Cookies: CNIL verhängt Busse gegen Google von insgesamt 100 Millionen Euro
Cookies: CNIL verhängt Busse gegen Google von insgesamt 100 Millionen Euro
Cookies: CNIL verhängt Busse gegen Google von insgesamt 100 Millionen Euro
CNIL, SAN-2020-012 v. 07.12.2020
Die CNIL untersuchte am 16. März 2020, ob die Webseite google.fr den Anforderungen von Artikel 82 des französischen Datenschutzgesetzes («F-DSG») entsprach. Im Rahmen der Online-Kontrolle stellt die CNIL fest, dass beim Besuch der google.fr-Seite, mehrere Cookies automatisch auf dem Endgerät gespeichert wurden, ohne dass es dazu eine aktive Handlung der Nutzer verlangt hätte. Nach mehreren Schriftenwechseln mit Google schloss die CNIL die Untersuchung am 12. August 2020 ab.
Kein «One-Stop-Shop»-Mechanismus unter der DSGVO bei Cookies
Die CNIL hielt fest, dass die DSGVO vorliegend materiell nicht anwendbar sei, weil sich die sachliche Zuständigkeit bei der Bearbeitung von Cookies nicht aus der DSGVO ergebe, sondern aus der als ePrivacy-Richtlinie bekannten europäischen Bestimmung, die Datenschutzrichtlinie für elektronische Kommunikation, RL 2002/58/EG vom 12. Juli 2002 («ePrivacy-Richtlinie»). Die e-Privacy-Richtlinie regelt die örtliche Zuständigkeit für Verfahren jedoch nicht, sondern das sei durch die einzelnen Mitgliedstaaten umzusetzen. Damit war die sachliche Zuständigkeit nach dem französischen Datenschutzgesetz zu bestimmen und dieses sehe in Art. 3 F-DSG den sachlichen Zuständigkeitsbereich der CNIL vor (Erw. II.A.1. 22 ff.)
Es überrascht daher nicht, dass die CNIL die Argumente von Google zurückwies, dass die ePrivacy-Richtlinie, gleich der DSGVO, einen eigenen sachlichen Anwendungsbereich vorsehen würde.
Die CNIL als territorial zuständige Datenschutzbehörde bei Cookie-Verletzungen von google.fr
Die örtliche Zuständigkeit sah die CNIL darin gegeben, weil die Verwendung von Cookies auf der französischen Website google.fr im Rahmen der Tätigkeiten der französischen Niederlassung von Google, der Google France SARL, erfolgte. Damit förderte diese Niederlassung die Produkte und Dienstleistungen von Google in Frankreich (E. II.A.2. 36 ff.).
Google LLC und Google Ireland als gemeinsame Verantwortliche
Google argumentierte, dass Google LLC und Google Ireland Limited separate Verantwortliche für die Datenverarbeitungen seinen, sog. «separate controller». Google betonte, dass die irische Tochtergesellschaft, die Google Ireland Limited, in den verschiedenen Entscheidungsgremien und Prozessen der Google Gruppe zur Implementierung der Merkmale der in der Google-Suche gesetzten Cookies, selbständig teilnehmen und autonom entscheiden würde. Zudem bestünden Unterschiede zwischen den Cookies, die auf den Geräten der europäischen Nutzenden, und denen, die auf den Geräten anderer Nutzer gesetzt werden, beispielsweise kürzere Aufbewahrungsfristen oder keine personalisierten Anzeigen für Kinder im Sinne der DSGVO (E. II.B. 47 ff.).
