Die französische Datenschutzbehörde CNIL hatte 2019 gegen ein Technologieunternehmen ein hohes Bußgeld verhängt. Das Unternehmen war dann gerichtlich gegen das Bußgeld vorgegangen. Das zuständige Gericht für die Ãœberprüfung des Bußgelds war der Conseil d’État. In einer Entscheidung vom 19. Juni 2020 haben die Richter nun entschieden, dass das Unternehmen Nutzern keine ausreichend klaren und transparenten Informationen zur Verfügung stellte. Dies versetze die Nutzer nicht in die Lage, eine freie und informierte Zustimmung zur Verarbeitung ihrer personenbezogenen Daten zum Zwecke der Personalisierung von Werbung zu geben. Das Gericht kam zudem zu der Ansicht, dass das verhängte Bußgeld in Höhe von 50 Millionen Euro nicht unverhältnismäßig sei. Der nachfolgende Ãœberblick fasst die Entscheidung des Conseil d’État zusammen und analysiert ihre Folgen für Unternehmen:
Die Spielregeln für ein eskalierendes Bußgeldverfahren haben Prof. Niko Härting und Lasse Konrad im Frage-Antwort-Format im gerade neu erschienenen Leitfaden zusammengestellt:
Härting/Konrad, DSGVO im Praxistest – Ermittlungen, Bußgelder, Verfahren, Köln (Otto Schmidt) Juni 2020
Verstoß gegen Transparenzpflichten
Nach Auffassung des Conseil d’État ist das Unternehmen seinen Informations- und Transparenzverpflichtungen nicht nachgekommen. Die EU-Datenschutz-Grundverordnung (DSGVO) lege eine Reihe von Informationen fest, die die für die Verarbeitung datenschutzrechtlich nach Art. 4 Nr. 7 DSGVO Verantwortlichen den betroffenen Personen in knapper, transparenter, verständlicher und leicht zugänglicher Form in klaren und einfachen Worten zur Verfügung stellen müssen.
Der Conseil d’État bestätigt die Einschätzung der CNIL bezüglich der den Nutzern vom Unternehmen zur Verfügung gestellten Informationen über die Verarbeitung ihrer Daten. Das Gericht ist der Ansicht, dass der Aufbau der Datenschutzinformation nicht den Anforderungen an Klarheit und Zugänglichkeit entspricht, vgl. Art. 12 Abs. 1 S. 1 DSGVO. Diese Transparenzanforderungen gelten nach Auffassung des Conseil d’État gerade dann, wenn die fragliche Verarbeitung im Hinblick auf die Anzahl und Art der gesammelten Daten besonders einschneidend ist. Das Gericht bewertete manche der zur Verfügung gestellten Informationen als unvollständig, insbesondere was die Dauer der Speicherung der Daten und die Zwecke der verschiedenen durchgeführten Datenverarbeitungen betreffe.
Anforderungen an wirksame Einwilligung in Werbemaßnahmen
Nach Auffassung des Conseil d’État hat es das Unternehmen seinen Nutzern nicht ermöglicht, eine freie und informierte Einwilligung zur Verarbeitung ihrer personenbezogenen Daten zum Zwecke der Personalisierung von Werbung zu geben. Die DSGVO sehe vor, dass der Nutzer die Möglichkeit erhalte, eine freie, spezifische, informierte und unzweideutige Einwilligung zur Verarbeitung seiner persönlichen Daten zu geben. Dies wiederum setze eine klare und eindeutige Darstellung aller Verwendungszwecke der gesammelten Daten voraus.
- Standardeinstellungen & Ad Targeting
Der Conseil d’État stellt fest, dass ein Nutzer, der ein Nutzerkonto einrichten wolle, zunächst aufgefordert werde, der Verarbeitung seiner Daten gemäß einer Standardeinstellung zuzustimmen, einschließlich der Personalisierungsfunktionen für Werbung. Die zu diesem Zeitpunkt zur Verfügung gestellten Informationen über sog. Ad Targeting seien dabei allgemein und inmitten von Informationen über andere Zwecke nicht transparent hervorgehoben. Während die Einholung der Einwilligung auf dieser ersten Ebene global für alle von der Datenverarbeitung verfolgten Zwecke erfolgt, bestätigte der Conseil d’État die vorherige Einschätzung der CNIL, dass die Informationen über die gezielte Werbung nicht klar und deutlich genug dargestellt würden, um die eine wirksame Einwilligung des Nutzers zu ermöglichen.
