CNIl Rekordbusse Busse Google DSGVO Datenschutz Informationspflicht

DSGVO-Rekordbusse gegen Google bestätigt – mangelhafte Information und ungültige Einwilligung


Ihre Kontakte

Die französische Datenschutzbehörde (CNIL) auferlegte Google 2019 eine Rekordbusse in der Höhe von 50 Mio. Euro. Der Conseil d’État, als Rechtsmittelinstanz, hat die Beschwerde von Google im Juli abgewiesen und die von der CNIL festgestellten Verstösse gegen die EU-Datenschutzgrundverordnung (DSGVO) bestätigt. Konkret wird Google die Missachtung der Informationspflichten und des Grundsatzes der Rechtmässigkeit der Datenverarbeitung infolge ungültiger Einwilligung vorgeworfen. Das Urteil verdeutlicht nicht nur die strengen Anforderungen an die Transparenz der Datenverarbeitungen, sondern auch den Umstand, dass sich die Datenschutzbehörden nicht mehr mit der Erteilung symbolischer Bussen begnügen.

Beschwerde gegen die von der CNIL ausgesprochene Rekordbusse

Das höchste französische Verwaltungsgericht bestätigte am 19. Juni 2020 die im Jahr zuvor durch die CNIL gegen Google verhängte Geldstrafe in der Höhe von 50 Mio. Euro (vgl. dazu MLL-News vom 25.2.2019). Die CNIL hatte auf Beschwerde zweier Datenschutzverbände hin die datenschutzrechtliche Praxis von Google bei Mobiltelefonen mit dem Google-Betriebssystem Android untersucht. Das Urteil, das wichtige Hinweise zur praktischen Umsetzung der DSGVO enthält, fand nicht zuletzt wegen der Höhe der Busse in der Öffentlichkeit grosse Aufmerksamkeit.

In der Entscheidung kritisierte die französische Datenschutzbehörde einerseits, dass Google bei der Erstellung eines Google Accounts zur Konfigurierung eines Android Smartphones das in der DSGVO vorgesehene Transparenzgebot verletzt hat, indem Informationspflichten nicht genügend nachgekommen wurde. Darüber hinaus stellte die CNIL fest, dass die Einwilligung am Ende der Erstellung des Google Accounts nicht nur wegen der mangelhaften Information der Nutzer unwirksam ist, sondern auch aufgrund der von Google gewählten Lösung zur Einholung der Einwilligung. Google hatte den Vorgang so ausgestaltet, dass Nutzer eine sogenannte «en-bloc»-Einwilligung abgaben, sprich die Einwilligung pauschal für sämtliche Verarbeitungszwecke galt und eine selektive Abgabe der Einwilligung nur durch aktives Zutun des Nutzers durch Klicken auf den Button «Weitere Optionen» möglich war und dass selbst bei diesem Vorgehen alle Verarbeitungszwecke bereits standardmässig vorangekreuzt waren («pré-cochés par défaut»).

Google zog das Urteil der CNIL weiter vor den Conseil d’État und forderte die Aufhebung der Sanktion. Diesem Antrag folgte das höchste französische Verwaltungsgericht nicht. Hierbei bestätigte die Beschwerdeinstanz in ihrem Urteil vom 19. Juni 2020 (N° 430810) die Einschätzungen der CNIL in ganzer Linie.

Verstoss gegen Informations- und Transparenzpflichten

Konkret bestätigte die Beschwerdeinstanz, dass Google seinen Informations- und Transparenzpflichten nicht nachgekommen war. Die DSGVO bezeichnet eine Reihe von Angaben, die eine datenverarbeitende Partei dem Datensubjekt in einer präzisen, einfach verständlichen und leicht zugänglichen Form darlegen muss. Diese Pflicht soll betroffenen Personen die Möglichkeit geben, den Umfang und die Folgen der jeweiligen Datenverarbeitung zu erkennen. Die Anforderungen an die Präzision, Verständlichkeit, Klarheit und Einfachheit der Informationen rechtfertigen gemäss Conseil d’État zwar, dass die Informationen nicht übermässig detailliert sind, um die Nutzer nicht vom Lesen abzuschrecken, doch sollten alle relevanten Elemente, die sich auf die verschiedenen Zwecke und den Umfang der Verarbeitung beziehen, für den Benutzer gleichwohl leicht zugänglich sein.

