• Deutsch
  • Aktuelles
  • CNIL: Millionenbußgeld gegen Google wegen DSGVO-Verstößen

CNIL: Millionenbußgeld gegen Google wegen DSGVO-Verstößen

Die französische Datenschutzbehörde CNIL stellte Verstöße durch Google gegen die seit Ende Mai 2018 geltende DSGVO fest und verhängte eine 50 Millionen EURO Strafe. Peter Hense, Rechtsanwalt und Partner bei Spirit Legal LLP, erklärt das Vorgehen von CNIL Aufgrund von Beschwerben der Oragnisationen NOYB und La Quadrature du Net.

Transkript: Die französische Datenschutzbehörde CNIL hat gegen Google ein Bußgeld von EUR 50,00 Mio. verhängt. Worum geht es dabei genau? Mein Name ist Peter Hense, ich bin Rechtsanwalt und Partner bei Spirit Legal LLP im Bereich Technologie und Datenschutzrecht. Und ich möchte Ihnen heute erklären, was hinter dieser Rekordstrafe steckt.

Google hat nach Auffassung der französischen Datenschutzaufsicht gegen wichtige Verpflichtungen der neuen europäischen Datenschutzgrubdverordnung verstoßen, indem Google wichtige Informationen zur Verwendung der Daten durch Google selbst aber auch durch andere Käufer dieser Daten verbirgt. Hinweise darauf seien für Nutzer verkürzt und hinter einer Vielzahl von Querverweisen über mehrere Dokumente hinweg versteckt worden.

Damit verstoße das Unternehmen gegen den wichtigen Transparenzgrundsatz der DSGVO. Außerdem meint die Behörde, dass Google für die wirtschaftliche Ausbeutung der Daten seiner Nutzer und für die Erstellung von Persönlichkeitsprofilen sowie personalisierte Werbung keine wirksame Rechtsgrundlage vorweisen kann. Dieser letzte Punkt sticht besonders heraus, denn die Damen und Herren bei Google meinen sehr wohl, dass sie Einwilligungen ihrer Nutzer einholen würden.

Die Behörde ist jedoch der Auffassung, dass diese Einwilligungen weder „unmissverständlich“ sind, noch spezifisch genug. Man kann bei Google eben nicht präzise nach Verwendungszweck differenzieren und sich gesondert entscheiden, ob man die eigenen Daten zur Standortbestimmung, zum Datenverkauf, für Profiling oder eben gar nicht verwenden lassen möchte.

Der Nutzer, so der Bußgeldbescheid, hat keine Wahl, weil er die Google Nutzungsbedingungen und Datenschutzbestimmungen vor der Nutzung der Google Dienste nicht punktuell, sondern nur vollständig akzeptieren kann. Außerdem, und das kann man gut nachvollziehen, liegt eine wirksame Einwilligung nicht vor, wenn Google die betreffenden Auswahlbox bereits mit einem voreingestellten Häkchen versieht und damit die Entscheidung des Nutzers vorwegnimmt.

Kurz gesagt hat die CNIL den Standpunkt eingenommen, dass es nicht zulässig ist, den Informationsfluss und die Darstellung auf eigenen Websites und Apps so irreführend zu gestalten, dass Nutzern keine Wahl bleibt, als auf irgendwelche Schaltflächen zu klicken und damit aufgrund dieser Irreführung scheinbar eine Zustimmung zu dem von vornherein vom Unternehmen erstrebten Ziel, nämlich vollständiger Datenerfassung und Datenhandel zu erklären.

Derartige Gestaltungsformen von Informationsboxen, Schaltflächen und sonstigen Webelementen, die das Ziel haben, Nutzer hinters Licht zu führen, nennt man Dark Patterns, „dunkle Gestaltungsmuster“. Und genau diesem manipulativen Design, diesen Praktiken von der „dunklen Seite der Macht“ stehen die Prinzipien des Datenschutzrechtes entgegen.

Denn das Datenschutzrecht hat immer den Schutz der persönlichen Freiheiten der Betroffenen im Blick. Die CNIL wurde tätig, nachdem zwei gemeinnützige Organisationen, die sich für konsequenten Schutz von Bürgerrechten und damit auch Datenschutz einsetzen, entsprechende Beschwerden eingereicht hatten: Einmal die Österreichische Organisation mit dem hübschen Namen N.O.Y.B., kurz für „None of Your Business – Europäisches Zentrum für digitale Rechte“ sowie die nicht weniger klangvolle französische Organisation „La Quadrature du Net“.