Das vermochte die CNIL nicht zu überzeugen, um die Entscheidungsautonomie von Google Ireland Limited nachzuweisen. Sie verwiesen auf die Rechtsprechung des EuGH im Urteil Zeugen Jehovas (EuGH, 10. Juli 2018, C-25/17, Ziffer 65 und 66) und qualifizierte Google LLC und Google Ireland Limited als gemeinsame Verantwortliche. Sie hielt fest, dass Google LLC auch in den Stellen vertreten ist, die Entscheidungen über den Einsatz von Google-Produkten in der EU und in der Schweiz sowie über die Verarbeitung personenbezogener Daten von Nutzenden in diesen Regionen treffen. Die CNIL stellte ferner fest, dass Google LLC einen bestimmenden Einfluss auf diese Entscheidungsgremien ausübt. Sodann betreffen die Unterschiede in den Cookie-Praktiken nur Unterschiede in der Umsetzung, die hauptsächlich auf die Einhaltung des EU-Rechts abzielten. Nach Ansicht der CNIL haben diese Unterschiede jedoch keinen Einfluss auf den weltweiten Werbezweck, für den die Cookies verwendet werden. Nach Ansicht der CNIL wird dieser Zweck von Google LLC festgelegt. Darüber hinaus stellte die CNIL fest, dass Google LLC auch an der Bestimmung der Verarbeitungsmittel beteiligt ist, da Google LLC die Technologie von Cookies entwirft und baut, die auf den Geräten der europäischen Nutzenden gesetzt werden (E. II.B.1.-2. 53 ff.).
Der Verstoss gegen die französischen Cookie-Regeln
Die CNIL stützte sich in ihrem Entscheid auf zwei Regularien der französischen Cookie-Regeln: Primär auf Artikel 82 F-DSG das die Bestimmungen der ePrivacy-Richtlinie in französisches Recht umsetzt. Sekundär wendete sie die Leitlinie der CNIL vom 19. Juli 2019 zur Umsetzung von Art. 82 F-DSG an, insbesondere die Ausführungen zu Cookies und anderen Tracking-Technologien (die «Leitlinie von Artikel 82 F-DSG»). Bei dieser Leitlinie handelt es sich um kein Gesetz im formellen Sinne, sondern um eine bei Aufsichtsbehörden häufig anzutreffende Auslegungsbestimmung, Regulatorien oder «soft-law». Für die Schweiz sind etwa die zahlreichen Richtlinien der FINMA bekannte solche Regulatorien. So verhält es sich auch bei der Leitlinie von Artikel 82 F-DSG. Obwohl diese Regulatorien nicht wie Gesetze anzuwenden sind, besteht ein faktischer Zwang für die Verantwortlichen, diese bei der Auslegung der relevanten Gesetzesbestimmungen und Umsetzung in den Unternehmen zu berücksichtigen. Das machte die CNIL denn auch deutlich und wies darauf hin, dass sie wiederholt darauf hingewiesen habe, dass sie die Praktiken wie jene von Google als nicht F-DSG-konform angesehen habe und das auch in ihren kontinuierlich erneuerten öffentlichen Empfehlungen aus den Jahren 2013, 2019 und 2020 zu entnehmen gewesen sei (E. III.A. 67 ff.).
Setzen von Werbe-Cookies ohne vorherige Zustimmung ist nicht F-DSG konform
Die Online-Untersuchung der google.fr-Website durch die CNIL ergab, dass beim Besuch der Website sieben Cookies automatisch auf ihrem Gerät gesetzt wurden. Vier dieser Cookies waren Werbe-Cookies. Da Werbe-Cookies die vorherige Zustimmung der Nutzenden erfordern, kam die CNIL zu dem Schluss, dass Google die Cookie-Zustimmungspflicht von Art. 82 F-DSG nicht erfüllten.
Ungenügende Information über den Zweck der Cookies
Als die CNIL die google.fr-Website untersuchte, stellte sie weiter fest, dass am unteren Rand der Seite ein Informationsbanner mit folgendem Hinweis angezeigt wurde: «Rappel concernant les règles de confidentialité de Google» (sinngemäss «Datenschutzerinnerung von Google») und zwei Schaltflächen: «Me le rappeler plus tard» und «Consulter maintenant” (sinngemäss «Erinnern Sie mich später» und «Mehr anzeigen»). Laut der CNIL lieferte das Banner keine Informationen über die Cookies, die bereits auf den Geräten gespeichert wurden. Zudem wurden diese Informationen auch nicht sofort bereitgestellt, wenn Nutzer auf die Schaltfläche «Plus d'informations» (sinngemäss «Mehr anzeigen») klickten (Erw. II.C.1. 69 ff.).
