Die französische Aufsichtsbehörde CNIL hat am 21.1.2019 ein Bußgeld in Höhe von € 50.000.000 über die Google LLC verhängt. Anlass war eine Beschwerde von Datenschutzverbänden ähnlich dem unseren. Was aber bedeutet das für die Praxis von Beratern im Bereich Datenschutz?
Die Verbände haben argumentiert, dass Google einerseits keine transparente Datenschutzerklärung vorhält und damit sowohl gegen den Transparenz- als auch den Grundsatz der rechtmäßigen Datenverarbeitung verstößt. Viele der Verarbeitungen durch Google bedürfen nämlich einer rechtswirksamen Einwilligung. Eine betroffene Person kann jedoch immer nur dann rechtswirksam einwilligen, wenn sie davor transparent über die Einzelheiten der in Rede stehenden Verarbeitung informiert worden ist.
Warum aber ist Googles Datenschutzerklärung als intransparent eingestuft worden?
Einerseits hat die CNIL entschieden, dass es an der leichten Zugänglichkeit fehlt, weil Google wichtige Informationen auf übermäßig viele Dokumente verteilt hat. Andererseits können Nutzer der Google-Dienste die erhaltenen Informationen nicht nachvollziehen, weil sie sich auf eine Vielzahl vollkommen unterschiedlicher Dienste beziehen. Das hat wohl auch dazu geführt, dass Google die Zwecke der Verarbeitungen und die verarbeiteten Datenarten zu allgemein und vage beschrieben hat.
Warum hat das die Unwirksamkeit der Einwilligung zur Folge?
Eine Einwilligung in eine Datenverarbeitung muss nicht nur informiert abgegeben worden sein. Die betroffene Person kann überdies nur
- in eine bestimmte Datenverarbeitung
- für einen konkreten Fall
rechtswirksam einwilligen.
Google hat aber in seinen Kontoeinstellungen Einwilligungen zu vielen Verarbeitungen bereits vorangehakt (Opt-Out-Lösung). Außerdem können betroffene Personen nur pauschal für alle Verarbeitungszwecke einwilligen und dürfen nicht auswählen, welchen einzelnen Zwecken sie ihre Einwilligungen verweigern.
Was bedeutet das für die Beratungspraxis?
Solange Google seine Verarbeitungspraxis nicht ändert oder die Rechtsmittelinstanzen die Entscheidung der CNIL nicht kippen, sind Google-Dienste nicht empfehlenswert. Vielmehr trifft jeden Berater die Sorgfaltspflicht, seine Kunden vor dem Einsatz von Google-Diensten etwa auf Websites oder für Werbekampagnen zu warnen, zB vor Maps, Webfonts, Analytics oder AdMob. Andernfalls besteht für seine Kunden das Risiko von Geldbußen, für den Berater aber das Risiko der Haftung für Fehlberatung.
Viele Google-Dienste lösen schon durch ihren Einsatz auf der eigenen Website Übermittlungen von Besucherdaten an Google aus. Entsprechend der EuGH-Entscheidung zu Facebook-Fanseitenbetreibern vom 5.6.2018 besteht auch im Verhältnis zu Google eine gemeinsame Verantwortlichkeit des Kunden dafür, dass dessen Einsatz von Google-Diensten zu einer Datensammlung durch Google führt. Die unwirksame Einwilligung des Besuchers in Google-Datenverarbeitungen ist aber keine ausreichende Rechtsgrundlage dafür, dass Google vom Kunden Besucherdaten übermittelt bekommt, wenn dieser Google-Dienste einsetzt. Damit ist diese Übermittlung rechtswidrig und der Kunde dafür mitverantwortlich.
Weiters bietet die Entscheidung auch Anhaltspunkte dafür, die Datenschutzerklärungen Ihrer Kunden zu überarbeiten: Achten Sie darauf,
- dass die Verarbeitungszwecke klar beschrieben sind,
- dass klar ist, welche Daten zu welchen Zwecken verarbeitet werden, und
- dass die Datenschutzerklärung leicht zugänglich ist.
Soweit Ihr Kunde für eine oder mehrere Verarbeitungen eine Einwilligung benötigt, sollten Sie darauf achten, dass er jedem der Verarbeitungszweck
- einzeln und
- aktiv mit einer Opt-In-Lösung
zustimmen kann.