Google stellte sich in diesem Kontext auf den Standpunkt, dass die von ihr gewählte Architektur, welche aus mehreren Ebenen mit unterschiedlichem Detaillierungsgrad bestand, gerade darauf abziele, die Datensubjekte auf klare und einfach verständliche Weise zu informieren. Der Conseil d’État hingegen qualifizierte die gewählte Architektur wie auch zuvor die CNIL als ungenügend. Hierbei ging das Gericht auf drei Punkte im Besonderen ein:

  • Erstens stellte es fest, dass die Angaben auf der ersten Ebene in der Datenschutzrichtlinie und in den Nutzungsbedingungen im Kontext der von Google durchgeführten Datenverarbeitungen, den damit verbundenen Eingriffen in die Privatsphäre der Datensubjekte sowie Art und Umfang der gesammelten Daten zu allgemein gehalten sind.
  • Zweitens rügt das Gericht wie auch die CNIL, dass eine Vielzahl relevanter Angaben nur schwer zugänglich ist, da Nutzer sie erst nach mehreren Schritten bzw. dem Anklicken mehrerer Links erreichen. Als Beispiele werden im Urteil genannt, dass sechs Schritte notwendig sind, um umfassende Informationen zum Thema Geolokalisierung zu erhalten und dass Angaben betreffend die Aufbewahrungsfrist der Daten nur über einen Link auf einem 68-seitigen Dokument gefunden werden können.
  • Drittens wurde gerügt, dass bestimmte Pflicht-Angaben selbst auf den untersten, detailliertesten Informationsebenen fehlten. So reiche es beispielsweise nicht, wenn im Dokument zur Datenspeicherung ein generischer Hinweis angebracht ist, wonach gewisse Daten aus bestimmten Gründen für längere Zeiträume gespeichert werden können, ohne diese Gründe und die Daten zu spezifizieren.

Entgegen der von Google erhobenen Kritik wurde deshalb der Verstoss nicht darin gesehen, dass nicht bereits auf der ersten Informationsebene sämtliche Pflichtangaben enthalten waren. Vielmehr erschien im vorliegenden Fall die von Google gewählte Struktur als ungeeignet, für hinreichende Klarheit und Zugänglichkeit der Informationen zu sorgen; dies obwohl die Datenverarbeitungen besonders einschneidend sind und daher erhöhte Transparenz-Anforderungen gelten.

Verstoss gegen Rechtmässigkeitsgrundsatz infolge ungültiger Einwilligung

In einem nächsten Schritt war zu prüfen, ob Google gegen den Grundsatz der Rechtsmässigkeit der Datenverarbeitung verstossen hat (Art. 6 DSGVO). Dieser schreibt vor, dass eine Verarbeitung von personenbezogenen Daten nur erfolgen darf, wenn sie auf ein Erlaubnistatbestand abgestützt werden kann. Einer der in der Praxis relevantesten Erlaubnistatbestände ist die Einwilligung der betroffenen Person. Nach der (strengen) Definition der DSGVO gilt als Einwilligung:

«jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist».

Erfolgt eine solche Einwilligung durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss gemäss DSGVO «das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist.»

Der Conseil d’État war der Ansicht, dass die Zustimmung, die Google von seinen Nutzern einholte, diesen Voraussetzungen nicht entsprach. Er bestätigte die Entscheidung der CNIL deshalb auch in Bezug auf den Verstoss gegen den Rechtsmässigkeitsgrundsatz. Erstens hielt die Beschwerdeinstanz fest, dass die Einwilligung am Ende der Erstellung eines Google Accounts nur schon deswegen unwirksam sei, weil die Informationen zum Verwendungszweck weder genug leicht zugänglich sind noch die Anforderungen an die Klarheit erfüllen (s. bereits oben). Es fehlte insofern bereits an der Voraussetzung «in informierter Weise». Ausserdem genügt es nicht, wenn die Einwilligung im Rahmen der allgemeinen Annahme der Nutzungsbedingungen erteilt wird. Vielmehr muss eine spezifische Einwilligung erfolgen, nachdem klar und deutlich über die Verarbeitungszwecke informiert wurde. Die Informationen in Bezug auf den Bearbeitungszweck der Personalisierung von Anzeigen, für den eine Einwilligung eingeholt werden sollte, waren dabei aber offenbar sowohl auf der ersten als auch weiteren Ebenen inmitten von weiteren Informationen über Bearbeitungen, die nicht zwingend auf der Einwilligung als Rechtsgrundlage basierten. Die Trennung des Einwilligungsersuchens von anderen Informationen war somit gemäss Conseil D’État ungenügend. Darüber hinaus rügt auch die Beschwerdeinstanz, dass Nutzer, die auf den Button «Weitere Optionen» klicken, mit vorangekreuzten Checkboxen konfrontiert werden. In diesem Kontext erinnert die Beschwerdeinstanz – unter Hinweis auf die Rechtsprechung des EuGH im Fall Planet49 – daran, dass bei einer Einwilligung über eine bereits standardmässig angekreuzte Checkbox keine aktive Handlung des Datensubjekts vorliegt, weswegen die Einwilligung nicht gültig sein kann.

