Kostenlosen Ratgeber zur Verteidigung gegen 
Abmahnung als 28 Seiten PDF-Dokument

Datenschutz: (Weihnachts-) Bußgelder gegen Google, Amazon und H&M

Achtung: Der Beitrag kann die rechtliche Beratung im Einzelfall nicht ersetzen!

veröffentlicht am 23. Dezember 2020 um 19:33

Die Zahlung hoher Geldsummen während der Weihnachtszeit steht normalweise mit dem Besorgen von Geschenken für Freunde und Familie in Zusammenhang. Bei drei großen Unternehmen sind es jedoch angebliche Datenschutzverstöße, die zu empfindlichen Zahlungen geführt haben. Französische und deutsche Datenschutzbehörden verhängten Bußgelder in Höhe von insgesamt ca. 170 Mio. Euro gegen Google, Amazon und H&M. Wie ist es dazu gekommen?

1. Bußgeld gegen Google in Höhe von ca. 100 Mio. Euro wegen angeblicher Datenschutzverstöße

a) Was bei Google im Datenschutz geschehen ist

Am 7. Dezember 2020 verhängte die französische Datenschutzbehörde CNIL gegen Google LLC ein Bußgeld in Höhe von 60. Mio. Euro und Google Ireland Limited in Höhe von 40 Mio. Euro. Am 16. März 2020 leitete die CNIL ein Ermittlungsverfahren betreffend die Website google.fr ein und stellte in dessen Verlauf drei Verstöße gegen Art. 82 des französischen Datenschutzgesetzes fest, der die Rechte und Pflichten im Zusammenhang mit der Verarbeitung im Bereich der elektronischen Kommunikation regelt

Zunächst bemängelt die CNIL, dass Google bei Aufruf der Website automatisch verschiedene Cookies für Werbezwecke auf das Endgerät des Nutzers platzierte, ohne vorher die Einwilligung des Nutzers eingeholt zu haben.

bundesdatenschutzgesetz in deutschland nach datenschutzrechts

Darüber hinaus erschien bei Aufruf der Website ein Cookie-Banner, welches dem Nutzer die Wahl ermöglichte, direkt auf die Website zuzugreifen („remind me later“) oder die Datenschutzeinstellungen („Access now“) aufzurufen. Allerdings enthielten weder dieses Banner noch die Datenschutzeinstellungen Informationen über die Cookies, die bereits bei Aufrufen der Website gesetzt wurden. Insoweit waren die Nutzer mangels ausreichender Informationen nicht in der Lage, wirksam in das Setzen der Cookies einzuwilligen oder diese abzulehnen.

Selbst wenn der Nutzer sich durch die Datenschutzeinstellungen gekämpft und die personalisierte Werbung deaktiviert hatte, wurde gleichwohl ein Werbe-Cookie auf dem Endgerät gesetzt.

Die automatische Setzung ungefragter Werbecookies unterließ Google ab September 2020, doch reichten die zur Verfügung gestellten Informationen dem CNIL immer noch nicht aus, um den Nutzern eine informierte Einwilligung zu ermöglichen. Weder war es den Nutzern möglich zu verstehen, wofür die gesetzten Cookies genutzt werden, noch wurden sie über die Möglichkeit informiert, die Cookies ablehnen zu können.

Diese drei Verfehlungen wurden von der CNIL als schwerwiegender Verstoß gegen die Datenschutzregeln eingeordnet, da sie fünfzig Millionen Nutzer in Frankreich betrafen und Google durch die Werbung signifikante Profite ermöglichten. Aufgrund dessen verhängte sie ein hohes Bußgeld. Es handelt sich hierbei um das höchste je von der CNIL verhängte Bußgeld. Google hat nun drei Monate Zeit, die Verstöße zu beheben und seine Nutzer ausreichend zu informieren. Andernfalls wird das Bußgeld für jeden Tag nach dieser Frist um weitere 100.000 Euro erhöht.

Das Unternehmen wehrt sich gegen die Entscheidung, indem es sich auf die hohen Datenschutzstandards in Bezug auf Transparenz und klare Information der Nutzer und der Datensicherheit berief. Auch warf es den französischen Datenschutzregelungen vor, unsicher und ständigen Veränderungen unterworfen zu sein.

b) Die rechtlichen Hintergründe zu den Datenschutzsachen bei google

Sowohl Art. 82 des französischen Datenschutzgesetzes (in Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG, auch ePrivacy-RL) als auch Art. 6 I 1 lit. a, Art. 7 DSGVO stellen strenge Anforderungen an eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten auf.

notruf für hilfe bei geldbußen wegen datenschutzes für Personenbezogene Daten

So muss die Einwilligung nach Erwägungsgrund 32 der DSGVO freiwillig und informiert durch eine eindeutig bestätigende Handlung erfolgen. Erforderlich ist eine Verhaltensweise, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Dieses Erfordernis präzisierte der EuGH in seinem Planet49-Urteil für Cookies (EuGH, Urteil vom 1.10.2019 – C-673/17), indem er es für unzulässig erklärte, die Ablehnung von Cookies von einer aktiven Handlung des Nutzers abhängig zu machen.

