Google wurde für zahlreiche Verstösse gegen Datenschutzbestimmungen mit 50 Millionen Euro gebüsst. Learnings für Datenschutzhinweise und Einwilligung.
Ausgelöst von Beschwerden des Aktivisten Max Schrems (None Of Your Business) und des Vereins La Quadrature du Net führte die französische Datenschutzbehörde CNIL eine Untersuchung gegen Google durch und sprach eine saftige Busse aus. Der Entscheid der CNIL liefert wertvolle Hinweise, wie Datenschutzhinweise richtig bzw. falsch platziert werden und wie Einwilligungen wirksam einzuholen sind.
Datenschutzhinweise müssen leicht zugänglich sein. Bei Google wurde bemängelt, dass die Informationen (Bearbeitungszwecke, Speicherdauer, Kategorien der bearbeiteten Daten) über mehrere verlinkte Dokumente verstreut waren. Es brauche fünf bis sechs Klicks, um alle Informationen zu sichten, z.B. wenn der Nutzer wissen will, wie Google mit Geolokalisationsdaten umgeht. Wir empfehlen eine Datenschutzerklärung (long form) in einem (1) Dokument.
Datenschutzhinweise müssen verständlich und spezifisch sein. Der Nutzer muss in der Lage sein, den Umfang der Bearbeitung zu verstehen. Google wurde vorgeworfen, dass die Angaben über die Bearbeitungszwecke und die pro Zweck bearbeitete Daten zu allgemein und ungenau seien. In der Praxis sehen wir, dass diesbezüglich oft gesündigt wird und sich die Verantwortlichen nicht die Mühe nehmen, klar darzustellen, wie die Daten der Nutzer genau bearbeitet werden.
Datenschutzerklärungen müssen vollständig sein. Google vergass die Speicherdauer anzugeben. Wir empfehlen daher, als Basis Muster zu verwenden, die von Datenschutzbehörden empfohlen wurden (auch wenn diese Muster ziemlich umfangreich sind).
Der Grund der Bearbeitung muss klar sein. Bei der von Google vorgenommen Werbepersonalisierung war nicht ausreichend klar, dass diese auf einer Einwilligung des Nutzers und nicht aus einem berechtigten Interesse beruhte.
Die Konsequenz der mangelhaften Datenschutzhinweise war, dass keine wirksame Einwilligung erfolgte und Bearbeitung nicht DSGVO-konform war. Damit eine Einwilligung wirksam ist, muss der Nutzer ausreichend informiert werden. Die Information ist ungenügend, wenn die Beschreibung Bearbeitungen in verschiedenen Dokumenten verstreut ist.
Auch zum Thema Einwilligung enthält der Entscheid wertvolle Hinweise. Die Behörde rügte, dass die Einwilligung nicht genügend “spécifique” (spezifisch, eindeutig) und unmissverständlich sein, weil die Auswahlmöglichkeiten bei der Eröffnung eines Nutzerkontos erst nach einer Nutzeraktion angezeigt werden und die Optionen vorangekreuzt seien, und weil der Nutzer nur en bloc statt separat pro Verarbeitung einwilligen könne. Wir empfehlen daher, dass für jede der Optionsmöglichkeiten ein (1) Feld vorzusehen ist, dass der Nutzer anklicken kann oder nicht (kein Vorankreuzen).
Entscheidung CNIL vom 21. Januar 2019
