Erste Millionenstrafe nach DSGVO

Am 21. Januar 2019 verhängte die französische Aufsichtsbehörde CNIL gegen das Unternehmen GOOGLE LLC eine Geldstrafe in Höhe von 50 Millionen Euro gemäß der Allgemeinen Datenschutzverordnung (DSGVO), weil es an Transparenz mangelte, unzureichende Informationen und keine gültige Zustimmung zu den Anzeigen Personalisierung.

Am 25. und 28. Mai 2018 erhielt die Nationale Datenschutzkommission (CNIL) Gruppenbeschwerden der Verbände None Of Your Business („NOYB“) und La Quadrature du Net („LQDN“), die zusammen mehr als 10 000 betroffene Personen vertreten, Eine Beschwerde wegen bestehender Datenschutzverletzungwn. In den beiden Beschwerden machen die Verbände geltend, dass GOOGLE keine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer ihrer Dienste habe, insbesondere nicht zu Zwecken der Anzeigenpersonalisierung.

 Am 1. Juni 2018 schickte der CNIL diese beiden Beschwerden an seine europäischen Kollegen zur Beurteilung der Zuständigkeit. Tatsächlich sieht die DSGVO einen „One-Stop-Shop-Mechanismus“ vor, der vorsieht, dass eine in der Europäischen Union niedergelassene Organisation nur einen Gesprächspartner haben kann, nämlich die Datenschutzbehörde des Landes, in dem ihre „Hauptniederlassung“ liegt. Diese Behörde dient als „federführende Behörde“. Sie muss daher die Zusammenarbeit zwischen den anderen Datenschutzbehörden koordinieren, bevor sie eine Entscheidung über eine grenzüberschreitende Verarbeitung durch das Unternehmen trifft.

In diesem Fall ergaben die Gespräche mit den anderen Behörden, insbesondere mit der irischen Datenschutzbehörde, in der sich der europäische Hauptsitz von GOOGLE befindet, dass GOOGLE keine Hauptniederlassung in der Europäischen Union hatte. Als die CNIL ein Verfahren einleitete, verfügte die irische Niederlassung daher nicht über die Entscheidungsbefugnis über die im Rahmen des Betriebssystems Android und der von GOOGLE LLC erbrachten Dienstleistungen im Zusammenhang mit der Einrichtung eines Kontos während des die Konfiguration eines Mobiltelefons.

Da der „One-Stop-Shop-Mechanismus“ nicht anwendbar war, war die CNIL befugt, Entscheidungen über die von GOOGLE LLC vorgenommenen Verarbeitungsvorgänge zu treffen, wie auch die anderen europäischen Datenschutzbehörden. Die CNIL setzte in der Folge den neuen europäischen Rahmen um, wie er von allen europäischen Behörden in den Richtlinien des Europäischen Datenschutzausschusses (EDPB) ausgelegt wurde.

Zur Behandlung der eingegangenen Beschwerden führte die CNIL im September 2018 Online-Inspektionen durch. Ziel war es, die Übereinstimmung der von GOOGLE vorgenommenen Verarbeitungsvorgänge mit dem französischen Datenschutzgesetz und der DSGVO durch Analyse des Browserverhaltens eines Benutzers zu überprüfen und die Dokumente, auf die er oder sie Zugriff haben kann, wenn ein GOOGLE-Konto während der Konfiguration eines mobilen Geräts mit Android erstellt wird.

Auf der Grundlage der durchgeführten Kontrollen stellte die Behörde der CNIL, die für die Prüfung von Verstößen gegen das Datenschutzgesetz zuständig ist, zwei Arten von Verstößen gegen die DSGVO fest:

Erstens stellt die Aufsichtsbehörde fest, dass die von GOOGLE bereitgestellten Informationen für Benutzer nicht leicht zugänglich sind.

Die allgemeine Struktur der vom Unternehmen gewählten Informationen ermöglicht es nämlich nicht, die Verordnung einzuhalten. Wesentliche Informationen wie Datenverarbeitungszwecke, Zeiträume für die Datenspeicherung oder die Kategorien personenbezogener Daten, die für die Anzeigenpersonalisierung verwendet werden, werden übermäßig auf mehrere Dokumente verteilt, mit Schaltflächen und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen. Die relevanten Informationen sind nur nach mehreren Schritten verfügbar, was manchmal bis zu 5 oder 6 Aktionen umfasst. Dies ist zum Beispiel der Fall, wenn ein Benutzer vollständige Informationen über seine oder ihre Daten haben möchte, die für Personalisierungszwecke oder für den Geo-Tracking-Service erfasst werden.

Zweitens moniert die Aufsichtsbehörde, dass einige Informationen nicht immer klar oder umfassend sind.

Die Nutzer können den Umfang der von GOOGLE durchgeführten Verarbeitungsvorgänge nicht vollständig verstehen. Die Verarbeitungsvorgänge sind jedoch aufgrund der Anzahl der angebotenen Dienste (etwa zwanzig), der Menge und der Art der verarbeiteten und zusammengeführten Daten besonders massiv und aufdringlich. Der beschränkte Ausschuss weist insbesondere darauf hin, dass die Zwecke der Verarbeitung zu allgemein und vage beschrieben werden, ebenso wie die Kategorien von Daten, die für diese verschiedenen Zwecke verarbeitet werden. In ähnlicher Weise sind die übermittelten Informationen nicht klar genug, so dass der Benutzer verstehen kann, dass die rechtliche Grundlage der Verarbeitungsvorgänge für die Anzeigenpersonalisierung die Zustimmung und nicht das berechtigte Interesse des Unternehmens ist. Schließlich stellt die Aufsichtsbehörde fest, dass für einige Daten keine Informationen über die Aufbewahrungsfrist zur Verfügung gestellt werden.