Diesen Anforderungen genügte Google bei der Website google.fr nicht. Weder das Cookie-Banner noch die Datenschutzeinstellungen stellten ausreichende Informationen zur Verfügung, die dem Nutzer eine informierte Entscheidung ermöglichten. Zudem war in die Setzung der automatischen Werbe-Cookies gar keine Einwilligung möglich.

Gangbar bliebe zwar der Weg über die Interessenabwägung nach Art. 6 I 1 lit. f DSGVO. Dieser scheitert bei den Werbe-Cookies, die abgelehnt werden können, daran, dass es widersprüchlich wäre, den Nutzern eine Entscheidungsfreiheit vorzugaukeln, um die Datenverarbeitung bei Ablehnung dann auf einen anderen Zulässigkeitstatbestand zu gründen. Insofern fehlt es an der Informiertheit und Freiwilligkeit der Einwilligung. Bezüglich der automatisch gesetzten Werbe-Cookies hat der europäische Gesetzgeber bereits eine abstrakte Interessenabwägung in Art. 5 III ePrivacy-RL vorgenommen, die keinen Raum für Art. 6 I 1 lit. f DSGVO lässt.

Die Zuständigkeit der CNIL, Google Ireland Limited ein Bußgeld zu erteilen, folgt aus Art. 3 des französischen Datenschutzgesetzes. Die Verarbeitungen wurden von Google France ausgeführt, eine in Frankreich ansässige Niederlassung der Unternehmen Google LLC und Google Ireland Limited, die als Verantwortliche der Datenverarbeitungen angesehen werden.

2. Bußgeld gegen Amazon in Höhe von ca. 35 Mio. Euro wegen angeblicher Datenschutzverstöße

In einem Atemzug mit dem Bußgeld gegen Google verhängte die CNIL auch ein Bußgeld gegen den Internetversandhändler Amazon Europe Core in Höhe von 35 Mio. Euro. Die Ermittlungen der CNIL begannen vom 12. Dezember 2019 und endeten am 19. Mai 2020.

Auch hier war der Grund, dass Amazon auf der Website amazon.fr Werbecookies auf den Endgeräten der Nutzer platziert hat, ohne diese vorher darüber aufzuklären und ihnen die Möglichkeit zur Einwilligung zu geben. Es liegt damit ebenfalls ein Verstoß gegen Art. 82 des französischen Datenschutzgesetzes vor.

Das Cookie-Banner („By using this website, you accept our use of cookies allowing to offer and improve our services. Read More.“) enthält nach der CNIL zwar angemessene Informationen, doch wird den Nutzern dadurch nicht klar, dass die platzierten Cookies hauptsächlich dem Setzen personalisierter Werbung dienten. Auch wurde der Nutzer nicht darauf hingewiesen, dass und wie er die Cookies ablehnen konnte.

Die Höhe des Bußgelds rechtfertigt die CNIL erneut mit der Schwere des Verstoßes gegen die Datenschutzregelungen. Dieser ergibt sich insbesondere daraus, dass die Cookies ohne genügende Information auch in solchen Fällen gesetzt wurden, in denen die Nutzer über Werbeanzeigen auf amazon.fr gelangt sind. Hinzu kommt die erhebliche Bedeutung von personalisierter Werbung für Amazon, ebenso die hohe Nutzerzahl der Website. Die CNIL begrüßte kürzliche Verbesserungen von Amazon, doch bemängelt sie weiterhin, dass die Cookie-Banner die Nutzer nicht ausreichend über die Zwecke der Cookies informieren.

Amazon lehnt die Entscheidung der CNIL ab und beruft sich darauf, dass der Schutz der persönlichen Daten der Kunden höchste Priorität habe und die Datenschutzstandards durch laufende Aktualisierungen stets eingehalten seien.

3. Bußgeld gegen H&M in Höhe von ca. 35 Mio. Euro im Datenschutzrecht

Im Fall von H&M geht es um Verstöße gegen den Beschäftigtendatenschutz. Aufgrund der Überwachung mehrerer hundert Mitarbeiter in H&M Servicecenters erließ der hamburgische Datenschutzbeauftragte einen Bußgeldbescheid in Höhe von ungefähr 35 Mio. Euro.

grundlagen nach datenschutzgesetze

Seit 2014 wurden private Lebensumstände der Mitarbeiter festgehalten. Nach urlaubs- oder krankheitsbedingter Abwesenheit wurden in persönlichen Gesprächen mit Vorgesetzten von diesen konkrete Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen erfasst. Daneben wurde ein breiter Datenbestand mit privaten Informationen der Mitarbeiter beispielsweise über familiäre Probleme und religiöse Bekenntnisse aufgebaut. Diese Daten und die Auswertung der individuellen Arbeitsleistung ermöglichten es den Vorgesetzten, detaillierte Profile der Mitarbeiter zu erstellen. Bekannt wurden die Verstöße durch einen Datenleak im Oktober 2019, woraufhin der hamburgische Datenschutzbeauftragte Ermittlungen aufnahm und infolgedessen ein Konzept mit verschiedener Abhilfemaßnahmen erarbeitete. H&M erklärte sich bereit, einen Schadensersatz an seine Beschäftigten auszuzahlen.

