Spanische Datenschützer prüfen Sanktionen gegen Google

Die spanische Datenschutzbehörde (AEPD) teilt in einer Presseerklärung mit, dass sie gegenüber Google ein Sanktionsverfahren, hinsichtlich seiner neuen einheitlichen Datenschutzbestimmungen, eröffnet habe.

Dieses Verfahren soll im Detail klären, ob unter anderem die Zusammenführung und Kombination von personenbezogenen Daten aus verschiedenen Diensten des Anbieters in Einklang mit dem spanischen Datenschutzrecht steht, ob bei der Datenverarbeitung die Verhältnis- und Zweckmäßigkeit gewahrt bleibt und ob die gesetzlich gewährleisteten Rechte der Betroffenen auf Löschung und Berichtigung ihrer Daten wirksam ausgeübt und die Speicherfristen eingehalten werden.

Das Verfahren schließt sich an eine erste Untersuchung durch die AEPD an, nach deren Ergebnis sie 5 schwere Verstöße und einen leichten Verstoß gegen spanisches Datenschutzrecht für möglich hält.

Mögliche Verstöße
Nach dem Abschluss des ersten Prüfverfahrens hat die AEPD als Ergebnis folgende Tatsachen festgestellt, auf deren Grundlage nun das weitere Verfahren betrieben wird:

  • Google klärt die Nutzer nicht hinreichend über die Verwendung der bei ihnen erhobenen Daten auf, so dass diese nicht wissen, für welche Zwecke letztendlich die Daten verwendet werden.

 

  • Vor dem Hintergrund der Vereinheitlichung der Datenschutzhinweise erscheint es möglich, dass Google Daten aus einem Dienst des Unternehmens mit Daten aus anderen Diensten kombiniert und dann auch für andere Zwecke verwendet, als sie der ursprünglichen Erhebung und Verwendung zugrunde lagen.

 

  • Durch Google könnte so eine nicht mehr verhältnismäßige Verarbeitung von Daten aus verschiedenen Diensten vorgenommen werden, welche gegen den im Datenschutzrecht geltend Zweckbindungsgrundsatz verstößt.

 

  • Die erhobenen und gespeicherten Daten könnten entgegen den Vorgaben des spanischen wie auch des europäischen Datenschutzrechts zu lange gespeichert werden. Dem derzeit geltenden Prinzip der Datensparsamkeit und Datenminimierung folgend sind gespeicherte Daten zu löschen, wenn diese nicht mehr für den der Erhebung zugrunde liegenden Zweck erforderlich sind, um etwa einen Dienst anzubieten.

 

  • Die AEPD geht davon aus, dass die derzeitige Praxis von Google den Betroffenen nicht ausreichend Möglichkeiten zur Verfügung stellt, um ihre Rechte in Bezug auf die Daten, wie das Recht auf Löschung, wirksam auszuüben.

Mögliche Folgen
Sollte einer der oben beschriebenen Verstöße gegen spanisches Datenschutzrecht am Ende tatsächlich festgestellt werden, so kündigt die AEPD bereits jetzt an, dass sie Bußgelder zwischen 40.001 und 300.000 € pro Verstoß, je nach Umfang und Schwere, verhängen kann.

Europäische Initiative
Das Prüfverfahren und die angestellte Untersuchung geschah im Zusammenhang einer koordinierten europäischen Aktion von Datenschutzbehörden. Über den Beginn dieser Verfahren hatte ich bereits in einem älteren Blogbeitrag informiert.

Zur gleichen Zeit äußerte sich auch die französische Datenschutzbehörde (CNIL). Auch sie stellt im Rahmen eines durchgeführten Prüfverfahrens mögliche Verstöße durch Google fest, gab dem Unternehmen jedoch eine letzte Frist von 3 Monaten zur rechtskonformen Anpassung seiner Datenschutzhinweise.

Die AEPD scheint hier etwas entschlossener vorgehen zu wollen. Derzeit befindet sie sich zudem mit Google in einem Gerichtsverfahren, welches als Vorabentscheidungsersuchen dem EuGH vorliegt (C-131/12). Der Schlussantrag des zuständigen Generalanwaltes ist für Ende Juni geplant. Zu einigen der in dem dortigen Verfahren aufgeworfenen datenschutzrechtlichen Fragen, nehme ich in der aktuellen Ausgabe der Zeitschrift ZD Stellung.

Fazit
Interessant an den Mitteilungen der beiden Datenschutzbehörden ist vor allem das doch etwas unterschiedliche Vorgehen. Inhaltlich decken sich die Vorwürfe an Google größtenteils, da die CNIL als federführende Behörde bereits letztes Jahr im Oktober einen umfangreichen Prüfbericht  veröffentlicht hatte. Datenschutzrechtlich weht Google in Europa derzeit ein zuminest rauer Wind entgegen. Es bleibt abzuwarten, inwieweit das Unternehmen zu einem rechtskonformen Einlenken (also einer Anpassung seiner einheitlichen Datenschutzrichtlinie) bereit ist oder sich unbeirrt dem Sturm aussetzt und es auf gerichtliche Entscheidungen ankommen lassen wird.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert