Die Privatsphäre-Bestimmungen von Google kommen auf den Prüfstand. Ein europäisches Vorgehen gegen einen Internetkonzern stellt ein Novum dar, weshalb die Entwicklung dieser Verfahren mit Spannung beobachtet werden darf.
Wie die französische Datenschutzbehörde (CNIL) sowie auch der Hamburgische Beauftrage für Datenschutz und Datensicherheit in Pressemitteilungen verkündeten, werden in sechs europäischen Ländern Untersuchungen und Prüfungen der jeweiligen Datenverarbeitungspraxis auf Grundlage der bestehenden Datenschutzerklärung (für Deutschland) von Google vorgenommen. Je nach Ausgang dieser Verfahren könnten aufsichtbehördliche Maßnahmen, wie etwa Bußgelder, die Folge sein.
Was war geschehen?
Im Februar 2012 wurde die CNIL von der Art. 29 Datenschutzgruppe (dem obersten Gremium europäischer Datenschutzbehörden) darum gebeten, die Bildung und Führung einer sog. „Task-Force“ zu übernehmen, um die damals kurz bevorstehende (und dann realisierte) Neueinführung der Datenschutzbestimmungen von Google auf deren Datenschutzrechtskonformität zu untersuchen. Der Konzern aus Amerika verwendet seitdem eine einheitliche Datenschutzerklärung für seine verschiedenen Dienste.
Die CNIL legte ihren Bericht im Oktober 2012 vor. Vorausgegangen waren unter anderem umfassende Fragekataloge an Google die jedoch nicht zur Zufriedenheit der Datenschützer beantwortet wurden. In dem Bericht der französischen Datenschutzbehörde wies diese auf Mängel der Datenschutzbestimmungen von Google in Bezug auf die Vereinbarkeit mit europäischem Datenschutzrecht (vor allem mit der Datenschutzrichtlinie 95/46/EG “DS-RL”) hin.
Vertreter von Google wurden dazu angehört und es wurde eine Umsetzungsfrist für Verbesserungen bis März 2013 gewährt. Nachdem diese Frist ebenfalls ohne hinreichende Verbesserungen verstrichen war, entschloss sich die Task-Force nun zu handeln.
Um was geht es?
Die europäischen Datenschützer kritisieren an der Einführung einer einheitlichen Datenschutzerklärung durch Google unter anderem:
Information der Betroffenen
Die Nutzer der Dienste von Google werden nach dem Bericht ungenügend sowohl über die Zwecke der Datenverarbeitung als auch die verschiedenen Kategorien der verarbeiteten Daten informiert. Die Informationen zu den Zwecken seien zu vage und ungenau formuliert, womit ein Verstoß gegen Art. 6 Abs. 1 lit b) der DS-RL im Raum steht, der eine Verarbeitung für „fesgelegte eindeutige Zwecke“ vorschreibt. Sollten diese weiten Formulierungen dennoch die tatsächlich festgelegten Zwecke darstellen, so würde dies andererseits ein Verstoß gegen das in Art. 10 und 11 der DS-RL aufgestellte Gebot der Information der Betroffenen, etwa über die Datenkategorien und Empfänger der Daten, bedeuten.
Zusammenführen von Daten
Ebenfalls geht der Bericht der CNIL davon aus, dass die in der Datenschutzerklärung von Google beschriebene Zusammenführung und Nutzung von Daten über verschiedene Dienste hinweg, nicht in jeder Hinsicht europäischem Datenschutzrecht entspricht. So bestehe etwa für die diensteübergeifende Nutzung der gesammalten Daten für Werbezwecke, die Produktentwicklung und Marketing oder Analysezwecke keine hinreichende gesetzliche Grundlage. Es fehle an einer wirksamen Einwilligung der Betroffenen, da diese aufgrund der unzureichenden und vagen Informationen in der Datenschutzerklärung nicht hinreichend genug über den Umfang der Nutzung ihrer Daten aufgeklärt werden. Auch stehe dem Interesse des Unternehmens, diese Daten für eigene Zwecke zu Verarbeiten (Art. 7 lit f) DS-RL), das überwiegende Interesse der Nutzer auf ihre Grundfreiheiten entgegen.
In diesem Zusammenhang verweist der Bericht zudem u. a. auf das Prinzip der Datensparsamkeit (Art. 6 Abs. 1 c) DS-RL), welches von Google nicht eindeutig öffentlich befürwortet wird und für dessen Einhaltung die Antworten des Konzerns der CNIL nicht ausreichend erschienen.
Ein Blick auf die deutsche Datenschutzerklärung
Betrachtet man die derzeit geltende deutsche Datenschutzerklärung von Google, so erscheinen die Vorhalte der Task-Force durchaus berechtigt.
So wird unter der Überschrift „Informationen, die wir aufgrund Ihrer Nutzung unserer Dienste erhalten“ festgelegt, dass möglicherweise Informationen über die Art und Weise der Nutzung der Dienste durch die User erfasst werden. Gegebenenfalls werden (auch personenbezogene) Informationen lokal auf dem Gerät der Betroffenen erhoben und gespeichert werden. Allein dieses Beispiel macht deutlich, was der Bericht mit vagen und ungenauen Informationen für die Betroffenen meint. Der Begriff “möglicherweise” taucht in der Datenschutzerklärung 14mal auf.
In Bezug auf den Kritikpunkt des Zusammenführens von Daten lässt sich unter der Überschrift „Wie wir die von uns erhobenen Informationen nutzen“ der Hinweis entnehmen, dass unter Umständen Informationen und personenbezogene Daten aus einem Dienst mit Daten aus anderen Google-Diensten verknüpft werden. Wann dies geschieht und welche Daten und Informationen und welche Dienste hiervon erfasst werden, bleibt jedoch unklar.
Was wird geschehen?
Die jeweiligen beteiligten nationalen Datenschutzbehörden werden nun weitere Prüfungen, hinsichtlich der Konformität mit dem nationalen Datenschutzrecht, einleiten. Jetzt bereits von Strafmaßnahmen (so der Beitrag bei stern.de) zu sprechen, erscheint jedoch etwas verfrüht.
Sollten sich Verstöße der jeweils national geltenden Datenschutzerklärung gegen einzelstaatliches Datenschutzrecht ergeben, so kann die zuständige Datenschutzbehörde, in Deutschland der Hamburgische Beauftrage für Datenschutz und Datensicherheit, Ordnungsmaßnahmen (§ 43 BDSG) gegen das Unternehmen erlassen. Ob es soweit kommt, wird abzuwarten sein.
Dennoch ist ein derart geballtes europäisches Vorgehen gegen einen Internetkonzern ein Novum und die Entwicklung dieser Verfahren darf mit Spannung beobachtet werden.
Dieser Beitrag ist zuerst erschienen auf delegedata.de.
Artikel per E-Mail verschicken
Schlagwörter: Datenschutz, Europa, google, privacy
1 comment