Der Verstoß von H&M ergibt sich daraus, dass sich die Datenerhebungen auf keine Rechtsgrundlage zurückführen lässt. § 26 BDSG in Ausfüllung des Regelungsspielraums von Art. 88 DSGVO regelt den Beschäftigtendatenschutz. Da Informationen aus der Privatsphäre für das Arbeitsverhältnis keine Bedeutung haben, ist ihre Verarbeitung durch den Arbeitgeber unzulässig. Auch bei Gesundheitsdaten ist eine Offenbarung gegenüber dem Arbeitgeber nur dann zwingend erforderlich, wenn sie im Zusammenhang mit dem Arbeitsverhältnis stehen.

4. Unser Fazit zu den Weißnachtsbußgeldern 2020 im Datenschutzrecht

Während sich H&M einsichtig zeigt, setzen sich Google und Amazon gegen die Bußgeldbescheide zur Wehr. Ob sie damit durchkommen, bleibt fraglich, da Verstöße gegen die vom EuGH im Planet49-Urteil entwickelten Grundsätze über die Einwilligung bei Werbecookies kaum von der Hand zu weisen sind ggf. ergibt sich hier neue spannende Rechtsprechung.

themen wie bußgeldkatalog nach Verstoß datenschutz grundverordnung

Weitere für Sie wahrscheinlich interessante Artikel

Urheber- und Medienrecht: Abmahnung der Kanzlei Waldorf Frommer (Frommer Legal) wegen einer Urheberrechtsverletzung am Film „Hustlers“

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 02. September 2021 um 13:09
Inhalt der Abmahnung der Kanzlei Waldorf Frommer (Frommer Legal) bei Filesharing In der vorliegenden Abmahnung aus dem Jahr 2020 der Kanzlei Waldorf Frommer (z.Zt. Frommer Legal), welche angibt im Auftrag der Tele München Fernseh GmbH + Co Produktionsgesellschaft tätig zu sein, wird dem

Dringlichkeitsvermutungen und Dringlichkeitsfristen bei einstweiliger Verfügung im gewerblichen Rechtsschutz

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 25. März 2022 um 18:03
Was bedeutet „Dringlichkeit“ im Zusammenhang mit der einstweiligen Verfügung? Die einstweilige Verfügung gemäß §§ 935, 940 ZPO gewährt dem Gläubiger einstweiligen Rechtsschutz, wenn eine Entscheidung im ordentlichen Klageverfahren nicht rechtzeitig erginge, um ihn befriedigen zu können

Veräußerung von KFZ-Stellplätzen bei Eigentümergemeinschaft möglich?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 05. Oktober 2024 um 08:10
Die Veräußerung von Stellplätzen in Tiefgaragen innerhalb einer Eigentümergemeinschaft wirft zahlreiche rechtliche Fragen auf, insbesondere in Bezug auf die Abgrenzung zwischen Sondernutzungsrechten und dem Sondereigentum, sowie die Notwendigkeit der Zustimmung anderer Miteigentümer bei einer
Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
RA Christoph Scholze
Logo Rechtsanwaltskammer Frankfurt am Main - Fortbildung Geprüft
Logo Qualität durch Fortbildung - Fortbildungszertifikat der Bundesanwaltskammer

TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Jena, Wiesbaden und Frankfurt am Main

Kanzleibriefe

Veräußerung von KFZ-Stellplätzen bei Eigentümergemeinschaft möglich?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 05. Oktober 2024 um 08:10
Die Veräußerung von Stellplätzen in Tiefgaragen innerhalb einer Eigentümergemeinschaft wirft zahlreiche rechtliche Fragen auf, insbesondere in Bezug auf die Abgrenzung zwischen Sondernutzungsrechten und dem Sondereigentum, sowie die Notwendigkeit der Zustimmung anderer Miteigentümer bei einer

Abmahnung bei Datenschutzverstoß nach DSGVO zulässig?

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 03. Oktober 2024 um 18:10
Sind Abmahnungen bei Datenschutzverstößen insbesondere nach der DSGVO möglich? Die Frage, wer, wann, wieso abmahnen darf ist nach wie vor umstritten. Seit der Einführung der DSGVO ist das Thema der Abmahnbarkeit immer wieder im Fokus. Eine höchstrichterliche Entscheidung des Europäischen

Gegenstandswert bei Urheberrechtsverletzung von Produktfotos auf eBay

Logo AID24 Rechtsanwaltskanzlei
veröffentlicht am 28. Januar 2024 um 21:01
Ermittlung des Gegenstandswertes bei Urheberrechtsverletzung auf ebay Der Streitwert, auch als „Gegenstandswert“ bezeichnet, wird durch den Angriffsfaktor bestimmt. Das bedeutet, dass sich der Streitwert danach richtet, wie hoch die Qualität der Verletzungshandlung ist, ob sie vorsätzlich oder
KOSTENFREIE ERSTEINSCHÄTZUNG 
24h* +49 611 89060871
(*soweit technisch verfügbar)