Conseil d’État bestätigt Zuständigkeit der CNIL und Verhältnismässigkeit der Busse

Die Beschwerdeinstanz befasste sich ausserdem auch mit der Kritik seitens Google, wonach die CNIL gar nicht für die Beurteilung der beanstandeten Datenverarbeitung zuständig gewesen wäre und wonach die verhängte Strafe unverhältnismässig sei. Google hatte hinsichtlich der Zuständigkeit angeführt, dass gemäss dem in der DSGVO festgelegten «One-Stop-Shop» Prinzip vorliegend die irische Datenschutzbehörde zuständig sei. Dieses Prinzip besagt, dass bei grenzüberschreitender Datenverarbeitung – also der Verarbeitung in mehr als einem Mitgliedsstaat – die Aufsichtsbehörde desjenigen Mitgliedsstaates für die Beurteilung von DSGVO-Verstössen als federführende Aufsichtsbehörde zuständig ist, in dem sich die Hauptniederlassung des für die Datenverarbeitung verantwortlichen Unternehmens befindet. Google stellte sich auf den Standpunkt, dass aufgrund der europäischen Hauptniederlassung von Google in Irland die Irish Data Protection Commission zur Beurteilung des vorliegenden Sachverhalts als federführende Aufsichtsbehörde zuständig sei und diese Behörde Art. 56 DSGVO folgend mit der französischen Datenschutzbehörde, bei der die Beschwerde eingereicht worden war, zusammenarbeiten müsse. Diese Argumentation liess der Conseil d’État nicht gelten und schloss sich der Argumentation der CNIL an, wonach Google Ireland hinsichtlich der in Frage stehenden Datenverarbeitungen keine eigene Entscheidungsbefugnis habe. Vielmehr liege diese Befugnis bei der in den USA ansässigen Google LLC, weswegen das «One-Stop-Shop» Prinzip nicht zur Anwendung käme und die CNIL durchaus für die Beurteilung der monierten Verstösse zuständig sei.

Die Verhältnismässigkeit der 50 Mio. Euro schweren Busse reflektierte der Conseil d’Etat im Kontext verschiedener Aspekte. Insbesondere stellte er fest, dass sie im Kontext der finanziellen Lage von Google LLC sowie der Schwere, Kontinuität und Dauer der begangenen Verstösse, verhältnismässig sei.

Fazit und Anmerkungen

Aus all diesen Gründen hat der Conseil d’État die Beschwerde von Google vollumfänglich abgewiesen und die Entscheidung der CNIL bestätigt. In inhaltlicher Sicht bestätigt das vorliegende Urteil, dass die Anforderungen an die gültige Information und die wirksame Einwilligung sehr hoch sind. Die Zielkonflikte zwischen den Anforderungen der Vollständigkeit und Präzision der Informationen sowie der Verständlichkeit, Einfachheit und Transparenz lassen sich nicht leicht auflösen, besonders bei Datenverarbeitungen im Umfang, wie sie Google vornimmt. Auch wenn es Google im vorliegenden Fall nicht gelungen ist, so bekräftigt das Urteil doch immerhin, dass der Mehrebenen-Ansatz eine Möglichkeit zur Umsetzung darstellt.

