Datenschutz: (Weihnachts-) Bußgelder gegen Google, Amazon und H&M

Die Zahlung hoher Geldsummen während der Weihnachtszeit steht normalweise mit dem Besorgen von Geschenken für Freunde und Familie in Zusammenhang. Bei drei großen Unternehmen sind es jedoch angebliche Datenschutzverstöße, die zu empfindlichen Zahlungen geführt haben. Französische und deutsche Datenschutzbehörden verhängten Bußgelder in Höhe von insgesamt ca. 170 Mio. Euro gegen Google, Amazon und H&M. Wie ist es dazu gekommen?

1. Bußgeld gegen Google in Höhe von ca. 100 Mio. Euro wegen angeblicher Datenschutzverstöße

a) Was bei Google im Datenschutz geschehen ist

Am 7. Dezember 2020 verhängte die französische Datenschutzbehörde CNIL gegen Google LLC ein Bußgeld in Höhe von 60. Mio. Euro und Google Ireland Limited in Höhe von 40 Mio. Euro. Am 16. März 2020 leitete die CNIL ein Ermittlungsverfahren betreffend die Website google.fr ein und stellte in dessen Verlauf drei Verstöße gegen Art. 82 des französischen Datenschutzgesetzes fest, der die Rechte und Pflichten im Zusammenhang mit der Verarbeitung im Bereich der elektronischen Kommunikation regelt

Zunächst bemängelt die CNIL, dass Google bei Aufruf der Website automatisch verschiedene Cookies für Werbezwecke auf das Endgerät des Nutzers platzierte, ohne vorher die Einwilligung des Nutzers eingeholt zu haben.

Darüber hinaus erschien bei Aufruf der Website ein Cookie-Banner, welches dem Nutzer die Wahl ermöglichte, direkt auf die Website zuzugreifen („remind me later“) oder die Datenschutzeinstellungen („Access now“) aufzurufen. Allerdings enthielten weder dieses Banner noch die Datenschutzeinstellungen Informationen über die Cookies, die bereits bei Aufrufen der Website gesetzt wurden. Insoweit waren die Nutzer mangels ausreichender Informationen nicht in der Lage, wirksam in das Setzen der Cookies einzuwilligen oder diese abzulehnen.

Selbst wenn der Nutzer sich durch die Datenschutzeinstellungen gekämpft und die personalisierte Werbung deaktiviert hatte, wurde gleichwohl ein Werbe-Cookie auf dem Endgerät gesetzt.

Die automatische Setzung ungefragter Werbecookies unterließ Google ab September 2020, doch reichten die zur Verfügung gestellten Informationen dem CNIL immer noch nicht aus, um den Nutzern eine informierte Einwilligung zu ermöglichen. Weder war es den Nutzern möglich zu verstehen, wofür die gesetzten Cookies genutzt werden, noch wurden sie über die Möglichkeit informiert, die Cookies ablehnen zu können.

Diese drei Verfehlungen wurden von der CNIL als schwerwiegender Verstoß gegen die Datenschutzregeln eingeordnet, da sie fünfzig Millionen Nutzer in Frankreich betrafen und Google durch die Werbung signifikante Profite ermöglichten. Aufgrund dessen verhängte sie ein hohes Bußgeld. Es handelt sich hierbei um das höchste je von der CNIL verhängte Bußgeld. Google hat nun drei Monate Zeit, die Verstöße zu beheben und seine Nutzer ausreichend zu informieren. Andernfalls wird das Bußgeld für jeden Tag nach dieser Frist um weitere 100.000 Euro erhöht.

Das Unternehmen wehrt sich gegen die Entscheidung, indem es sich auf die hohen Datenschutzstandards in Bezug auf Transparenz und klare Information der Nutzer und der Datensicherheit berief. Auch warf es den französischen Datenschutzregelungen vor, unsicher und ständigen Veränderungen unterworfen zu sein.

b) Die rechtlichen Hintergründe zu den Datenschutzsachen bei google 

Sowohl Art. 82 des französischen Datenschutzgesetzes (in Umsetzung der Datenschutzrichtlinie für elektronische Kommunikation RL 2002/58/EG, auch ePrivacy-RL) als auch Art. 6 I 1 lit. a, Art. 7 DSGVO stellen strenge Anforderungen an eine wirksame Einwilligung in die Verarbeitung personenbezogener Daten auf.

So muss die Einwilligung nach Erwägungsgrund 32 der DSGVO freiwillig und informiert durch eine eindeutig bestätigende Handlung erfolgen. Erforderlich ist eine Verhaltensweise, „mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert“. Dieses Erfordernis präzisierte der EuGH in seinem Planet49-Urteil für Cookies (EuGH, Urteil vom 1.10.2019 – C-673/17), indem er es für unzulässig erklärte, die Ablehnung von Cookies von einer aktiven Handlung des Nutzers abhängig zu machen.

Diesen Anforderungen genügte Google bei der Website google.fr nicht. Weder das Cookie-Banner noch die Datenschutzeinstellungen stellten ausreichende Informationen zur Verfügung, die dem Nutzer eine informierte Entscheidung ermöglichten. Zudem war in die Setzung der automatischen Werbe-Cookies gar keine Einwilligung möglich.

Gangbar bliebe zwar der Weg über die Interessenabwägung nach Art. 6 I 1 lit. f DSGVO. Dieser scheitert bei den Werbe-Cookies, die abgelehnt werden können, daran, dass es widersprüchlich wäre, den Nutzern eine Entscheidungsfreiheit vorzugaukeln, um die Datenverarbeitung bei Ablehnung dann auf einen anderen Zulässigkeitstatbestand zu gründen. Insofern fehlt es an der Informiertheit und Freiwilligkeit der Einwilligung. Bezüglich der automatisch gesetzten Werbe-Cookies hat der europäische Gesetzgeber bereits eine abstrakte Interessenabwägung in Art. 5 III ePrivacy-RL vorgenommen, die keinen Raum für Art. 6 I 1 lit. f DSGVO lässt.

