– Herr Wybitul, die französische Datenschutzbehörde CNIL hat gegen Google die Rekordstrafe von 50 Mill. Euro verhängt. Was lastet die Behörde dem Unternehmen an?Die Behörde wirft dem Unternehmen vor, es habe seine Nutzer nicht hinreichend transparent darüber informiert, wie es die Daten seiner Nutzer verarbeite. Zudem soll Google für personalisierte Werbung keine hinreichend konkreten Einwilligungen eingeholt haben.- Welches Maß an Transparenz fordert die Datenschutz-Grundverordnung DSGVO?Die DSGVO fordert ein hohes Maß an Transparenz. Wenn ein Unternehmen personenbezogene Daten verarbeitet, muss es davon betroffene Personen umfassend informieren. Das gilt etwa für die konkreten Zwecke, für die diese Daten verarbeitet werden, wie lange das Unternehmen die Daten verarbeitet oder an wen es sie weitergibt.- Was kritisiert die Behörde an den von Google verwendeten Einwilligungen?Das Verarbeiten personenbezogener Daten bedarf einer rechtlichen Grundlage. Das gilt auch für das Schalten von personalisierter Werbung, deren Inhalte sich etwa an dem Surfverhalten des Nutzers orientieren. Die Einwilligung eines Nutzers kann eine solche datenschutzrechtliche Erlaubnis darstellen. Google stützt die Datenverarbeitungen für seine personalisierte Werbung auf solche Einwilligungen. Die Behörde fordert, dass Nutzer bei Einwilligungen genau erkennen können, für welche Zwecke und auf welche Weise das Unternehmen ihre Daten verarbeitet. In der DSGVO heißt das so: “Natürliche Personen sollen die Kontrolle über ihre eigenen Daten besitzen.” Die CNIL fand die von Google eingeholten Einwilligungen zu pauschal. Insbesondere müssten die Nutzer jedem einzelnen Verarbeitungszweck zustimmen können oder ihn ablehnen. Damit fehle es an einer wirksamen Rechtsgrundlage für die Datenverarbeitungen.- Wie rechtfertigt die Behörde die Höhe der Strafe?Die Behörde hat bei der Bemessung der Geldbuße Umfang und Intensität der Datenverarbeitungen zu Grunde gelegt. Zudem kämen die von Google verarbeiteten Daten aus einer Vielzahl von Quellen und ermöglichten weitgehende Rückschlüsse über die Nutzer. Große Konzerne und Unternehmen, die umfassende Datenverarbeitungen durchführen, müssten beim Datenschutz besonders hohe Anforderungen erfüllen. Die Behörde bewertete die Verstöße als schwerwiegend und die daraus folgenden Eingriffe in das Datenschutzrecht der Nutzer als gravierend.- Ist damit zu rechnen, dass auf Unternehmen eine DSGVO-Bußgeldwelle zurollt?Es ist noch zu früh, von einer Bußgeldwelle zu sprechen. Doch die DSGVO verpflichtet die Datenschutzbehörden, Beschwerden von betroffenen Personen nachzugehen. Die deutschen Datenschutzbehörden haben ja bereits mehrfach darauf hingewiesen, dass sie derzeit viele Ermittlungsverfahren wegen möglichen Datenschutzverstößen durchführen. Und sie haben seit der Geltung der DSGVO schon mehrere Dutzend Bußgelder verhängt. Das dürften bislang in Deutschland aber eher einfachere Verfahren mit vergleichsweise niedrigen Bußgeldern gewesen sein. Unternehmen sollten also genau beobachten, welche Bußgelder die Behörden für welche Verstöße verhängen – und ob die Gerichte diese Bußgelder letztlich bestätigen. Google hat etwa schon angekündigt, gerichtlich gegen das von der CNIL verhängte Bußgeld vorzugehen.- Was können Unternehmen nach diesem Weckruf tun, um Verstöße zu vermeiden?Unternehmen sollten ihre Datenschutz-Management-Systeme (DSMS) so gestalten, dass sie die künftige Verteidigung in Bußgeldverfahren erleichtern. Beispielsweise sollten Unternehmen ihre Verarbeitungsverzeichnisse und die sonstige Datenschutz-Dokumentation so gestalten, dass sie sich damit später in behördlichen Ermittlungen und Gerichtsverfahren effektiv verteidigen können. Zudem sollten sie auch mögliche Schwachstellen bei der Umsetzung der DSGVO identifizieren. Dabei sollten sie auch auf die Schwere möglicher resultierender Verstöße und deren Aufdeckungswahrscheinlichkeit achten. Es ist sinnvoll, interne Verantwortlichkeiten, Ressourcen und für die Verteidigung wichtige rechtliche Fragen vorab zu klären.—-Tim Wybitul, ist Partner im Frankfurter Büro von Latham & Watkins. Die Fragen stellte Sabine Wadewitz.