- Opt-In zu gezielter Werbung
Der Conseil d’Etat führte ferner aus, dass der Nutzer durch Klicken auf einen Link „weitere Optionen“ zusätzliche Informationen über die gezielte Werbung erhalten kann. Dann werde der Nutzer um seine ausdrückliche Zustimmung zu diesem Zweck gebeten wird. Das Gericht vertrat die Auffassung, vom Unternehmen auf dieser zweiten Ebene bereitgestellten Informationen wiederum unzureichend seien. Darüber hinaus werde dort die Einwilligung mittels eines voreingestellten Kästchens im Wege einer sog. Opt-In-Einwilligung eingeholt, was nicht den Anforderungen der DSGVO entspreche.
Bußgeld von 50 Millionen Euro nicht unverhältnismäßig
Der Conseil d’État hat auch die konkrete Bußgeldentscheidung der CNIL überprüft. Dabei würdigte das Gericht die in seinen Augen besondere Schwere der begangenen Verstöße, ihre Kontinuität und Dauer, die hohen in der DSGVO geregelten Obergrenzen für Bußgelder und die finanzielle Situation des Unternehmens. Auf der Grundlage dieser Erwägungen gelangt der Conseil d’État zu der Ansicht, dass die von der CNIL verhängte Strafe von 50 Millionen Euro nicht unverhältnismäßig sei.
Zuständigkeit der CNIL
Mit seiner Entscheidung bestätigte der Conseil d’État auch die nationale Zuständigkeit der französischen Datenschutzbehörden CNIL für die Verhängung des Bußgelds gegenüber dem in ganz Europa tätigen Unternehmen.
Contra: Das Unternehmen hatte die Auffassung vertreten, dass allein die irische Datenschutzbehörde für die Kontrolle ihrer Aktivitäten in der Europäischen Union zuständig sei. Gemäß dem in der DSGVO festgelegten Prinzip des „One-stop-shop“ sei die irische Datenschutzbehörde die federführende Aufsichtsbehörde und damit die einzige Anlaufstelle des Unternehmens, das seinen Hauptgeschäftssitz in Irland hat.
Pro: Der Conseil d’État urteilt, dass die irische Schwestergesellschaft des im vorliegenden Verfahren maßgeblichen Unternehmens zum Zeitpunkt der Sanktion gerade keine Kontrollbefugnis über die anderen europäischen Tochtergesellschaften und damit auch keine Entscheidungsbefugnis über die Datenverarbeitung hatte. Eine derartige Kontrollbefugnis habe allein die US-amerikanische Obergesellschaft. Das One-stop-shop-System sei daher auf den vorliegenden Fall nicht anwendbar. Daher sei die CNIL auch dafür zuständig gewesen, die Versäumnisse des Unternehmens in Bezug auf die Verarbeitung von personenbezogenen Daten französischer Nutzer zu sanktionieren.
Folgen für die Praxis
Das Urteil 19. Juni 2020 wird die europäischen Datenschutzaufsichtsbehörden dabei bestärken, künftig hohe Bußgelder zu verhängen. Mit seiner Entscheidung hat der Conseil d’État das von der CNIL verhängte Rekord-Bußgeld in Höhe von 50 Millionen Euro bestätigt.
Europäischer Kontext: Seine Entscheidung steht im Kontext zu dem von den deutschen Behörden entwickelten Bußgeldkonzept (zu den europa- und verfassungsrechtlichen Schwächen des Bußgeldkonzepts ausführlich Timner/Radlanski/Eisenfeld, CR 2019, 782-788) und den entsprechenden Bemühungen für ein europaweit einheitliches System zur Bemessung von Bußgeldern (zum detailreichen Vorschlag der niederländischen Datenschutzaufsicht Dekhuijzen, CRi 2019, 70-77). Weitere Informationen zum Bußgeldkonzept der DSK können Sie hier abrufen.
