Datenschutz: (Weihnachts-) Bußgelder gegen Google, Amazon und H&M

Rechtshinweis zum Artikel

Die Zahlung hoher Geldsummen während der Weihnachtszeit steht normalweise mit dem Besorgen von Geschenken für Freunde und Familie in Zusammenhang. Bei drei großen Unternehmen sind es jedoch angebliche Datenschutzverstöße, die zu empfindlichen Zahlungen geführt haben. Französische und deutsche Datenschutzbehörden verhängten Bußgelder in Höhe von insgesamt ca. 170 Mio. Euro gegen Google, Amazon und H&M. Wie ist es dazu gekommen?

 

1. Bußgeld gegen Google in Höhe von ca. 100 Mio. Euro wegen angeblicher Datenschutzverstöße

a) Was bei Google im Datenschutz geschehen ist

Am 7. Dezember 2020 verhängte die französische Datenschutzbehörde CNIL gegen Google LLC ein Bußgeld in Höhe von 60. Mio. Euro und Google Ireland Limited in Höhe von 40 Mio. Euro. Am 16. März 2020 leitete die CNIL ein Ermittlungsverfahren betreffend die Website google.fr ein und stellte in dessen Verlauf drei Verstöße gegen Art. 82 des französischen Datenschutzgesetzes fest, der die Rechte und Pflichten im Zusammenhang mit der Verarbeitung im Bereich der elektronischen Kommunikation regelt

Zunächst bemängelt die CNIL, dass Google bei Aufruf der Website automatisch verschiedene Cookies für Werbezwecke auf das Endgerät des Nutzers platzierte, ohne vorher die Einwilligung des Nutzers eingeholt zu haben.

Darüber hinaus erschien bei Aufruf der Website ein Cookie-Banner, welches dem Nutzer die Wahl ermöglichte, direkt auf die Website zuzugreifen („remind me later“) oder die Datenschutzeinstellungen („Access now“) aufzurufen. Allerdings enthielten weder dieses Banner noch die Datenschutzeinstellungen Informationen über die Cookies, die bereits bei Aufrufen der Website gesetzt wurden. Insoweit waren die Nutzer mangels ausreichender Informationen nicht in der Lage, wirksam in das Setzen der Cookies einzuwilligen oder diese abzulehnen.

Selbst wenn der Nutzer sich durch die Datenschutzeinstellungen gekämpft und die personalisierte Werbung deaktiviert hatte, wurde gleichwohl ein Werbe-Cookie auf dem Endgerät gesetzt.

Die automatische Setzung ungefragter Werbecookies unterließ Google ab September 2020, doch reichten die zur Verfügung gestellten Informationen dem CNIL immer noch nicht aus, um den Nutzern eine informierte Einwilligung zu ermöglichen. Weder war es den Nutzern möglich zu verstehen, wofür die gesetzten Cookies genutzt werden, noch wurden sie über die Möglichkeit informiert, die Cookies ablehnen zu können.

Diese drei Verfehlungen wurden von der CNIL als schwerwiegender Verstoß gegen die Datenschutzregeln eingeordnet, da sie fünfzig Millionen Nutzer in Frankreich betrafen und Google durch die Werbung signifikante Profite ermöglichten. Aufgrund dessen verhängte sie ein hohes Bußgeld. Es handelt sich hierbei um das höchste je von der CNIL verhängte Bußgeld. Google hat nun drei Monate Zeit, die Verstöße zu beheben und seine Nutzer ausreichend zu informieren. Andernfalls wird das Bußgeld für jeden Tag nach dieser Frist um weitere 100.000 Euro erhöht.

Das Unternehmen wehrt sich gegen die Entscheidung, indem es sich auf die hohen Datenschutzstandards in Bezug auf Transparenz und klare Information der Nutzer und der Datensicherheit berief. Auch warf es den französischen Datenschutzregelungen vor, unsicher und ständigen Veränderungen unterworfen zu sein.