Offenbar änderte Google während des Verfahrens im August und September 2020 ihre Datenschutzhinweise und jene für die Verwendung von Cookies. Für die CNIL waren die nun aber direkt angezeigten Informationen immer noch nicht klar und vollständig, da diese Informationen die Nutzer noch immer nicht über alle Zwecke der hinterlegten Cookies und die ihnen zur Verfügung stehenden Mittel zum Opt-out informierten. Die im Banner genannten Zwecke waren zu allgemein, als dass Nutzende einfach und klar verstehen konnten, für welche spezifischen Zwecke Cookies auf ihren Geräten gespeichert würden (E. II.C.1. 83-89).
Insbesondere stellte die CNIL fest, dass die den Nutzenden zur Verfügung gestellten Informationen es ihnen nicht ermöglichte, die Art der Inhalte und Anzeigen zu verstehen, die auf der Grundlage ihres Verhaltens personalisiert werden können (beispielsweise ob es sich um standordbasierte Werbung handelt), welche der Google-Dienste Personalisierungen verwenden und ob diese Personalisierung über verschiedene Dienste hinweg erfolgten. Darüber hinaus stellte die CNIL fest, dass die Begriffe «Optionen» oder «Weitere Informationen» im neuen pop-up Fenster nicht explizit genug seien, damit Nutzer verstehen, wie sie Cookies ablehnen können (E. II.C.1. 69 ff.).
Opt-out-Mechanismus teilweise defekt
Schliesslich stellte die CNIL fest, dass, wenn ein Nutzer die Anzeigen Personalisierung in der Google-Suche via Opt-out deaktivierte, eines der Werbe-Cookies immer noch auf dem Gerät des Nutzers gespeichert wurde. Damit wurden weiterhin Daten verarbeiten, obwohl keine Einwilligung mehr vorlag. Entsprechend kam die CNIL zum Schluss, dass der Opt-out-Mechanismus teilweise fehlerhaft war (Erw. II.C.1.b. 103 ff.).
Die Verhängung der Geldbusse von EUR 100 Millionen
Bei der Festsetzung der Geldbussen berücksichtigte die CNIL die Schwere der Verstöse gegen Art. 82 F-DSG, die hohe Zahl von 47 Millionen der von diesen Verstössen betroffenen Nutzenden (was 70% der französischen Bevölkerung entspricht) und die finanziellen Vorteile, die sich indirekt aus den durch die Werbe-Cookies erhobenen Daten erzielten Werbeeinnahmen ergaben (E. III.B. 120 ff.).
Für die Berechnung der Busse verwiess die CNIL auf die Möglichkeit nach F-DSG in Verbindung mit den in Art. 83 DSGVO festgelegten Kriterien, im vorliegenden Falle Höchststrafen von 2 % des vom Verantwortlichen für die Verarbeitung durchgeführten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres auszusprechen. Der Jahresumsatz von Google LLC entsprach für das Geschäftsjahr 2019 USD 160 Milliarden und jener von Google Ireland Limited von EUR 38 Milliarden. Entsprechend erachtete die CNIL Bussen gegen Google LLC von EUR 60 Millionen und gegen Google Ireland Limited von 40 Millionen als «effectives, proportionnées et dissuasives» also als wirksam, angemessen und abschreckend an (E. III.B. 128 ff.).
Die CNIL verlangte ausserdem betroffene Personen vorab klar und umfassend zu informieren über (1) die Zwecke aller der Zustimmung unterliegenden Cookies und (2) wie diese Cookies abgelehnt werden können. Das wurde mit einem Zwangsgeld belegt: Google wurde verpflichtet diese Anforderungen innert drei Monaten umzusetzen, bei der Androhung einer Strafe von EUR 100'000 pro Tag der Verspätung (Erw. III.C. 140 ff.).
Wie es weiter geht
Gegen den Beschluss der CNIL kann Google innert vier Monaten nach Bekanntgabe Klage beim Bundesverwaltungsgericht (dem Conseil d’Etat erheben), entsprechend bis anfangs April 2021.
Olivier Heuberger