Die Vollstreckungspraxis der deutschen Datenschutzbehörden zeigt, dass das in Deutschland bereits angewandte System der Datenschutzkonferenz (DSK) zu hohen Bußgeldern führt, die den Bußgeldrahmen des Art. 83 DSGVO durchaus ausschöpfen können.
Wirkung: Die aktuelle Entscheidung des Conseil d’État liefert den Befürwortern eines ähnlichen Modells auf europäischer Ebene gute Argumente. Auch in anderen Mitgliedsstaaten haben die Behörden bereits hohe Bußgelder verhängt und teilweise sogar dreistellige Millionenbußgelder angekündigt.
In der EU tätige Unternehmen müssen sich auf eine veränderte Bußgeldpraxis einstellen:
- Neue Risikobewertung:
Die Entscheidung des Conseil d’État, aber auch die von den Datenschutzbehörden bislang auf der Grundlage von Art. 83 DSGVO verhängten Bußgelder erfordern eine neue Risikobewertung. Vor Geltung der DSGVO waren Bußgelder wegen Datenschutzverstößen selten. Zudem haben sie nur in wenigen Fällen eine nennenswerte Höhe erreicht. Dies hat sich spätestens mit der Entscheidung des Conseil d’État geändert. - Konkretes Risiko:
Bußgelder wegen Datenschutzverstößen sind nun ein konkretes Risiko, zu dessen Vermeidung Unternehmen entsprechende Maßnahmen einleiten sollten. Es ist davon auszugehen, dass das Ende der Fahnenstange in Deutschland mit dem von der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit (BlnBDI) verhängten Bußgeld noch längst nicht erreicht sein dürfte.
Ein Interview mit der Landesdatenschutzbeauftragten Niedersachsen Barbara Thiel zur Bußgeldpraxis und den rechtlichen Positionen der deutschen Bußgeldbehörden können Sie hier abrufen.
Wie vermeidet man Datenschutz-Bußgelder?
Die einfachste Antwort auf diese Frage wäre, dass man die DSGVO rechtskonform umsetzt. Leider ist das gar nicht einfach. Denn viele gesetzliche Vorgaben zum Datenschutz sind vage gehalten und sehr auslegungsbedürftig. Eine ganze Reihe sehr praxisrelevanter Fragen ist von der Rechtsprechung bislang weitgehend ungeklärt geblieben. Auch die einschlägigen Handlungsempfehlungen der Datenschutzbehörden sind oftmals zu allgemein gehalten, um für eine Vielzahl von konkreten Fragestellungen belastbare Handlungsanweisungen zu geben.
Erfahrungsgemäß werden viele Ermittlungsverfahren zu Bußgeldern nach Art. 83 DSGVO aufgrund von Beschwerden von betroffenen Personen oder wegen Hinweisgebern eingeleitet (siehe „I. Erster Akt“ in Härting/Konrad, DSGVO im Praxistest – Ermittlungen, Bußgelder, Verfahren, Köln (Otto Schmidt) Juni 2020). Daher ist es zweckmäßig, mögliche Schwachstellen bei den Datenschutzstrukturen im Unternehmen auch im Hinblick auf ihre Aufdeckung Wahrscheinlichkeit zu prüfen und Strukturen und Prozesse so anzupassen, dass mögliche Verstöße weitgehend vermieden werden.
Zudem empfiehlt es sich, die unternehmensinternen Datenschutzstrukturen so auszurichten, dass sie eine mögliche spätere Verteidigung gegen Bußgelder erleichtern. Insbesondere die Datenschutz-Dokumentation sollte so ausgerichtet sein, dass man sie zur Unterstützung der eigenen Position in Bußgeldverfahren nutzen kann. Zudem können sich Unternehmen auch gezielt auf mögliche Verteidigungsszenarien vorbereiten. Viele Unternehmen bereiten hierfür bereits Ablaufpläne vor, die regeln, wer im Ernstfall welche Aufgaben und Zuständigkeiten übernimmt. Auch entsprechende Pressemeldungen und Ernstfallszenarien lassen sich im Vorfeld vorbereiten. Weitere Einzelheiten zur Vorbereitung auf eine effektive Verteidigung können Sie hier abrufen.