgeldhöhe wird dies wohl die logische Reaktion sein, die keine Scheu vor weiteren Kosten für Gericht und Anwälte kennt.