Die vorliegend bestätigte Busse zeigt ferner, dass Datenschutzbehörden nicht (mehr) nur symbolische Bussen erteilen, sondern durchaus bereit sind, hohe Bussen auszusprechen. Dem ursprünglichen Urteil und der erneuten Bestätigung durch den Conseil d’État dürfte daher eine enorme Signalwirkung zukommen. Davon betroffen sind infolge des extraterritorialen Anwendungsbereichs der DSGVO auf zahlreiche Schweizer Unternehmen (zur Anwendbarkeit der DSGVO auf Schweizer Unternehmen vgl. MLL-News vom 30.7.2017, MLL-News vom 21.9.2017, MLL-News vom 15.6.2020 und MLL News vom 29.7.2020).

Weitere Informationen:


Artikel teilen



meistgelesen


Highlights

MLL Legal

MLL Legal ist eine der führenden Anwaltskanzleien in der Schweiz mit Büros in Zürich, Genf, Zug, Lausanne, London und Madrid. Wir beraten unsere Klienten in allen Bereichen des Wirtschaftsrechts und zeichnen uns insbesondere durch unsere erstklassige Branchenexpertise in technisch-innovativen Spezialgebieten, aber auch in regulierten Branchen aus.

MLL Meyerlustenberger Lachenal Froriep

Newsletter

MLL-News 03/22 mit Beiträgen zum Digital Markets Act, Digital Services Act, PBV-Revision, Abmahnungen zu Google Fonts, Inbox-Adverting und vieles mehr.

Zugang MLL-News 03/22

Jetzt anmelden!

Unsere Geschichte

MLL Legal ist eine führende Schweizer Anwaltskanzlei, deren Geschichte bis ins Jahr 1885 zurückreicht. Die Kanzlei ist sowohl organisch als auch durch strategische Fusionen gewachsen, von denen die Jüngste am 1. Juli 2021 zwischen Meyerlustenberger Lachenal und FRORIEP vollzogen wurde.

Durch diesen Zusammenschluss hat sich MLL Legal zu einer der grössten Wirtschaftskanzleien der Schweiz mit über 150 Anwältinnen und Anwälten in vier Büros in der Schweiz entwickelt. Auch zwei Büros im Ausland, in London und Madrid, bieten Anlaufstellen vor Ort für Klientinnen und Klienten, die Beratung im Schweizer Wirtschaftsrecht suchen.

Die Kanzlei verfügt heutzutage über ein starkes internationales Profil und ein langjährig aufgebautes globales Netzwerk. MLL Legal vereint anerkannte Führungsqualitäten und Fachwissen in allen Bereichen des Schweizer und internationalen Wirtschaftsrechts.

Über uns

Publikationen

Hier geht’s zu unseren neuesten Publikationen

COVID-19

Lesen Sie alle unsere rechtlichen Updates zu den Auswirkungen von COVID-19 für Unternehmen.

COVID-19 Information

Offene Stellen

Sind Sie auf der Suche nach einer neuen Herausforderung?

Unsere talentierten und ambitionierten Teams sind von einer gemeinsamen Vision motiviert, erfolgreich zu sein. Wir schätzen eine offene und unkomplizierte Kommunikation über alle Ebenen der Organisation hinweg in einem unterstützenden Arbeitsumfeld.

Offene Stellen

Real Estate Legal Update

Hier gehts zum Real Estate Legal Update 02/22 mit Fokus auf der Energiewende. Wir beschäftigen uns mit der Anpassung des Energiegesetzes und der Umsetzung in den Kantonen Genf und Zürich. Abgerundet wird das Thema mit einem Beitrag zu Solaranlagen. Ergänzt wird unser Update durch Beiträge zum Bauarbeitengesetz, zum L-QIF und zu steuerlichen Überlegungen zu Umstrukturierungen von Immobilienportfolios.

Registrieren Sie sich hier, um unser 2 x jährlich erscheinendes Real Estate Legal Update zu erhalten.

Unser Team

Unsere über 150 Anwältinnen und Anwälte unterstützen Sie dabei, den regulatorischen und technologischen Anforderungen im modernen globalen Wirtschaftsleben erfolgreich zu begegnen und ihre wirtschaftlichen Chancen zu nutzen.

Unser Team

Revision DSG

Auf unserer Themenseite rund um die Revision des Schweizerischen Datenschutzgesetzes finden Sie regelmässig aktualisierte und umfassende Informationen und Hilfsmittel. Es ist uns ein Anliegen, Sie bei der Implementierung der neuen Vorgaben zu unterstützen.

Revision DSG Themenseite

MLL Legal on Social Media

Folgen Sie uns auf LinkedIn, Twitter und Instagram.