Beide Organisationen werden als „Privacy Watchdogs“ bezeichnet und machen mit diesem Verfahren ihrem Namen alle Ehre, denn sie beißen zu, und wie. Das Bußgeld fiel auch deshalb recht knackig aus, weil es eben Google ist. Die CNIL hat bei der Bußgeldbemessung erwogen, dass es sich

  1. um gezielte Verstöße gegen Kernprinzipien des Datenschutzrechts handele und nicht etwa einen Ausrutscher sowie,
  2. dass das Ausmaß der Datenverarbeitung durch Google massiv ist, denn Google Dienste dringen mittlerweile in nahezu jeden Lebensbereich ein, und, nicht zuletzt,
  3. dass die angenommenen Verstöße bis zum heutigen Tage andauern.

Schließt man sich der Auffassung der Behörde an, so erscheint vor diesem Hintergrund das Bußgeld mehr als angemessen. Freunde großer Zahlen meinen, es hätte sogar noch höher ausfallen können. VW habe ja für einen kleinen Softwarefehler bei der Abgassteuerung seiner Dieselfahrzeuge in den USA an die US Verbraucherschutzbehörde FTC immerhin mehr als 10 Milliarden US-Dollar gezahlt. Da kann man sagen, ruhig Blut, das Jahr 2019 hat ja auch gerade erst begonnen und wer weiß, was uns noch so erwartet.

Ein wichtiger Punkt für alle Unternehmen, die Advertising Technology, AdTech, anbieten und einsetzen und die insbesondere im Bereich Programmatic Advertising tätig sind: Google geht in dem Verfahren offenbar selbst davon aus, dass die eigene Webanalyse und das entsprechende Targeting und Advertising sich nicht auf ein Überwiegen berechtigter Interessen stützen kann, also ohne eine Einwilligung auskommt, sondern, im Gegenteil, eine solche Einwilligung für durch Google personalisierte Werbung unbedingt erforderlich ist. An der Stelle ist es nicht überraschend, wenn Juristen darauf hinweisen, dass man sich auf die schwammige Rechtsgrundlage „überwiegender berechtigter Interessen“ nach Art. 6.1.f DSGVO nur in seltenen Fällen verlassen sollte.

Ein weiterer schöner Aspekt: Wer auf seiner Website für Datenschutzhinweise eine Zustimmung einholt, schafft damit ein erhebliches Folgeproblem. Denn Datenschutzhinweise nach Art. 12, 13 und 14 der DSGVO sind Informationspflichten und denen muss man nicht zustimmen, man muss sie nur liefern. Bestenfalls ist der zusätzliche Klick auf der Website überflüssig und treibt damit die Conversion im Checkout der Website nach unten. Schlimmstenfalls sind aber auch alle Datenverarbeitungsvorgänge, die in den Datenschutzinformationen angesprochen werden, unwirksam. Denn wenn ich als Seitenbetreiber davon ausgehe, dass ich diesen Datenverarbeitungen als Nutzer zustimmen muss, dann muss die Zustimmung für jeden einzelnen Punkt gesondert erfolgen können. Andernfalls ist die allgemeine Zustimmung als Globaleinwilligung rechtswidrig und wertlos.

Kurz: Bitte keine Häkchen mehr für Datenschutzerklärungen!

Hat die Entscheidung Bestand, dann bedeutet es, dass Google solange keine Profile über Nutzer anlegen und mit diesen Daten handeln darf, bis der Nutzer eine rechtssichere Einwilligung erteilt hat sowie, dass die rechtswidrig erstellten Profile der Vergangenheit gelöscht werden müssen. Man hat bei Google allein die Wahl zwischen „Friss oder stirb“, man kann also Google nutzen und muss dann aber auch sein gesamtes Nutzerverhalten mit Google und seinen Werbepartnern teilen, oder man verzichtet auf die schönen Google-Dienste wie Maps, Playstore, Photos und YouTube und der Bildschirm bleibt dunkel.

Über die damit zusammenhängende Frage, ob angesichts dieses Zwangs noch von einer „Freiwilligkeit der Einwilligung“ gesprochen werden kann, darüber hat die CNIL erstaunlicherweise (noch) nicht entschieden. Und La Quadrature du net kritisiert auch genau diese Zurückhaltung. Ich erwarte jedoch, dass die Behörde sich in Kürze im Zusammenhang mit anderen anstehenden Verfahren hier deutlich positionieren wird. Ein erstes Statement von Google zur Entscheidung ist recht schmallippig:

"Die Menschen erwarten von uns ein hohes Maß an Transparenz und Kontrolle. Wir sind fest entschlossen, diese Erwartungen und die Zustimmungserfordernisse der GDPR zu erfüllen. Wir untersuchen die Entscheidung, um unsere nächsten Schritte festzulegen."

Das liest sich fast so einsichtig wie ein Statement von VW im Dieselskandal.

