CNIL: Millionenbußgeld gegen Google wegen DSGVO-Verstößen
Die französische Datenschutzbehörde CNIL stellte Verstöße durch Google gegen die seit Ende Mai 2018 geltende DSGVO fest und verhängte eine 50 Millionen EURO Strafe. Peter Hense, Rechtsanwalt und Partner bei Spirit Legal LLP, erklärt das Vorgehen von CNIL Aufgrund von Beschwerben der Oragnisationen NOYB und La Quadrature du Net.
Transkript: Die französische Datenschutzbehörde CNIL hat gegen Google ein Bußgeld von EUR 50,00 Mio. verhängt. Worum geht es dabei genau? Mein Name ist Peter Hense, ich bin Rechtsanwalt und Partner bei Spirit Legal LLP im Bereich Technologie und Datenschutzrecht. Und ich möchte Ihnen heute erklären, was hinter dieser Rekordstrafe steckt.
Google hat nach Auffassung der französischen Datenschutzaufsicht gegen wichtige Verpflichtungen der neuen europäischen Datenschutzgrubdverordnung verstoßen, indem Google wichtige Informationen zur Verwendung der Daten durch Google selbst aber auch durch andere Käufer dieser Daten verbirgt. Hinweise darauf seien für Nutzer verkürzt und hinter einer Vielzahl von Querverweisen über mehrere Dokumente hinweg versteckt worden.
Damit verstoße das Unternehmen gegen den wichtigen Transparenzgrundsatz der DSGVO. Außerdem meint die Behörde, dass Google für die wirtschaftliche Ausbeutung der Daten seiner Nutzer und für die Erstellung von Persönlichkeitsprofilen sowie personalisierte Werbung keine wirksame Rechtsgrundlage vorweisen kann. Dieser letzte Punkt sticht besonders heraus, denn die Damen und Herren bei Google meinen sehr wohl, dass sie Einwilligungen ihrer Nutzer einholen würden.
Die Behörde ist jedoch der Auffassung, dass diese Einwilligungen weder „unmissverständlich“ sind, noch spezifisch genug. Man kann bei Google eben nicht präzise nach Verwendungszweck differenzieren und sich gesondert entscheiden, ob man die eigenen Daten zur Standortbestimmung, zum Datenverkauf, für Profiling oder eben gar nicht verwenden lassen möchte.
Der Nutzer, so der Bußgeldbescheid, hat keine Wahl, weil er die Google Nutzungsbedingungen und Datenschutzbestimmungen vor der Nutzung der Google Dienste nicht punktuell, sondern nur vollständig akzeptieren kann. Außerdem, und das kann man gut nachvollziehen, liegt eine wirksame Einwilligung nicht vor, wenn Google die betreffenden Auswahlbox bereits mit einem voreingestellten Häkchen versieht und damit die Entscheidung des Nutzers vorwegnimmt.
Kurz gesagt hat die CNIL den Standpunkt eingenommen, dass es nicht zulässig ist, den Informationsfluss und die Darstellung auf eigenen Websites und Apps so irreführend zu gestalten, dass Nutzern keine Wahl bleibt, als auf irgendwelche Schaltflächen zu klicken und damit aufgrund dieser Irreführung scheinbar eine Zustimmung zu dem von vornherein vom Unternehmen erstrebten Ziel, nämlich vollständiger Datenerfassung und Datenhandel zu erklären.
Derartige Gestaltungsformen von Informationsboxen, Schaltflächen und sonstigen Webelementen, die das Ziel haben, Nutzer hinters Licht zu führen, nennt man Dark Patterns, „dunkle Gestaltungsmuster“. Und genau diesem manipulativen Design, diesen Praktiken von der „dunklen Seite der Macht“ stehen die Prinzipien des Datenschutzrechtes entgegen.
Denn das Datenschutzrecht hat immer den Schutz der persönlichen Freiheiten der Betroffenen im Blick. Die CNIL wurde tätig, nachdem zwei gemeinnützige Organisationen, die sich für konsequenten Schutz von Bürgerrechten und damit auch Datenschutz einsetzen, entsprechende Beschwerden eingereicht hatten: Einmal die Österreichische Organisation mit dem hübschen Namen N.O.Y.B., kurz für „None of Your Business – Europäisches Zentrum für digitale Rechte“ sowie die nicht weniger klangvolle französische Organisation „La Quadrature du Net“.
Beide Organisationen werden als „Privacy Watchdogs“ bezeichnet und machen mit diesem Verfahren ihrem Namen alle Ehre, denn sie beißen zu, und wie. Das Bußgeld fiel auch deshalb recht knackig aus, weil es eben Google ist. Die CNIL hat bei der Bußgeldbemessung erwogen, dass es sich
- um gezielte Verstöße gegen Kernprinzipien des Datenschutzrechts handele und nicht etwa einen Ausrutscher sowie,
- dass das Ausmaß der Datenverarbeitung durch Google massiv ist, denn Google Dienste dringen mittlerweile in nahezu jeden Lebensbereich ein, und, nicht zuletzt,
- dass die angenommenen Verstöße bis zum heutigen Tage andauern.