 

b) Die rechtlichen Hintergründe zu den Datenschutzsachen bei google 

Sowohl Art. 82 des französischen Datenschutzgesetzes (in Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG, auch ePrivacy-RL) als auch Art. 6 I 1 lit. a, Art. 7 DSGVO stellen strenge Anforderungen an eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten auf.

So muss die Einwilligung nach Erwägungsgrund 32 der DSGVO freiwillig und informiert durch eine eindeutig bestätigende Handlung erfolgen. Erforderlich ist eine Verhaltensweise, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Dieses Erfordernis präzisierte der EuGH in seinem Planet49-Urteil für Cookies (EuGH, Urteil vom 1.10.2019 – C-673/17), indem er es für unzulässig erklärte, die Ablehnung von Cookies von einer aktiven Handlung des Nutzers abhängig zu machen.

Diesen Anforderungen genügte Google bei der Website google.fr nicht. Weder das Cookie-Banner noch die Datenschutzeinstellungen stellten ausreichende Informationen zur Verfügung, die dem Nutzer eine informierte Entscheidung ermöglichten. Zudem war in die Setzung der automatischen Werbe-Cookies gar keine Einwilligung möglich.

Gangbar bliebe zwar der Weg über die Interessenabwägung nach Art. 6 I 1 lit. f DSGVO. Dieser scheitert bei den Werbe-Cookies, die abgelehnt werden können, daran, dass es widersprüchlich wäre, den Nutzern eine Entscheidungsfreiheit vorzugaukeln, um die Datenverarbeitung bei Ablehnung dann auf einen anderen Zulässigkeitstatbestand zu gründen. Insofern fehlt es an der Informiertheit und Freiwilligkeit der Einwilligung. Bezüglich der automatisch gesetzten Werbe-Cookies hat der europäische Gesetzgeber bereits eine abstrakte Interessenabwägung in Art. 5 III ePrivacy-RL vorgenommen, die keinen Raum für Art. 6 I 1 lit. f DSGVO lässt.

Die Zuständigkeit der CNIL, Google Ireland Limited ein Bußgeld zu erteilen, folgt aus Art. 3 des französischen Datenschutzgesetzes. Die Verarbeitungen wurden von Google France ausgeführt, eine in Frankreich ansässige Niederlassung der Unternehmen Google LLC und Google Ireland Limited, die als Verantwortliche der Datenverarbeitungen angesehen werden.

 

2. Bußgeld gegen Amazon in Höhe von ca. 35 Mio. Euro wegen angeblicher Datenschutzverstöße

In einem Atemzug mit dem Bußgeld gegen Google verhängte die CNIL auch ein Bußgeld gegen den Internetversandhändler Amazon Europe Core in Höhe von 35 Mio. Euro. Die Ermittlungen der CNIL begannen vom 12. Dezember 2019 und endeten am 19. Mai 2020.

Auch hier war der Grund, dass Amazon auf der Website amazon.fr Werbecookies auf den Endgeräten der Nutzer platziert hat, ohne diese vorher darüber aufzuklären und ihnen die Möglichkeit zur Einwilligung zu geben. Es liegt damit ebenfalls ein Verstoß gegen Art. 82 des französischen Datenschutzgesetzes vor.

Das Cookie-Banner („By using this website, you accept our use of cookies allowing to offer and improve our services. Read More.“) enthält nach der CNIL zwar angemessene Informationen, doch wird den Nutzern dadurch nicht klar, dass die platzierten Cookies hauptsächlich dem Setzen personalisierter Werbung dienten. Auch wurde der Nutzer nicht darauf hingewiesen, dass und wie er die Cookies ablehnen konnte.

Die Höhe des Bußgelds rechtfertigt die CNIL erneut mit der Schwere des Verstoßes gegen die Datenschutzregelungen. Dieser ergibt sich insbesondere daraus, dass die Cookies ohne genügende Information auch in solchen Fällen gesetzt wurden, in denen die Nutzer über Werbeanzeigen auf amazon.fr gelangt sind. Hinzu kommt die erhebliche Bedeutung von personalisierter Werbung für Amazon, ebenso die hohe Nutzerzahl der Website. Die CNIL begrüßte kürzliche Verbesserungen von Amazon, doch bemängelt sie weiterhin, dass die Cookie-Banner die Nutzer nicht ausreichend über die Zwecke der Cookies informieren.

