Die CNIL hat wegen Ver­stö­ssen gegen die Trans­pa­renz­pflicht, unzu­rei­chen­der Infor­ma­ti­on und feh­len­der Ein­wil­li­gung in die Per­so­na­li­sie­rung von Wer­bung eine Bus­se von EUR 50 Mio. gegen Goog­le LLC ver­hängt. Die Bus­se geht auf eine Unter­su­chung zurück, die durch Ende Mai 2018 ein­ge­reich­te Beschwer­den von None Of Your Busi­ness (“NOYB” von Max Schrems) und den Ver­ein La Qua­dra­tu­re du Net (“LQDN”) aus­ge­löst wur­de. Zwi­schen dem Ein­gang der Beschwer­den und dem Buss­be­scheid ist also nur rund ein hal­bes Jahr ver­gan­gen, was wohl nur des­halb mög­lich war, weil der One-Stop-Shop-Mecha­nis­mus auf Goog­le LLC mit Sitz in den USA, also einem Dritt­land, kei­ne Anwen­dung fin­det.

Ver­füg­ba­re Doku­men­te:

Festgestellte Mängel der Datenschutzhinweise

In der Sache bemän­gelt die CNIL, dass die Daten­schutz­hin­wei­se von Goog­le nicht “leicht zugäng­lich” i.S.v. Art. 12 Abs. 1 DSGVO sei­en. Der Auf­bau der Daten­schutz­hin­wei­se erlau­be kei­ne rechts­kon­for­me Infor­ma­ti­on, weil die Anga­ben über die Bear­bei­tungs­zwecke, die Spei­cher­dau­er oder die Kate­go­ri­en der bear­bei­te­ten Daten über meh­re­re ver­link­te Doku­men­ten ver­streut sei­en. Es brau­che teil­wei­se fünf bis sechs Klicks, um alle Infor­ma­tio­nen zu sich­ten, z.B. wenn der Nut­zer wis­sen will, wie Goog­le mit Geo­lo­ka­li­sa­ti­ons­da­ten umgeht.

Zudem sei­en die Nut­zer nicht in der Lage, den Umfang der Bear­bei­tung durch Goog­le zu ver­ste­hen. Die­se Bear­bei­tung sei beson­ders mas­siv, und die Anga­ben über die Bear­bei­tungs­zwecke und pro Zweck bear­bei­te­te Daten sei­en zu all­ge­mein und unge­nau. Auch wer­de bei der Wer­be­per­so­na­li­sie­rung nicht aus­rei­chend klar, dass die­se auf einer Ein­wil­li­gung des Nut­zers und nicht einem berech­tig­ten Inter­es­se beru­he. Und schliess­lich wer­de die Spei­cher­dau­er nicht ange­ge­ben.

Unwirksame Einwilligung

Goog­le stüt­ze sich für die Wer­be­per­so­na­li­sie­rung auf eine Ein­wil­li­gung, die aber nicht wirk­sam erteilt wer­de. Die Ein­wil­li­gung (d.h. der Nut­zer) sei nicht aus­rei­chend infor­miert, wie­der weil die Beschrei­bung der Bear­bei­tun­gen in ver­schie­de­nen Doku­men­ten ver­streut sei, und die Ein­wil­li­gung sei auch nicht genü­gend ein­deu­tig (“spe­ci­fi­que”) und unmiss­ver­ständ­lich, insb. weil die Aus­wahl­mög­lich­kei­ten bei der Eröff­nung eines Nut­zer­kon­tos erst nach einer Nut­zer­ak­ti­on ange­zeigt wer­de und die Optio­nen vor­an­ge­kreuzt sind, und weil der Nut­zer nur en bloc statt sepa­rat pro Ver­ar­bei­tung ein­wil­li­gen kön­ne.

Sanktionsbemessung

Mit Bezug auf die Sank­ti­ons­be­mes­sung nennt die CNIL fol­gen­de Umstän­de:

  • Umfang der Daten­be­ar­bei­tung und -ver­knüp­fun­gen und Bedeu­tung der Dienst­lei­stun­gen von Goog­le für die Nut­zer;
  • fort­ge­setz­ter Cha­rak­ter der Ver­stö­sse;
  • Anzahl der betrof­fe­nen Nut­zer des Systems Andro­id, “comp­te tenu de la place prépon­dé­ran­te qu’occupe le système d’exploitation Andro­id sur le mar­ché français” – hier klingt eine domi­nan­te Markt­stel­lung als ver­schär­fen­des Moment an.

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.