Französische Datenschützer verhängen Bußgeld gegen Google: Die Daten­schutz­dis­kus­sion ist eröffnet

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) hat am 21. Januar 2019 ein Bußgeld in Höhe von 50 Millionen Euro gegen Google verhängt – ein Paukenschlag. Auch wenn es noch viel zu früh ist, die künftigen Positionierungen der EU-Datenschutzbehörden vorherzusagen, so spricht doch Vieles dafür, dass 2019 ein wichtiges Jahr für den Datenschutz werden wird.

Zwei Datenschutzverbände hatten kurz nach Geltung der EU-Datenschutz-Grundverordnung (DSGVO) bei der CNIL Beschwerden gegen Google eingereicht. Die Verbände werfen dem Unternehmen vor, keine gültige Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer seiner Dienste zu haben, insbesondere für die Personalisierung von Anzeigen. Die französische Datenschutzbehörde prüfte dies und gab dem Unternehmen in knapper Form Gelegenheit zur Stellungnahme.

Die CNIL begründete das hohe Bußgeld dann damit, dass Google massiv gegen die Vorgaben der DSGVO in Bezug auf transparente Datenverarbeitungen und die Anforderungen an Einwilligungen als Grundlage zulässiger Datenverarbeitungen verstoßen habe.

Bußgelder in Deutschland waren bislang viel niedriger

Art. 83 DSGVO erlaubt es Datenschutzbehörden, Bußgelder von bis zu 20 Millionen Euro zu verhängen. Oder von bis zu vier Prozent des globalen Umsatzes, je nachdem welcher Betrag höher ist. Deutsche Datenschutzbehörden hatten bislang jedoch auch bei klaren Verstößen gegen die DSGVO deutlich niedrigere Strafen verhängt. Das erste in Deutschland bekannt gewordene Bußgeld lag lediglich bei 20.000 Euro. Die zuständige Behörde hatte hier das weitere Verhalten des betroffenen Unternehmens nach dem Datenschutzverstoß zum Anlass genommen, das zu verhängende Bußgeld erheblich zu reduzieren.

Die französische CNIL begründete das hohe Bußgeld damit, dass das Unternehmen gegenüber seinen Nutzern nicht das nach der DSGVO vorgeschriebene Maß an Transparenz herstelle. Die DSGVO regelt in Art. 13 und 14 DSGVO bekanntlich nur recht ungenau, in welchem Umfang und in welchem Detailgrad Unternehmen betroffene Personen darüber informieren müssen, auf welche Weise und für welche Zwecke sie deren Daten verarbeiten.

Teilweise seien die vorgeschriebenen Angaben zu den von der CNIL geprüften Datenverarbeitungen über mehrere Dokumente verstreut und erst mit fünf bis sechs Arbeitsschritten des Nutzers abrufbar gewesen. Zudem habe es auch an Angaben zu den Löschfristen der Daten gefehlt.

Stellt die CNIL zu hohe Anforderungen?

Diese Kritik der CNIL lässt sich auf viele andere Fälle übertragen. Denn gerade in Bezug auf die Zweckbestimmung weisen viele in der Praxis verwendete Datenschutzinformationen verglichen mit den Anforderungen der französischen Behörde Schwachstellen auf. Das führt zu interessanten Ergebnissen: Vergleicht man die Anforderungen der CNIL mit den Datenschutzinformationen vieler europäischer Behörden oder Gerichte, stellt man schnell fest, dass auch diese weit hinter den Anforderungen der französischen Datenschützer in punkto Transparenz zurückbleiben.

Zudem habe Google nach Auffassung der CNIL keine hinreichenden Einwilligungserklärungen in Bezug auf die Personalisierung von Werbung eingeholt. Jedoch sind auch die Vorgaben der DSGVO zum Einholen von Einwilligungen als Grundlage zulässiger Datenverarbeitungen recht vage.

Im vorliegenden Fall bemängelte die französische Behörde, die vom Unternehmen eingeholten Einwilligungserklärungen enthielten zu wenig Informationen und seien zu pauschal gehalten ("neither 'specific' nor 'unambiguous'"). Die CNIL greift dabei die bereits bekannte Forderung der EU-Datenschutzbehörden auf, dass betroffene Personen im Rahmen von Einwilligungen in jeden einzelnen Verwendungszweck gesondert einwilligen können müssen ("The GDPR provides that the consent is 'specific' only if it is given distinctly for each purpose").

Ist die Behörde überhaupt zuständig?

