Änderung bei Google-Zuständigkeit für Datenschutz

 
Seit dem 22. Januar 2019 ist neu der europäische Hauptsitz von Google (Google Ireland Limited) für Datenverarbeitungen von EWR- und Schweizer-Nutzern verantwortlich. Bisher war es Google LLC mit Sitz in Kalifornien (USA). Unternehmen, die Google-Dienste wie etwa Google-Analytics nutzen, sollten als Folge ihre Datenschutzerklärungen anpassen.

Gemäss Mitteilung von Google ist neu das irische Unternehmen für alle Datenbearbeitungen im Zusammenhang mit Google Diensten (z.B. Google Analytics, Google Maps etc.) von EWR- und Schweizer-Nutzern zuständig. Die Verlegung erscheint aus pragmatischer Sicht richtig und wichtig (eine gewisse geographische Nähe zur Bearbeitung der Fälle wird gewährleistet). In der Mitteilung wird sodann festgehalten, dass der europäische Hauptsitz fortan auch „Verantwortlicher“ im Sinne der DSGVO für die Verarbeitung von Daten von EWR und Schweizer Bürgern sei. Die Änderung sei auch mit Blick auf das „One-Stop-Shop“-Prinzip erfolgt. Hintergrund dieser Änderung und Konsolidierung der Zuständigkeiten von Google Ireland dürfte das jüngste Verfahren vor der französischen Datenschutzbehörde (CNIL) sein. CNIL erklärte sich in dem Verfahren trotz „One-Stop-Shop“-Prinzip für zuständig und verhängte gegen Google eine signifikante Busse (vgl. MLL-News vom 25.2.2019).

Ob Google Irland Limited tatsächlich als (alleiniger) „Verantwortlicher“ im Sinne der DSGVO zu qualifizieren ist, kann an dieser Stelle offen bleiben. Es bestehen ernsthafte Zweifel. Es drängt sich vielmehr die Annahme auf, dass der kalifornische und europäische Hauptsitz zumindest gemeinsam für die Datenbearbeitungen verantwortlich sind (sog. Joint-Controller). Liegt eine gemeinsame Verantwortlichkeit vor, müssen den betroffenen Personen gemäss DSGVO (zumindest) die für sie wesentlichen Punkte der Zusammenarbeit offengelegt werden. Zu diesen wesentlichen Punkten gehört unter anderem die Information darüber, wo die Betroffenenrechte ausgeübt werden können und wer für die Datensicherheit zuständig ist. Die betroffenen Personen wären in jedem Fall berechtigt, die eigenen Rechte (u.a. das Auskunfts- und Widerspruchsrecht) gegenüber beiden Verantwortlichen geltend zu machen. Zweifel an der alleinigen „Verantwortlichkeit“ von Google Ireland bestehen auch deshalb, weil Google Ireland gemäss CNIL in Bezug auf wesentliche Datenbearbeitungen über keinerlei Entscheidbefugnisse verfüge. Dies betrifft gemäss CNIL z.B. Datenbearbeitungen rund um die Erstellung eines Google-Kontos bei der Konfiguration von Android-Handys (vgl. MLL-News vom 25.2.2019). Es bleibt abzuwarten, ob die EU-Datenschutzbehörden nicht weiterhin Google LLC allein als verantwortliche Stelle betrachten werden.

Für Unternehmen, die Google Dienste einsetzen, drängt sich aufgrund des Google-Updates ein kleiner, aber wichtiger Anpassungsbedarf in den eigenen Datenschutzerklärungen auf. Nebst Informationen über die mit dem Einsatz der Google-Dienste verbundenen Datenbearbeitungen ist neu Google Ireland Limited im Zusammenhang mit den betroffenen Diensten als verantwortliche Stelle zu nennen.

 

Weitere Informationen: