Die CNIL hat wegen Verstössen gegen die Transparenzpflicht, unzureichender Information und fehlender Einwilligung in die Personalisierung von Werbung eine Busse von EUR 50 Mio. gegen Google LLC verhängt. Die Busse geht auf eine Untersuchung zurück, die durch Ende Mai 2018 eingereichte Beschwerden von None Of Your Business (“NOYB” von Max Schrems) und den Verein La Quadrature du Net (“LQDN”) ausgelöst wurde. Zwischen dem Eingang der Beschwerden und dem Bussbescheid ist also nur rund ein halbes Jahr vergangen, was wohl nur deshalb möglich war, weil der One-Stop-Shop-Mechanismus auf Google LLC mit Sitz in den USA, also einem Drittland, keine Anwendung findet.
Verfügbare Dokumente:
Festgestellte Mängel der Datenschutzhinweise
In der Sache bemängelt die CNIL, dass die Datenschutzhinweise von Google nicht “leicht zugänglich” i.S.v. Art. 12 Abs. 1 DSGVO seien. Der Aufbau der Datenschutzhinweise erlaube keine rechtskonforme Information, weil die Angaben über die Bearbeitungszwecke, die Speicherdauer oder die Kategorien der bearbeiteten Daten über mehrere verlinkte Dokumenten verstreut seien. Es brauche teilweise fünf bis sechs Klicks, um alle Informationen zu sichten, z.B. wenn der Nutzer wissen will, wie Google mit Geolokalisationsdaten umgeht.
Zudem seien die Nutzer nicht in der Lage, den Umfang der Bearbeitung durch Google zu verstehen. Diese Bearbeitung sei besonders massiv, und die Angaben über die Bearbeitungszwecke und pro Zweck bearbeitete Daten seien zu allgemein und ungenau. Auch werde bei der Werbepersonalisierung nicht ausreichend klar, dass diese auf einer Einwilligung des Nutzers und nicht einem berechtigten Interesse beruhe. Und schliesslich werde die Speicherdauer nicht angegeben.
Unwirksame Einwilligung
Google stütze sich für die Werbepersonalisierung auf eine Einwilligung, die aber nicht wirksam erteilt werde. Die Einwilligung (d.h. der Nutzer) sei nicht ausreichend informiert, wieder weil die Beschreibung der Bearbeitungen in verschiedenen Dokumenten verstreut sei, und die Einwilligung sei auch nicht genügend eindeutig (“specifique”) und unmissverständlich, insb. weil die Auswahlmöglichkeiten bei der Eröffnung eines Nutzerkontos erst nach einer Nutzeraktion angezeigt werde und die Optionen vorangekreuzt sind, und weil der Nutzer nur en bloc statt separat pro Verarbeitung einwilligen könne.
Sanktionsbemessung
Mit Bezug auf die Sanktionsbemessung nennt die CNIL folgende Umstände:
- Umfang der Datenbearbeitung und ‑verknüpfungen und Bedeutung der Dienstleistungen von Google für die Nutzer;
- fortgesetzter Charakter der Verstösse;
- Anzahl der betroffenen Nutzer des Systems Android, “compte tenu de la place prépondérante qu’occupe le système d’exploitation Android sur le marché français” – hier klingt eine dominante Marktstellung als verschärfendes Moment an.