Schließt man sich der Auffassung der Behörde an, so erscheint vor diesem Hintergrund das Bußgeld mehr als angemessen. Freunde großer Zahlen meinen, es hätte sogar noch höher ausfallen können. VW habe ja für einen kleinen Softwarefehler bei der Abgassteuerung seiner Dieselfahrzeuge in den USA an die US Verbraucherschutzbehörde FTC immerhin mehr als 10 Milliarden US-Dollar gezahlt. Da kann man sagen, ruhig Blut, das Jahr 2019 hat ja auch gerade erst begonnen und wer weiß, was uns noch so erwartet.
Ein wichtiger Punkt für alle Unternehmen, die Advertising Technology, AdTech, anbieten und einsetzen und die insbesondere im Bereich Programmatic Advertising tätig sind: Google geht in dem Verfahren offenbar selbst davon aus, dass die eigene Webanalyse und das entsprechende Targeting und Advertising sich nicht auf ein Überwiegen berechtigter Interessen stützen kann, also ohne eine Einwilligung auskommt, sondern, im Gegenteil, eine solche Einwilligung für durch Google personalisierte Werbung unbedingt erforderlich ist. An der Stelle ist es nicht überraschend, wenn Juristen darauf hinweisen, dass man sich auf die schwammige Rechtsgrundlage „überwiegender berechtigter Interessen“ nach Art. 6.1.f DSGVO nur in seltenen Fällen verlassen sollte.
Ein weiterer schöner Aspekt: Wer auf seiner Website für Datenschutzhinweise eine Zustimmung einholt, schafft damit ein erhebliches Folgeproblem. Denn Datenschutzhinweise nach Art. 12, 13 und 14 der DSGVO sind Informationspflichten und denen muss man nicht zustimmen, man muss sie nur liefern. Bestenfalls ist der zusätzliche Klick auf der Website überflüssig und treibt damit die Conversion im Checkout der Website nach unten. Schlimmstenfalls sind aber auch alle Datenverarbeitungsvorgänge, die in den Datenschutzinformationen angesprochen werden, unwirksam. Denn wenn ich als Seitenbetreiber davon ausgehe, dass ich diesen Datenverarbeitungen als Nutzer zustimmen muss, dann muss die Zustimmung für jeden einzelnen Punkt gesondert erfolgen können. Andernfalls ist die allgemeine Zustimmung als Globaleinwilligung rechtswidrig und wertlos.
Kurz: Bitte keine Häkchen mehr für Datenschutzerklärungen!
Hat die Entscheidung Bestand, dann bedeutet es, dass Google solange keine Profile über Nutzer anlegen und mit diesen Daten handeln darf, bis der Nutzer eine rechtssichere Einwilligung erteilt hat sowie, dass die rechtswidrig erstellten Profile der Vergangenheit gelöscht werden müssen. Man hat bei Google allein die Wahl zwischen „Friss oder stirb“, man kann also Google nutzen und muss dann aber auch sein gesamtes Nutzerverhalten mit Google und seinen Werbepartnern teilen, oder man verzichtet auf die schönen Google-Dienste wie Maps, Playstore, Photos und YouTube und der Bildschirm bleibt dunkel.
Über die damit zusammenhängende Frage, ob angesichts dieses Zwangs noch von einer „Freiwilligkeit der Einwilligung“ gesprochen werden kann, darüber hat die CNIL erstaunlicherweise (noch) nicht entschieden. Und La Quadrature du net kritisiert auch genau diese Zurückhaltung. Ich erwarte jedoch, dass die Behörde sich in Kürze im Zusammenhang mit anderen anstehenden Verfahren hier deutlich positionieren wird. Ein erstes Statement von Google zur Entscheidung ist recht schmallippig:
"Die Menschen erwarten von uns ein hohes Maß an Transparenz und Kontrolle. Wir sind fest entschlossen, diese Erwartungen und die Zustimmungserfordernisse der GDPR zu erfüllen. Wir untersuchen die Entscheidung, um unsere nächsten Schritte festzulegen."
Das liest sich fast so einsichtig wie ein Statement von VW im Dieselskandal.
Bei NOYB hingegen überwiegt die Freude. Max Schrems, Gründer und Vorsitzender der Initiative:
"Wir sind sehr froh, dass erstmals eine europäische Datenschutzbehörde die Möglichkeiten der DSGVO nutzt, um klare Rechtsverstöße auch zu ahnden. Nach der Einführung der DSGVO haben wir feststellen müssen, dass große Konzerne wie Google die DSGVO einfach ‚anders interpretieren‘ und ihre Produkte oft nur oberflächlich angepasst haben. Es ist wichtig, dass die Behörden klarstellen, dass das nicht reicht. Wir freuen uns auch, dass unsere Arbeit für Grundrechtsschutz Früchte trägt. Ich möchte auch unseren Unterstützern danken, die unsere Arbeit ermöglichen."
Diesem Dank schließe ich mich an und verabschiede mich mit einem freundlichen Gruß nach Paris und Wien.