Die französische Datenschutzaufsichtsbehörde CNIL hat mit € 50’000’000.- die bisher höchste Busse unter der DSGVO verhängt. Die Busse erfolgte nach Anzeige durch die NGO noyb.eu (kurz für „none of your business“) sowie die Gruppierung LQDN (kurz für „Le Quadrature du Net“). noyb.eu hatte direkt zu Beginn der Anwendbarkeit der DSGVO im Mai 2018 in vier Ländern Anzeigen gegen Google, Instagram, Whatsapp und Facebook eingereicht (mehr dazu in unserem früheren Beitrag auf SDPL).
Die CNIL hat das bei ihr eingeleitete Verfahren nun als erste mit einer Rekordbusse abgeschlossen. Untersucht wurde mittels online Inspektionen, insbesondere der Analyse des Surfmusters eines Users, welche Dokumente der User vorgelegt erhält, wenn er im Verlauf der Konfiguration eines Android Mobilgerätes einen Google Account aufsetzt. Dabei hat die Behörde zwei Arten von Datenschutzverletzungen festgestellt:
- Verletzung der Pflichten zur Transparenz und Information (Art. 5 und Art. 12 DSGVO)
- Verletzung der Pflicht, einen Rechtsgrund für die personalisierte Werbung zu haben (Art. 6 DSGVO)
Bezüglich Transparenz und Information wurde bemängelt, dass die Information nicht leicht zugänglich sei. So seien z.B. die grundsätzlichen Informationen über Verarbeitungszweck, Aufbewahrungsdauer oder Kategorien der verarbeiteten Personendaten übermässig verstreut über verschieden Dokumente, wobei man z.T. bis zu 5 or 6 Handlungen vornehmen müsse, um zur entsprechenden Information zu gelangen. Zudem seien die Informationen zum Teil unverständlich oder nicht vollständig. Es fehlten z.B. Angaben zur Aufbewahrungsdauer bestimmter Daten und für den User sei nicht verständlich genug kommuniziert, dass der Rechtsgrund für die personalisierte Werbung seine Zustimmung (Art. 6 Abs. 1 lit. a DSGVO) und nicht etwas das berechtigte Interesse der Gesellschaft (Art. 6 Abs. 1 lit. f DSGVO) sei.
Bezüglich der Zustimmung zu personalisierter Werbung wurde sodann bemängelt, dass nicht genügend informiert wurde, welche einzelnen Dienste von der Zustimmung erfasst seien (konkret: Google Search, Youtube, Google Home, Google Maps, Playstore, Google pictures und weitere) und dass sie weder eindeutig noch spezifisch eingeholt worden sei. Dabei reiteriert und bestätigt das CNIL die bekannte Forderung der DSGVO, dass Datenschutz Opt-In Böxchen nicht „pre-checked“, also nicht vorangekreuzt, sein dürfen und hält fest, dass die Zustimmung nur gültig sei, wenn sie spezifisch für jeden Zweck gegeben werde (statt mit der üblichen „Ich stimme der Datenschutzerklärung zu“ Frage).
Google hat angekündigt, dass sie die Busse weiterziehen werden.
Aus der Busse für Google können Unternehmen folgende Lehren ziehen:
- Ein Unternehmen sollte seine Datenschutzinformationen in wenigen Dokumenten zentralisieren, also mit möglichst nur einer oder wenigen Datenschutzerklärungen arbeiten (idealerweise mit dem sogenannten „Layered Approach“, der von verschiedenen Datenschutzbehörden begrüsst wird; wenn Sie sich für den Layered Approach interessieren, hinterlassen Sie bitte einen Kommentar, dann veröffentlichen wir dazu einen Beitrag).
- Zustimmung muss durch eine positive Handlung eingeholt werden, nicht durch pre-checked Checkboxes und sie sollte spezifisch, d.h. für jeden Zweck einzeln gegeben bzw. verweigert werden können.
- Es sollte geprüft werden, ob man seine Verarbeitung tatsächlich auf Zustimmung abstellen will/muss oder ob nicht einer der anderen Rechtsgründe verlässlicher und einfacher zu handhaben ist (z.B. DSGVO Art. 6 Abs. 1 lit. b – Vertragserfüllung, lit. c – rechtliche Pflicht oder lit. f – berechtigtes Interesse).
Nachdem die Aufsichtsbehörden bisher eher zurückhaltend waren, was die Höhe von Bussen anbelangt, ist das Risiko für sehr hohe Bussen aufgrund von Datenschutzverstössen mit dem Entscheid der CNIL sehr viel realer geworden, auch wenn der Entscheid noch weitergezogen werden kann.
Der Entscheid der CNIL kann hier abgerufen werden. Sie hat zudem noch eine Medienmitteilung dazu verfasst.