Ihre Kontakte
Die französische Datenschutzbehörde (CNIL) auferlegte Google 2019 eine Rekordbusse in der Höhe von 50 Mio. Euro. Der Conseil d’État, als Rechtsmittelinstanz, hat die Beschwerde von Google im Juli abgewiesen und die von der CNIL festgestellten Verstösse gegen die EU-Datenschutzgrundverordnung (DSGVO) bestätigt. Konkret wird Google die Missachtung der Informationspflichten und des Grundsatzes der Rechtmässigkeit der Datenverarbeitung infolge ungültiger Einwilligung vorgeworfen. Das Urteil verdeutlicht nicht nur die strengen Anforderungen an die Transparenz der Datenverarbeitungen, sondern auch den Umstand, dass sich die Datenschutzbehörden nicht mehr mit der Erteilung symbolischer Bussen begnügen.
Beschwerde gegen die von der CNIL ausgesprochene Rekordbusse
Das höchste französische Verwaltungsgericht bestätigte am 19. Juni 2020 die im Jahr zuvor durch die CNIL gegen Google verhängte Geldstrafe in der Höhe von 50 Mio. Euro (vgl. dazu MLL-News vom 25.2.2019). Die CNIL hatte auf Beschwerde zweier Datenschutzverbände hin die datenschutzrechtliche Praxis von Google bei Mobiltelefonen mit dem Google-Betriebssystem Android untersucht. Das Urteil, das wichtige Hinweise zur praktischen Umsetzung der DSGVO enthält, fand nicht zuletzt wegen der Höhe der Busse in der Öffentlichkeit grosse Aufmerksamkeit.
In der Entscheidung kritisierte die französische Datenschutzbehörde einerseits, dass Google bei der Erstellung eines Google Accounts zur Konfigurierung eines Android Smartphones das in der DSGVO vorgesehene Transparenzgebot verletzt hat, indem Informationspflichten nicht genügend nachgekommen wurde. Darüber hinaus stellte die CNIL fest, dass die Einwilligung am Ende der Erstellung des Google Accounts nicht nur wegen der mangelhaften Information der Nutzer unwirksam ist, sondern auch aufgrund der von Google gewählten Lösung zur Einholung der Einwilligung. Google hatte den Vorgang so ausgestaltet, dass Nutzer eine sogenannte «en-bloc»-Einwilligung abgaben, sprich die Einwilligung pauschal für sämtliche Verarbeitungszwecke galt und eine selektive Abgabe der Einwilligung nur durch aktives Zutun des Nutzers durch Klicken auf den Button «Weitere Optionen» möglich war und dass selbst bei diesem Vorgehen alle Verarbeitungszwecke bereits standardmässig vorangekreuzt waren («pré-cochés par défaut»).
Google zog das Urteil der CNIL weiter vor den Conseil d’État und forderte die Aufhebung der Sanktion. Diesem Antrag folgte das höchste französische Verwaltungsgericht nicht. Hierbei bestätigte die Beschwerdeinstanz in ihrem Urteil vom 19. Juni 2020 (N° 430810) die Einschätzungen der CNIL in ganzer Linie.
Verstoss gegen Informations- und Transparenzpflichten
Konkret bestätigte die Beschwerdeinstanz, dass Google seinen Informations- und Transparenzpflichten nicht nachgekommen war. Die DSGVO bezeichnet eine Reihe von Angaben, die eine datenverarbeitende Partei dem Datensubjekt in einer präzisen, einfach verständlichen und leicht zugänglichen Form darlegen muss. Diese Pflicht soll betroffenen Personen die Möglichkeit geben, den Umfang und die Folgen der jeweiligen Datenverarbeitung zu erkennen. Die Anforderungen an die Präzision, Verständlichkeit, Klarheit und Einfachheit der Informationen rechtfertigen gemäss Conseil d’État zwar, dass die Informationen nicht übermässig detailliert sind, um die Nutzer nicht vom Lesen abzuschrecken, doch sollten alle relevanten Elemente, die sich auf die verschiedenen Zwecke und den Umfang der Verarbeitung beziehen, für den Benutzer gleichwohl leicht zugänglich sein.
Google stellte sich in diesem Kontext auf den Standpunkt, dass die von ihr gewählte Architektur, welche aus mehreren Ebenen mit unterschiedlichem Detaillierungsgrad bestand, gerade darauf abziele, die Datensubjekte auf klare und einfach verständliche Weise zu informieren. Der Conseil d’État hingegen qualifizierte die gewählte Architektur wie auch zuvor die CNIL als ungenügend. Hierbei ging das Gericht auf drei Punkte im Besonderen ein:
- Erstens stellte es fest, dass die Angaben auf der ersten Ebene in der Datenschutzrichtlinie und in den Nutzungsbedingungen im Kontext der von Google durchgeführten Datenverarbeitungen, den damit verbundenen Eingriffen in die Privatsphäre der Datensubjekte sowie Art und Umfang der gesammelten Daten zu allgemein gehalten sind.