Das Unternehmen GOOGLE gab gegenüber der Aufsichtsbehörde an, die Zustimmung des Nutzers zur Verarbeitung von Daten zu Zwecken der Anzeigenpersonalisierung einzuholen. Dem folgte die Aufsichtsbehörde jedoch nicht, vielmehr ist sie der Ansicht, dass die Einwilligung aus zwei Gründen nicht gültig ist:

Erstens sei der Nutzer bei Erteilung der Zustimmung nicht ausreichend informiert.

Die Informationen zu den Verarbeitungsvorgängen für die Anzeigenpersonalisierung werden in mehreren Dokumenten verwässert und ermöglichen es dem Nutzer nicht, deren Umfang zu kennen. Im Abschnitt „Anzeigen-Personalisierung“ ist es beispielsweise nicht möglich, die Vielzahl der Dienste, Websites und Anwendungen zu kennen, die an diesen Verarbeitungsvorgängen beteiligt sind (Google-Suche, You Tube, Google-Startseite, Google-Karten, Playstore, Google-Bilder usw.). ) und damit der verarbeiteten und zusammengeführten Datenmenge.

Zweitens sei die eingeholte Einwilligung weder „spezifisch“ noch „eindeutig“.

Wenn ein Konto erstellt wird, kann der Benutzer einige mit dem Konto verknüpfte Optionen ändern, indem er auf die Schaltfläche «Weitere Optionen» klickt, die über der Schaltfläche «Konto erstellen» verfügbar ist. Es ist insbesondere möglich, die Anzeige personalisierter Anzeigen zu konfigurieren.

Das entspreche nicht den Vorgaben der DSGVO. In der Tat muss der Benutzer nicht nur auf die Schaltfläche „Weitere Optionen“ klicken, um auf die Konfiguration zuzugreifen, sondern auch die Anzeige der Anzeigenpersonalisierung ist angekreuzt. Die Einwilligung ist jedoch, wie in der DSGVO vorgesehen, „eindeutig“, nur wenn der Benutzer eindeutig zustimmt (z. B. durch Ankreuzen eines nicht angekreuzten Kästchens). Bevor Sie ein Konto erstellen, wird der Benutzer aufgefordert, die Felder “  Ich stimme den Nutzungsbedingungen von Google zu akzeptieren “ und “  Ich stimme der Verarbeitung meiner Informationen zu, wie oben beschrieben und in den Datenschutzbestimmungen näher erläutert»Um das Konto anzulegen. Daher gibt der Nutzer seine vollständige Einwilligung für alle von GOOGLE aufgrund dieser Einwilligung ausgeführten Verarbeitungsvorgänge (Anzeigenpersonalisierung, Spracherkennung usw.). Die DSGVO sieht jedoch vor, dass die Zustimmung nur dann „spezifisch“ ist, wenn sie für jeden Zweck eindeutig erteilt wird.

Das Entscheidungsgremium der CNIL verhängte daher öffentlich eine Geldstrafe in Höhe von 50 Millionen Euro gegen GOOGLE.

Dies ist das erste Mal, dass die CNIL die von der DSGVO vorgesehenen neuen Sanktionsgrenzen anwendet. Die Höhe des festgestellten Betrags und die Bekanntmachung der Geldbuße sind durch die Schwere der festgestellten Verstöße begründet, die sich auf die wesentlichen Grundsätze der DS-GVO beziehen: Transparenz, Information und Zustimmung.

Trotz der von GOOGLE implementierten Maßnahmen (Dokumentations- und Konfigurationswerkzeuge) berauben die festgestellten Verstöße die Benutzer von wesentlichen Garantien hinsichtlich der Verarbeitungsvorgänge, die wichtige Teile ihres Privatlebens enthüllen können, da sie auf einer großen Datenmenge und einer Vielzahl von Diensten basieren und fast unbegrenzte Kombinationsmöglichkeiten. Die CNIL erinnert daran, dass der Umfang dieser fraglichen Verarbeitungen es den Nutzern ermöglicht, ihre Daten zu kontrollieren und sie daher ausreichend zu unterrichten und ihnen eine gültige Zustimmung zu erteilen.

Darüber hinaus stellten die Verstöße fortlaufende Verstöße gegen die Verordnung dar, da sie bis heute fortgeführt werden. Es handele sich nicht um eine einmalige, zeitlich befristete Verletzung.

In Anbetracht der wichtigen Bedeutung des Betriebssystems Android auf dem französischen Markt richten Tausende von Franzosen täglich ein GOOGLE-Konto ein, wenn sie ihr Smartphone verwenden. Darüber hinaus weist die Aufsichtsbehörde darauf hin, dass das wirtschaftliche Modell des Unternehmens zum Teil auf der Anzeigenpersonalisierung beruht. Daher liegt es in seiner äußersten Verantwortung, die diesbezüglichen Verpflichtungen einzuhalten.

Quelle: CNIL

Das könnte dich auch interessieren …