Bei NOYB hingegen überwiegt die Freude. Max Schrems, Gründer und Vorsitzender der Initiative:

"Wir sind sehr froh, dass erstmals eine europäische Datenschutzbehörde die Möglichkeiten der DSGVO nutzt, um klare Rechtsverstöße auch zu ahnden. Nach der Einführung der DSGVO haben wir feststellen müssen, dass große Konzerne wie Google die DSGVO einfach ‚anders interpretieren‘ und ihre Produkte oft nur oberflächlich angepasst haben. Es ist wichtig, dass die Behörden klarstellen, dass das nicht reicht. Wir freuen uns auch, dass unsere Arbeit für Grundrechtsschutz Früchte trägt. Ich möchte auch unseren Unterstützern danken, die unsere Arbeit ermöglichen."

Diesem Dank schließe ich mich an und verabschiede mich mit einem freundlichen Gruß nach Paris und Wien.

Einen Kommentar schreiben

Tags

patent TeamSpirit New Work ADV Pressekodex Duldungsvollmacht Wettbewerb Onlineshop Wettbewerbsverbot Amazon Kennzeichnung Infosec Fotografen data Abwerbeverbot Ratenparität E-Mail-Marketing Doxing AfD Markensperre Hotelvermittler Urheberrechtsreform LikeButton Presse Double-Opt-In OLG Köln Namensrecht Europawahl Technologie Geschäftsführer Team Scam Unterlassungsansprüche Gesundheit ransom Website Midijob Barcamp Marketing Fotografie E-Mail Verpackungsgesetz Extremisten USA arbeitnehmer Team Spirit Mitarbeiterfotografie Kunsturhebergesetz Meinungsfreiheit Medienstaatsvertrag recht am eigenen bild E-Mobilität fake news Email Creative Commons Aufsichtsbehörden CRM Datenschutz Arbeitsunfall Cyber Security Selbstverständlichkeiten ReFa § 24 MarkenG Bewertung Datenschutzrecht Einstellungsverbot bgh Recap kommunen wetteronline.de Crowdfunding Big Data jahresabschluss Dark Pattern § 5 MarkenG technik Wettbewerbsbeschränkung Internet html5 Leaks Check-in Freelancer right of publicity Medienrecht A1-Bescheinigung Diskriminierung Künstliche Intelligenz Dynamic Keyword Insertion Rückgaberecht LG Hamburg WLAN Löschungsanspruch Blog ecommerce Sponsoring Schadenersatz Spirit Legal Messe Event Jugendschutzfilter Direktmarketing handel Erschöpfungsgrundsatz Markenrecht Weihnachten Textilien Auftragsdatenverarbeitung LG Köln Influencer Opentable Sperrwirkung Preisangabenverordnung Sicherheitslücke Leipzig Suchfunktion Authentifizierung Hinweispflichten information technology Booking.com § 5 UWG urheberrechtsschutz Bildrecherche online werbung Corporate Housekeeping Social Media Kundendaten Hack fotos Kennzeichnungskraft Ofcom Vertragsrecht informationstechnologie drohnengesetz Überwachung AIDA USPTO vertrag Online-Portale Berlin ePrivacy Türkisch entgeltgleichheit Unlauterer Wettbewerb Ferienwohnung Algorithmus Transparenz Foto total buy out 3 UWG Umtausch Vertrauen Meldepflicht Annual Return Schadensersatz Osteopathie Chat Trademark Stellenausschreibung Digitalwirtschaft KUG Class Action Tracking besondere Darstellung News Panoramafreiheit Notice & Take Down Suchmaschinenbetreiber Consent Management Microsoft Job Webdesign berufspflicht Bachblüten Facial Recognition Auftragsverarbeitung EU-Kommission Insolvenz Meinung Urteile Kapitalmarkt § 15 MarkenG Datenschutzgesetz AGB copter Geschäftsgeheimnis Bundesmeldegesetz Abhören Bildung Stellenangebot Instagram Impressum Dokumentationspflicht JointControl Tipppfehlerdomain E-Commerce Reiserecht HSMA Sitzverlegung FashionID Irreführung Auslandszustellung

Die Rechtsanwaltssozietät Spirit Legal berät in- und ausländische Unternehmen mit internationaler Ausrichtung. Unser fachlicher Beratungsschwerpunkt liegt in den Bereichen E-Commerce, Gesellschafts-, Wettbewerbs-, Marken-, IT- und Datenschutzrecht. Dank unserer Branchenerfahrung sind wir in rechtlichen Fragen der spezialisierte Ansprechpartner für Start-ups, Reiseunternehmen und die Hotellerie.

© Spirit Legal 2013 - 2021, alle Rechte vorbehalten