Amazon lehnt die Entscheidung der CNIL ab und beruft sich darauf, dass der Schutz der persönlichen Daten der Kunden höchste Priorität habe und die Datenschutzstandards durch laufende Aktualisierungen stets eingehalten seien.

 

3. Bußgeld gegen H&M in Höhe von ca. 35 Mio. Euro im Datenschutzrecht

Im Fall von H&M geht es um Verstöße gegen den Beschäftigtendatenschutz. Aufgrund der Überwachung mehrerer hundert Mitarbeiter in H&M Servicecenters erließ der hamburgische Datenschutzbeauftragte einen Bußgeldbescheid in Höhe von ungefähr 35 Mio. Euro.

Seit 2014 wurden private Lebensumstände der Mitarbeiter festgehalten. Nach urlaubs- oder krankheitsbedingter Abwesenheit wurden in persönlichen Gesprächen mit Vorgesetzten von diesen konkrete Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen erfasst. Daneben wurde ein breiter Datenbestand mit privaten Informationen der Mitarbeiter beispielsweise über familiäre Probleme und religiöse Bekenntnisse aufgebaut. Diese Daten und die Auswertung der individuellen Arbeitsleistung ermöglichten es den Vorgesetzten, detaillierte Profile der Mitarbeiter zu erstellen. Bekannt wurden die Verstöße durch einen Datenleak im Oktober 2019, woraufhin der hamburgische Datenschutzbeauftragte Ermittlungen aufnahm und infolgedessen ein Konzept mit verschiedener Abhilfemaßnahmen erarbeitete. H&M erklärte sich bereit, einen Schadensersatz an seine Beschäftigten auszuzahlen.

Der Verstoß von H&M ergibt sich daraus, dass sich die Datenerhebungen auf keine Rechtsgrundlage zurückführen lässt. § 26 BDSG in Ausfüllung des Regelungsspielraums von Art. 88 DSGVO regelt den Beschäftigtendatenschutz. Da Informationen aus der Privatsphäre für das Arbeitsverhältnis keine Bedeutung haben, ist ihre Verarbeitung durch den Arbeitgeber unzulässig. Auch bei Gesundheitsdaten ist eine Offenbarung gegenüber dem Arbeitgeber nur dann zwingend erforderlich, wenn sie im Zusammenhang mit dem Arbeitsverhältnis stehen.

 

4. Unser Fazit zu den Weißnachtsbußgeldern 2020 im Datenschutzrecht

Während sich H&M einsichtig zeigt, setzen sich Google und Amazon gegen die Bußgeldbescheide zur Wehr. Ob sie damit durchkommen, bleibt fraglich, da Verstöße gegen die vom EuGH im Planet49-Urteil entwickelten Grundsätze über die Einwilligung bei Werbecookies kaum von der Hand zu weisen sind ggf. ergibt sich hier neue spannende Rechtsprechung.

 

Klicken Sie auf das Formularfeld und kopieren Sie sich den HTML-Code heraus.

Weitere für Sie wahrscheinlich interessante Artikel
Wie weit reicht der Anspruch auf zukünftiges Unterlassen nach einer Urheberrechtsverletzung?

Wenn jemand Urheberrechte verletzt hat, geht es nicht nur um Schadensersatz. ... Weiterlesen

Zeitliche Bindungswirkung einer strafbewehrten Unterlassungserklärung 30 Jahre oder lebenslang?

Obwohl es in dem Urteil des Bundesgerichtshofs vom 06.07.2012 (Az. ... Weiterlesen

Vorbeugende Unterlassungserklärungen wirksamer Schutz?