- Zweitens rügt das Gericht wie auch die CNIL, dass eine Vielzahl relevanter Angaben nur schwer zugänglich ist, da Nutzer sie erst nach mehreren Schritten bzw. dem Anklicken mehrerer Links erreichen. Als Beispiele werden im Urteil genannt, dass sechs Schritte notwendig sind, um umfassende Informationen zum Thema Geolokalisierung zu erhalten und dass Angaben betreffend die Aufbewahrungsfrist der Daten nur über einen Link auf einem 68-seitigen Dokument gefunden werden können.
- Drittens wurde gerügt, dass bestimmte Pflicht-Angaben selbst auf den untersten, detailliertesten Informationsebenen fehlten. So reiche es beispielsweise nicht, wenn im Dokument zur Datenspeicherung ein generischer Hinweis angebracht ist, wonach gewisse Daten aus bestimmten Gründen für längere Zeiträume gespeichert werden können, ohne diese Gründe und die Daten zu spezifizieren.
Entgegen der von Google erhobenen Kritik wurde deshalb der Verstoss nicht darin gesehen, dass nicht bereits auf der ersten Informationsebene sämtliche Pflichtangaben enthalten waren. Vielmehr erschien im vorliegenden Fall die von Google gewählte Struktur als ungeeignet, für hinreichende Klarheit und Zugänglichkeit der Informationen zu sorgen; dies obwohl die Datenverarbeitungen besonders einschneidend sind und daher erhöhte Transparenz-Anforderungen gelten.
Verstoss gegen Rechtmässigkeitsgrundsatz infolge ungültiger Einwilligung
In einem nächsten Schritt war zu prüfen, ob Google gegen den Grundsatz der Rechtsmässigkeit der Datenverarbeitung verstossen hat (Art. 6 DSGVO). Dieser schreibt vor, dass eine Verarbeitung von personenbezogenen Daten nur erfolgen darf, wenn sie auf ein Erlaubnistatbestand abgestützt werden kann. Einer der in der Praxis relevantesten Erlaubnistatbestände ist die Einwilligung der betroffenen Person. Nach der (strengen) Definition der DSGVO gilt als Einwilligung:
«jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist».
Erfolgt eine solche Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss gemäss DSGVO «das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.»
Der Conseil d’État war der Ansicht, dass die Zustimmung, die Google von seinen Nutzern einholte, diesen Voraussetzungen nicht entsprach. Er bestätigte die Entscheidung der CNIL deshalb auch in Bezug auf den Verstoss gegen den Rechtsmässigkeitsgrundsatz. Erstens hielt die Beschwerdeinstanz fest, dass die Einwilligung am Ende der Erstellung eines Google Accounts nur schon deswegen unwirksam sei, weil die Informationen zum Verwendungszweck weder genug leicht zugänglich sind noch die Anforderungen an die Klarheit erfüllen (s. bereits oben). Es fehlte insofern bereits an der Voraussetzung «in informierter Weise». Ausserdem genügt es nicht, wenn die Einwilligung im Rahmen der allgemeinen Annahme der Nutzungsbedingungen erteilt wird. Vielmehr muss eine spezifische Einwilligung erfolgen, nachdem klar und deutlich über die Verarbeitungszwecke informiert wurde. Die Informationen in Bezug auf den Bearbeitungszweck der Personalisierung von Anzeigen, für den eine Einwilligung eingeholt werden sollte, waren dabei aber offenbar sowohl auf der ersten als auch weiteren Ebenen inmitten von weiteren Informationen über Bearbeitungen, die nicht zwingend auf der Einwilligung als Rechtsgrundlage basierten. Die Trennung des Einwilligungsersuchens von anderen Informationen war somit gemäss Conseil D’État ungenügend. Darüber hinaus rügt auch die Beschwerdeinstanz, dass Nutzer, die auf den Button «Weitere Optionen» klicken, mit vorangekreuzten Checkboxen konfrontiert werden. In diesem Kontext erinnert die Beschwerdeinstanz – unter Hinweis auf die Rechtsprechung des EuGH im Fall Planet49 – daran, dass bei einer Einwilligung über eine bereits standardmässig angekreuzte Checkbox keine aktive Handlung des Datensubjekts vorliegt, weswegen die Einwilligung nicht gültig sein kann.
