Die Datenschutzgrundverordnung begleitet uns nunmehr seit fast einem Jahr. Welche weitreichenden Folgen ein Verstoß haben kann zeigt sich am Beispiel des Internetriesen Google.
Erst hat kürzlich Frankreichs nationale Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) ein Bußgeld in Höhe von 50 Millionen Euro gegen Google verhängt. Begründet wurde die Entscheidung mit Verstößen gegen die DSGVO seitens Google zum einen wegen Missachtung des Transparenzgebotes, zum anderen wegen ungültiger Einwilligungen die Google von seinen Nutzern eingeholt hatte.
Aber was genau ist eigentlich das sogenannte Transparenzgebot und welche Anforderungen werden an eine Einwilligung i.S.d. DSGVO gestellt?
Zunächst zum Transparenzgebot: Dieses besagt, dass die Verarbeitung personenbezogener Daten für den Betroffenen insgesamt nachvollziehbar sein muss. Nachvollziehbarkeit wird hier mit dem Begriff Transparenz gleichgesetzt. Was in diesem Zusammenhang mit Transparenz konkret gemeint ist erläutert DSGVO ausführlich: Danach soll für natürliche Personen Transparenz in der Form geschaffen werden, dass alle Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten leicht zugänglich, verständlich und in klarer, einfacher Sprache verfasst sind. Im Fall von Google lag eine Verletzung des Transparenzgrundsatzes dahingehend vor, dass Google zum einen wesentliche Informationen, wie die Zwecke zur Datenverarbeitung oder die Aufbewahrungsfristen, über mehrere Dokumente verteilte, sodass auf diese nur durch mühsames Durchklicken zugegriffen werden konnte und das die Informationen zum anderen nicht immer klar und verständlich waren.
Wie sieht es mit der Einwilligung aus? Damit diese wirksam ist muss sie insbesondere hinreichend bestimmt und eindeutig sein. Weiterhin muss der Betroffene vor Abgabe der Einwilligung angemessen informiert werden. Eine Unwirksamkeit der Einwilligung sah die französische Datenschutzbehörde auch bei Google bezüglich der Einwilligung der Nutzer für die Verwendung ihrer Daten zu Werbezwecken. So sei für die Nutzer mangels konkreter Informationen nicht ersichtlich, welche Google-Dienste und Webseiten in die Auswertung ihrer persönlichen Daten einbezogen sind. Zudem ermögliche Google seinen Nutzern keinen grundsätzlichen Widerspruch zur Datensammlung.
Wie man anhand dieses Beispiels sieht, müssen die Grundsätze der DSGVO umgesetzt werden, da Verstöße – je nach Schwere wie bei Google – sehr teuer werden können. Diese lassen sich jedoch recht einfach vermeiden – mit sorgfältig und transparent formulierten Datenschutzinformationen.
Hinweis: Wir danken Herrn stud. iur. Felix Nolte für die Erstellung dieses Beitrages.