Die Beschwerde von Google gegen das Bußgeld idH von 50 Millionen Euro der französischen Datenschutzbehörde CNIL wurde vom Conseil d'Etat abgewiesen. Neben der inhaltlichen Bestätigung der Strafe hat das oberste französische Verwaltungsgericht aber auch die spannende Frage der Zuständigkeit der CNIL entschieden: Obwohl Google eine europäische Hauptniederlassung in Irland hat, ist die französische Aufsichtsbehörde zuständig. Wie es dazu kommt und welche Auswirkungen das auf die Praxis hat, haben sich die DORDA Datenschutzexperten für Sie gerne näher angesehen:
Ausgangslage
Unmittelbar nach Inkrafttreten der DSGVO wurden Ende Mai 2018 bei der CNIL zahlreiche Beschwerden von NGOs, ua auch der österreichischen "None Of Your Business", eingereicht. Inhaltlich ging es dabei um die Ausgestaltung des Registrierungsvorgangs eines Google-Accounts auf einem Mobiltelefon mit Android-Betriebssystem. Die CNIL stellte im Wesentlichen folgende Verstöße fest: So seien die Informationen gem Art 13 und 14 DSGVO, insbesondere rund um personalisierte Werbung, lückenhaft und damit intransparent beschrieben. Zusätzlich seien die erforderlichen Informationen nur schwer auffindbar, da sie auf unterschiedlichen, durch Verlinkungen verknüpfte Dokumente verteilt waren. Die CNIL kam daher auch zum Ergebnis, dass die von Google eingeholte Einwilligung aufgrund der mangelhaften Information unzulässig sei. Schlussendlich seien die Verarbeitungsvorgänge aufgrund der Anzahl der angebotenen Dienste sowie der Menge und der Art der verarbeiteten und zusammengeführten Daten mit besonders massiven Eingriffen verbunden. Dementsprechend wurde gegen Google eine Rekordstrafe von EUR 50 Millionen verhängt.
Der Suchmaschinenbetreiber hat dagegen Beschwerde erhoben und brachte auf formaler Ebene vor, die CNIL sei unzuständig, da (i) sich das europäische Google-Headquarter in Irland befindet und (ii) somit das "One-Stop-Shop-Prinzip" nach Art 56 DSGVO greifen würde. Damit sei die irische Datenschutzbehörde zuständig. Die Instanz wies die Berufung nun ab und bestätigte dabei sowohl die Strafe als auch die Zuständigkeit der französischen Datenschutzbehörde:
Entscheidungsgründe des obersten französischen Verwaltungsgericht
Für die Durchsetzung der DSGVO ist jeweils die Datenschutzbehörde des Mitgliedstaates (haupt-)zuständig, in dem das Unternehmen, gegen das Beschwerde erhoben wurde, seine Hauptniederlassung hat. Dieses One-Stop-Shop Prinzip greift jedoch bewusst nur innerhalb der EU: Befindet sich die Hauptniederlassung in einem Drittland, kann jede Datenschutzbehörde eigenständig über die Rechtmäßigkeit von Datenverarbeitungen entscheiden. Dass Google mit Google Ireland Limited formal eine Hauptniederlassung innerhalb der EU begründet hat, war im konkreten Fall nicht ausschlaggebend. Vielmehr wird darauf abgestellt, welche Gesellschaft tatsächlich die Entscheidung über die Ausgestaltung der relevanten Datenverarbeitung trifft. Hinsichtlich der gegenständlichen Privatsphäreneinstelllungen und Einwilligungserklärungen zur personalisierten Werbung ist dies jedoch nicht in irische Gesellschaft, sondern die Mutter Google LLC in den USA. Dementsprechend greift das One-Stop-Shop Prinzip nicht und sei Google in Frankreich strafbar.
Lessons learned für die Praxis
Mit der Entscheidung wurde klargestellt, dass es hinsichtlich der Zuständigkeit der nationalen Datenschutzbehörden zwar weiterhin auf die Hauptniederlassung eines Verantwortlichen, im Detail aber auf die Entscheidungsgewalt und faktischen Einfluss ankommt. Ist eine europäische Gesellschaft verantwortlich, ist die Behörde an ihrem Sitzstaat für etwaige Rechtsverletzungen exklusiv zuständig. Trifft dagegen die Konzernmutter im EU-Drittland de facto die maßgeblichen Entscheidungen über Datenverarbeitungen, greift das One-Stop-Shop Prinzip nicht. Stattdessen können dann potentiell alle EU Datenschutzbehörden eigenständig und ohne zwingenden Abstimmungsbedarf über die DSGVO-Konformität entscheiden. Das ist gerade bei der Ausgestaltung konzernweiter Datenverarbeitungsmodelle entsprechend mitzuberücksichtigen, um im Anlassfall die Zuständigkeit einer europäischen Hauptniederlassung entsprechend faktisch nachweisen und damit die DSGVO Kompetenz bündeln zu können.
Darüber hinaus zeigt die Entscheidung materiell, wie wichtig eine möglichst klare und transparente Ausgestaltung der DSGVO-Dokumentation ist. In der Praxis ist dieser Punkt gerade bei der Implementierung zahlreicher Tools und Prozesse oder dem Angebot unterschiedlicher Leistungen sehr schwer umzusetzen. So muss die Datenschutzerklärung oder Einwilligung ja auch den konkreten Dienst abdecken. Da ausladende Dokumente aber auch unter dem Blickwinkel des konsumentenschutzrechtlichen Transparenzgebots häufig angegriffen werden, ist auf dieses Thema größtes Augenmerk zu legen.