Grundsätzlich müssen sich die EU-Datenschutzbehörden untereinander abstimmen. Dies soll eine europaweit einheitliche Anwendung der DSGVO sicherstellen. Bei grenzüberschreitenden Datenverarbeitungen soll die Aufsichtsbehörde des EU-Mitgliedsstaats federführend zuständig sein, in dem das Unternehmen seine Hauptniederlassung hat. Die Hauptniederlassung von Google in der EU liegt in Irland. Dennoch gelangte die CNIL zu dem Ergebnis, sie könne ohne weitere Abstimmung mit der irischen Datenschutzbehörde ein Bußgeld verhängen.

Die Begründung, mit der die CNIL ihre Zuständigkeit angenommen hat, ist datenschutzrechtlich interessant und womöglich auch angreifbar: Nach Ansicht der CNIL habe die EU-Unternehmenszentrale in Irland in Bezug auf die konkret beanstandeten Datenverarbeitungen keine Entscheidungsbefugnis, da die wesentlichen Vorgaben dafür in der globalen Unternehmenszentrale in den USA getroffen würden.

Falls Behörden in anderem EU-Mitgliedsstaaten diesem Kurs folgen sollten, könnten auch sie ebenfalls selbstständig gegen Unternehmen mit EU-Zentralen in anderen Mitgliedsstaaten vorgehen. Man darf schon aus diesem Grund mit einiger Wahrscheinlichkeit davon ausgehen, dass Google sich gegen das verhängte Bußgeld wehren wird.

Öffentlichkeit als Strafe?

Ein interessanter Nebenaspekt ist, dass die CNIL ihr sehr öffentlichkeitswirksames Vorgehen damit begründet, dass die von der Behörde angenommenen Verstöße schwerwiegend seien (‚The amount decided, and the publicity of the fine, are justified by the severity of the infringements observed regarding the essential principles of the GDPR: transparency, information and consent').

Zwar haben die Aufsichtsbehörden nach der DSGVO durchaus die Aufgabe, die Öffentlichkeit zu sensibilisieren. Es dürfte aber fraglich sein, ob dies auch ein derart öffentliches Vorgehen wie den von der CNIL gewählten Kurs rechtfertigen kann. Denn Art. 83 DSGVO sieht als Sanktionen lediglich Geldstrafen vor. Auch Art. 58 DSGVO regelt keine Erlaubnis der Behörde, Unternehmen durch ein öffentlichkeitswirksames Vorgehen und die damit verbundenen Rufschäden zu sanktionieren. Und auch im Bußgeldverfahren gilt bis zu einer rechtskräftigen Entscheidung die Unschuldsvermutung.

Der Startschuss für schmerzhafte Sanktionen wegen möglichen Verstößen gegen die DSGVO ist gefallen. Die Entscheidung kann für Unternehmen in der gesamten EU erhebliche Bedeutung haben. Es ist allerdings noch viel zu früh, um belastbar vorherzusehen, wie sich die Datenschutzbehörden in der EU künftig positionieren werden.

Strenge Auslegung der Vorgaben

Die CNIL hat sich bei der Verhängung des Bußgelds weitgehend an den gemeinsamen Vorgaben der EU-Datenschutzbehörden orientiert, diese dabei aber sehr streng ausgelegt. Ob zuständige Gerichte diesem Kurs folgen werden, darf bezweifelt werden. Man kann daher mit einiger Wahrscheinlichkeit davon ausgehen, dass Google sich gegen das verhängte Bußgeld wehren wird.

Bei der Entscheidung über eine solche Prozessstrategie muss man aber auch berücksichtigen, dass der in letzter Instanz für Fragen der Auslegung des EU-Rechts zuständige Europäische Gerichtshof (EuGH) in den letzten Jahren sehr strikte Positionen beim Datenschutz vertreten hat. Dies macht es Unternehmen nicht eben leichter, die komplexen Vorgaben der DSGVO umzusetzen.

Es erscheint auch nicht unwahrscheinlich, dass andere Behörden nun unter einen gewissen Vollstreckungsdruck geraten, um zugeteilte beziehungsweise geforderte Planstellen oder sonstige Ressourcen zu rechtfertigen. Die deutschen Datenschutzbehörden etwa haben bereits angekündigt, dass sie derzeit noch viele weitere Ermittlungsverfahren wegen möglichen Datenschutzverstößen durchführen. Es spricht also Einiges dafür, dass 2019 in Bezug auf den Datenschutz ein spannendes Jahr werden könnte.

Der Autor Tim Wybitul ist Partner bei Latham & Watkins in Frankfurt und berät Unternehmen zum Datenschutz.