Die Französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL ) hat öffentlichkeitswirksam ein hohes Bußgeld gegen Google verhängt. Ihr Vorgehen offenbart, auf welche Datenschutzaspekte die Aufsichtsbehörden 2019 besonders blicken könnten.
Seit Ende Mai vergangenen Jahres gilt die EU-Datenschutzgrundverordnung (DSGVO) europaweit. Beinah zeitgleich reichten zwei Verbände bereits Beschwerde gegen Google bei der französischen Datenschutzbehörde (CNIL) ein: Die Verarbeitung personenbezogener Daten erfolge ohne gültige Rechtsgrundlage, prangerten diese an. Die CNIL hat dies geprüft und 50 Millionen Euro Bußgeld gegen Google verhängt. Die Begründung: massive Verstöße gegen die DSGVO.
Doch welche Verstöße rechtfertigen aus Sicht der Datenschützer ein derart hohes Bußgeld? Zum Vergleich: Das bisher höchste in Deutschland verhängte Bußgeld wegen eines Verstoßes gegen die DSGVO betrug „nur“ 20 000 Euro.
Die französischen Datenschützer stützen ihr Vorgehen vor allem auf zwei Aspekte.
Vorwurf Nr.1: Fehlende Transparenz der Datenverarbeitung
Die DSGVO schreibt datenverarbeitenden Unternehmen vor, betroffene Personen in einem gewissen Umfang informieren zu müssen, wie und wofür ihre Daten verarbeitet werden. Geschrieben steht dies in Art. 13 und 14 DSGVO. Diese Pflicht erfülle Google nicht, die nötigen Informationen seien außerdem über mehrere Dokumente verstreut und teilweise fünf bis sechs Klicks voneinander entfernt.
Vorwurf Nr.2: Anforderungen an Einwilligungen nicht erfüllt
Wer personalisierte Werbung einsetzt, muss sich dafür eine Einwilligung einholen. Art. 7 DSGVO schreibt vor, dass das Ersuchen um eine Einwilligung „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu erfolgen hat. Zu wenige Informationen stelle Google bereit und zu vage seien sie, bemängelt nun die CNIL. Das betreffe die Google-Dienste Youtube, Maps und auch die Suchmaschine.
Ein Wegweiser für andere Unternehmen?
Kritiker des Vorgehens der französischen Behörde merken an, dass die Informationspflichten und auch die Anforderungen an Einwilligungen in der DSGVO nicht konkret genug geregelt seien, um daraus die sehr konkreten Anforderungen der CNIL abzuleiten.
Recht haben die Kritiker jedenfalls in einem Punkt: Als eine Handreichung für Unternehmen, wie sich die Pflichten erfüllen lassen, kann das Vorgehen der CNIL nicht gesehen werden. Denn in Europa gibt es keine oberste Datenschutzbehörde, die über die Auslegung der DSGVO entscheidet. Die zahlreichen nationalen Behörden müssen stattdessen erst eine gemeinsame Linie finden. Der Europäische Datenschutzausschuss – in dem die nationalen Aufsichtsbehörden zusammensitzen – soll hier langfristig Klarheit schaffen. Das noch nicht rechtswirksame Bußgeld gegen Google hat damit also europaweit nur bedingt allgemeine Aussagekraft.
Zukunftsweisender ist hingegen die Frage danach, ob die CNIL im Fall Google überhaupt rechtlich zuständig war, ein Bußgeld verhängen durfte. Die DSGVO legt bei grenzüberschreitendem Datenverkehr nämlich eine „federführende Aufsichtsbehörde“ fest, die zentrale Anlaufstelle für Unternehmen sein soll (One-Stop-Shop-Prinzip). Das ist immer die Behörde an der Hauptniederlassung des Unternehmens in der EU: Im Fall Google wäre das Irland, nicht Frankreich. Geregelt ist dies in Art. 56 DSGVO. Beschwerden, die bei anderen Aufsichtsbehörden eingehen, müssen in jedem Fall an die federführende Behörde weitergereicht werden, die dann über das weitere Vorgehen entscheidet.
Um ihren Alleingang zu rechtfertigen, spricht die französische Behörde der Google Zentrale in Irland quasi ihren Status als Hauptniederlassung ab: Die EU-Unternehmenszentrale in Irland habe in Bezug auf die konkret beanstandeten Datenverarbeitungen keine Entscheidungsbefugnis, da die wesentlichen Vorgaben dafür in der globalen Unternehmenszentrale in den USA getroffen würden.
Google wird vermutlich allein deshalb gegen den Bußgeldbescheid klagen.
Kommentar schreiben