Kann die Abgabe einer vorbeugenden Unterlassungserklärung ein wirksamer Schutz vor Folgeabmahnungen sein? ... Weiterlesen

Videoblog

3 Tipps vor Abgabe einer Unterlassungserklärung / mod. UE!

Bewertungen auf google.com
RA Scholze

Rechtsanwalt Christoph Scholze
Fachanwalt für IT-Recht (Informationstechnologierecht)
TÜV geprüfter Datenschutzbeauftragter (DSB)
IHK geprüfter Informationssicherheitsbeauftrager (ISB)
Lehrbeauftragter Dozent bei der Thüringer Verwaltungsschule (TVS)
Tel.: +49 611 89060871

AID24 Rechtsanwaltskanzlei
in Erfurt, Wiesbaden und Frankfurt am Main

Kostenloser Rückruf erwünscht?
Upload der Abmahnung oder weiterer Unterlagen

Wir empfehlen Ihnen Ihre Dateien ausreichend zu verschlüsseln und uns separat zum von Ihnen genutzten Schlüssel zu informieren.

Die Dateien müssen kleiner als 8 MB sein.
Zulässige Dateierweiterungen: jpg jpeg pdf doc docx rar zip.

Hinweis: Mittels dieses Kontaktformular werden alle Daten mit SSL-Verschlüsselung an uns übertragen. Auch möchten wir hiermit Ihnen sagen, dass die unverschlüsselte eMail-Kommunikation sowohl bezüglich Zugang als auch Inhalt unsicher ist und wird von Ihnen bei Wahl dieses Kommunikationsweges hingenommen. Insoweit wird von Kanzleiseite keine Haftung für die übermittelten Mitteilungen per eMail übernommen. Erfolgt Ihre erstmalige Übermittlung von Daten unverschlüsselt per eMail oder geben Sie auf andrem Kontaktaufnahmeweg keinen ausdrücklichen Verschlüsselungswunsch unter Mitteilung Ihrer eMailadresse an, gehen wir davon aus, dass Sie mit der unverschlüsselten Kommunikation sich einverstanden erklären, sofern Sie nicht eine andere Übertragungsart vorschlagen und sich nicht gegen die unverschlüsselte eMail-Korrespondenz uns gegenüber ausdrücklich erklären. Wir schlagen zur verschlüsselten Übertragung von Nachrichten per eMail Ihnen vor, die PGP-Verschlüsselung. Bei Fragen oder von Ihnen gewünschten Alternativen, setzen Sie sich bitte vorab mit uns hierzu in Verbindung. Zur Fristwahrung bitten wir Sie höflich sich mit der Kanzlei in Verbindung per Telefon zu setzen, ein Mandatsverhältnis entsteht nur durch Annahmeerklärung seitens der Kanzlei zumindest in Textform, ohne zu hetzen.

* Diese Angaben werden benötigt.

Kanzleibriefe
Datenschutz: (Weihnachts-) Bußgelder gegen Google, Amazon und H&M

Die Zahlung hoher Geldsummen während der Weihnachtszeit steht normalweise mit dem Besorgen von Geschenken für Freunde und Familie in Zusammenhang. Bei drei großen Unternehmen sind es jedoch angebliche Datenschutzverstöße, die zu empfindlichen Zahlungen geführt haben. Französische und deutsche Datenschutzbehörden verhängten Bußgelder in Höhe von insgesamt ca. 170 Mio. Euro gegen Google,... Weiterlesen

Urheberrecht: Lizenzschaden, welche Verjährungsfrist gilt?

BGH zum Lizenzschaden und zur Verjährungsfrist, Urteil v. 12.05.2016 - I ZR 48/15 : Everytime we touch ... Weiterlesen

Datenschutzrecht: Ausnahmen und Umfang des Auskunftsanspruches nach Art. 15 DSGVO

Nach Art. 15 DS-GVO kann die betroffene Person vom Verantwortlichen oder vom Auftragsverarbeiter verlangen ob vom Betroffenen personenbezogene Daten verarbeitet wurden. Problematische Frage ist in welchem Umfang vom Verantwortlichen bzw. Auftraagsverarbeiter an den Betroffenen zu übermitteln sind. 1. LG Heidelberg , 06.02.2020 - Az.: 4 06/19: Ausnahme, kein Auskunftsanspruch bei hohem... Weiterlesen