Die Zuständigkeit der CNIL, Google Ireland Limited ein Bußgeld zu erteilen, folgt aus Art. 3 des französischen Datenschutzgesetzes. Die Verarbeitungen wurden von Google France ausgeführt, eine in Frankreich ansässige Niederlassung der Unternehmen Google LLC und Google Ireland Limited, die als Verantwortliche der Datenverarbeitungen angesehen werden.

2. Bußgeld gegen Amazon in Höhe von ca. 35 Mio. Euro wegen angeblicher Datenschutzverstöße

In einem Atemzug mit dem Bußgeld gegen Google verhängte die CNIL auch ein Bußgeld gegen den Internetversandhändler Amazon Europe Core in Höhe von 35 Mio. Euro. Die Ermittlungen der CNIL begannen vom 12. Dezember 2019 und endeten am 19. Mai 2020.

Auch hier war der Grund, dass Amazon auf der Website amazon.fr Werbecookies auf den Endgeräten der Nutzer platziert hat, ohne diese vorher darüber aufzuklären und ihnen die Möglichkeit zur Einwilligung zu geben. Es liegt damit ebenfalls ein Verstoß gegen Art. 82 des französischen Datenschutzgesetzes vor.

Das Cookie-Banner („By using this website, you accept our use of cookies allowing to offer and improve our services. Read More.“) enthält nach der CNIL zwar angemessene Informationen, doch wird den Nutzern dadurch nicht klar, dass die platzierten Cookies hauptsächlich dem Setzen personalisierter Werbung dienten. Auch wurde der Nutzer nicht darauf hingewiesen, dass und wie er die Cookies ablehnen konnte.

Die Höhe des Bußgelds rechtfertigt die CNIL erneut mit der Schwere des Verstoßes gegen die Datenschutzregelungen. Dieser ergibt sich insbesondere daraus, dass die Cookies ohne genügende Information auch in solchen Fällen gesetzt wurden, in denen die Nutzer über Werbeanzeigen auf amazon.fr gelangt sind. Hinzu kommt die erhebliche Bedeutung von personalisierter Werbung für Amazon, ebenso die hohe Nutzerzahl der Website. Die CNIL begrüßte kürzliche Verbesserungen von Amazon, doch bemängelt sie weiterhin, dass die Cookie-Banner die Nutzer nicht ausreichend über die Zwecke der Cookies informieren.

Amazon lehnt die Entscheidung der CNIL ab und beruft sich darauf, dass der Schutz der persönlichen Daten der Kunden höchste Priorität habe und die Datenschutzstandards durch laufende Aktualisierungen stets eingehalten seien.

3. Bußgeld gegen H&M in Höhe von ca. 35 Mio. Euro im Datenschutzrecht

Im Fall von H&M geht es um Verstöße gegen den Beschäftigtendatenschutz. Aufgrund der Überwachung mehrerer hundert Mitarbeiter in H&M Servicecenters erließ der hamburgische Datenschutzbeauftragte einen Bußgeldbescheid in Höhe von ungefähr 35 Mio. Euro.

Seit 2014 wurden private Lebensumstände der Mitarbeiter festgehalten. Nach urlaubs- oder krankheitsbedingter Abwesenheit wurden in persönlichen Gesprächen mit Vorgesetzten von diesen konkrete Urlaubserlebnisse wie auch Krankheitssymptome und Diagnosen erfasst. Daneben wurde ein breiter Datenbestand mit privaten Informationen der Mitarbeiter beispielsweise über familiäre Probleme und religiöse Bekenntnisse aufgebaut. Diese Daten und die Auswertung der individuellen Arbeitsleistung ermöglichten es den Vorgesetzten, detaillierte Profile der Mitarbeiter zu erstellen. Bekannt wurden die Verstöße durch einen Datenleak im Oktober 2019, woraufhin der hamburgische Datenschutzbeauftragte Ermittlungen aufnahm und infolgedessen ein Konzept mit verschiedener Abhilfemaßnahmen erarbeitete. H&M erklärte sich bereit, einen Schadensersatz an seine Beschäftigten auszuzahlen.

Der Verstoß von H&M ergibt sich daraus, dass sich die Datenerhebungen auf keine Rechtsgrundlage zurückführen lässt. § 26 BDSG in Ausfüllung des Regelungsspielraums von Art. 88 DSGVO regelt den Beschäftigtendatenschutz. Da Informationen aus der Privatsphäre für das Arbeitsverhältnis keine Bedeutung haben, ist ihre Verarbeitung durch den Arbeitgeber unzulässig. Auch bei Gesundheitsdaten ist eine Offenbarung gegenüber dem Arbeitgeber nur dann zwingend erforderlich, wenn sie im Zusammenhang mit dem Arbeitsverhältnis stehen.

4. Unser Fazit zu den Weißnachtsbußgeldern 2020 im Datenschutzrecht

Während sich H&M einsichtig zeigt, setzen sich Google und Amazon gegen die Bußgeldbescheide zur Wehr. Ob sie damit durchkommen, bleibt fraglich, da Verstöße gegen die vom EuGH im Planet49-Urteil entwickelten Grundsätze über die Einwilligung bei Werbecookies kaum von der Hand zu weisen sind ggf. ergibt sich hier neue spannende Rechtsprechung.