Conseil d’État bestätigt Zuständigkeit der CNIL und Verhältnismässigkeit der Busse
Die Beschwerdeinstanz befasste sich ausserdem auch mit der Kritik seitens Google, wonach die CNIL gar nicht für die Beurteilung der beanstandeten Datenverarbeitung zuständig gewesen wäre und wonach die verhängte Strafe unverhältnismässig sei. Google hatte hinsichtlich der Zuständigkeit angeführt, dass gemäss dem in der DSGVO festgelegten «One-Stop-Shop» Prinzip vorliegend die irische Datenschutzbehörde zuständig sei. Dieses Prinzip besagt, dass bei grenzüberschreitender Datenverarbeitung – also der Verarbeitung in mehr als einem Mitgliedsstaat – die Aufsichtsbehörde desjenigen Mitgliedsstaates für die Beurteilung von DSGVO-Verstössen als federführende Aufsichtsbehörde zuständig ist, in dem sich die Hauptniederlassung des für die Datenverarbeitung verantwortlichen Unternehmens befindet. Google stellte sich auf den Standpunkt, dass aufgrund der europäischen Hauptniederlassung von Google in Irland die Irish Data Protection Commission zur Beurteilung des vorliegenden Sachverhalts als federführende Aufsichtsbehörde zuständig sei und diese Behörde Art. 56 DSGVO folgend mit der französischen Datenschutzbehörde, bei der die Beschwerde eingereicht worden war, zusammenarbeiten müsse. Diese Argumentation liess der Conseil d’État nicht gelten und schloss sich der Argumentation der CNIL an, wonach Google Ireland hinsichtlich der in Frage stehenden Datenverarbeitungen keine eigene Entscheidungsbefugnis habe. Vielmehr liege diese Befugnis bei der in den USA ansässigen Google LLC, weswegen das «One-Stop-Shop» Prinzip nicht zur Anwendung käme und die CNIL durchaus für die Beurteilung der monierten Verstösse zuständig sei.
Die Verhältnismässigkeit der 50 Mio. Euro schweren Busse reflektierte der Conseil d’Etat im Kontext verschiedener Aspekte. Insbesondere stellte er fest, dass sie im Kontext der finanziellen Lage von Google LLC sowie der Schwere, Kontinuität und Dauer der begangenen Verstösse, verhältnismässig sei.
Fazit und Anmerkungen
Aus all diesen Gründen hat der Conseil d’État die Beschwerde von Google vollumfänglich abgewiesen und die Entscheidung der CNIL bestätigt. In inhaltlicher Sicht bestätigt das vorliegende Urteil, dass die Anforderungen an die gültige Information und die wirksame Einwilligung sehr hoch sind. Die Zielkonflikte zwischen den Anforderungen der Vollständigkeit und Präzision der Informationen sowie der Verständlichkeit, Einfachheit und Transparenz lassen sich nicht leicht auflösen, besonders bei Datenverarbeitungen im Umfang, wie sie Google vornimmt. Auch wenn es Google im vorliegenden Fall nicht gelungen ist, so bekräftigt das Urteil doch immerhin, dass der Mehrebenen-Ansatz eine Möglichkeit zur Umsetzung darstellt.
Die vorliegend bestätigte Busse zeigt ferner, dass Datenschutzbehörden nicht (mehr) nur symbolische Bussen erteilen, sondern durchaus bereit sind, hohe Bussen auszusprechen. Dem ursprünglichen Urteil und der erneuten Bestätigung durch den Conseil d’État dürfte daher eine enorme Signalwirkung zukommen. Davon betroffen sind infolge des extraterritorialen Anwendungsbereichs der DSGVO auf zahlreiche Schweizer Unternehmen (zur Anwendbarkeit der DSGVO auf Schweizer Unternehmen vgl. MLL-News vom 30.7.2017, MLL-News vom 21.9.2017, MLL-News vom 15.6.2020 und MLL News vom 29.7.2020).
Weitere Informationen:
- Entscheid des Conseil d’État (französisch)
- MLL-News vom 25.2.2019: «Französische Datenschutzbehörde verhängt Rekordbusse gegen Google wegen DSGVO-Verletzungen»
- EU Datenschutz-Grundverordnung (DSGVO)
- MLL-News vom 30.7.2017: «Jetzt handeln: EU-DSGVO-Umsetzungsfrist läuft am 25. Mai 2018 ab»
- MLL-News vom 21.9.2017: «Totalrevision DSG: Bundesrat veröffentlicht Gesetzesentwurf und Botschaft»
- MLL-News vom 15.6.2020: «DSG-Revision: FAQ Teil 1»
- MLL News vom 29.7.2020: «Update zur DSG-Revision – letzte strittige Punkte»